@mariya_tikhvin — (Мария Тихвинская) ворует с WEB3 кошелька за счёт внедрённого фейкового токена. @ViktoriaL03 — (Вика) ищет жертв фишинга bscscan.com/address/0xef480236f064e1185c2b34139920116fb241d33a @nikakls0 — (Ника) наседка, общается с жертвой месяцами. @TrAnnaBelo1 — (Анна Белова) «сопровождающий трейдер — заводит фейковый токен вам в кошелёк, и после этого ваш адрес обозреватели, например bscscan.com видят как фишинговый.
ОТВЕТ:
По описанию это похоже на криптофишинг с «прогревом» жертвы и последующим drain-сценарием: человеку не просто присылают ссылку, а долго ведут его к тому, чтобы он сам подключил кошелёк, подписал разрешение или «помог» псевдотрейдеру провести операцию. Важно: сам по себе «фейковый токен в кошельке» обычно не крадёт деньги автоматически. Кража происходит, когда жертва взаимодействует с этим токеном, сайтом, контрактом или подписывает разрешение на управление активами.
По указанному адресу 0xEF480236f064E1185c2b34139920116fb241d33A BscScan действительно показывает предупреждение: «There are reports that this address was used in a Phishing scam» и метку Fake_Phishing2387069; там же виден тип риска Phish / Hack. На странице также указано, что у адреса есть Authority, делегированная к MetaMask: EIP-7702 Delegator, а в холдингах — более 100 токенов, многие из которых выглядят как мусорные/поддельные токены. (BNB Smart Chain Explorer) BscScan объясняет, что такие фишинговые формы нужны для сбора сообщений о скам-адресах, которые используются в атаках с потерей средств, а затем адреса могут получать предупреждающие метки «high risk/fake». (forms.blockscan.com)
Схема может выглядеть так.
Сначала появляется «наседка» — девушка или якобы частный инвестор, которая неделями общается с жертвой без прямого давления. Задача — создать доверие: обсуждения жизни, заработка, крипты, «я сама так вывожу», «мне помогает трейдер», «я уже заработала». На этом этапе кошелёк ещё не трогают. Жертву готовят психологически: она должна поверить, что перед ней не мошенник, а «свой человек», который делится возможностью.
Потом подключается «сопровождающий трейдер». Его роль — придать схеме технический авторитет. Он говорит, что надо «добавить токен», «проверить кошелёк», «синхронизировать адрес», «подключиться к DEX», «получить тестовый актив», «завести токен в кошелёк», «подтвердить ликвидность» или «активировать вывод». Внешне это выглядит как обычные действия в Web3: MetaMask, BNB Smart Chain, BscScan, токены, контракты, подтверждения. Но смысл другой — подвести жертву к опасной подписи.
Фейковый токен нужен как приманка. Его могут прислать на адрес жертвы без её согласия: в блокчейне любой может отправить мусорный токен на любой публичный адрес. В кошельке появляется якобы ценный актив: «USDT», «BNB», «Airdrop», «Bonus», «Reward», «AI token», «Binance something» и т.п. Иногда в названии токена прямо зашивают ссылку на сайт: мол, «перейдите сюда, чтобы обменять/разблокировать/получить». Это не подарок, а крючок.
Дальше жертве объясняют: «токен уже у вас, осталось только продать», «надо подтвердить контракт», «надо дать разрешение на обмен», «надо подписать проверку», «это не перевод, это просто верификация». В Web3 подпись может быть опаснее обычной оплаты: пользователь может не отправлять деньги напрямую, но дать контракту право списывать токены через approve, permit, setApprovalForAll, batch transaction или через новую механику делегирования.
Отдельно опасен сценарий с EIP-7702 / делегированием. Эта технология позволяет обычному кошельку временно вести себя как смарт-кошелёк, но фишинговые сайты используют сложность интерфейса: человек думает, что подписывает безобидное действие, а фактически даёт вредному коду возможность выполнить пакет операций. Revoke.cash прямо предупреждает, что EIP-7702 добавляет функциональность смарт-контракта к обычному кошельку и создаёт дополнительный phishing risk: через batch-транзакции жертву могут заставить отправить или разрешить сразу несколько активов. (revoke.cash) GoPlus описывал похожую атаку, где злоумышленники через MetaMask 7702-Delegator и batch execution получили токенные разрешения и провели фишинговое списание активов. (GoPlus Blog)
Фраза «заводит фейковый токен вам в кошелёк» звучит технически неточно, но хорошо передаёт суть манипуляции. Токен не «внедряют» в кошелёк как вирус. Его баланс просто появляется в обозревателе, потому что контракт токена записал, что на вашем адресе есть какое-то количество единиц. Опасность начинается, когда жертва пытается этот токен «вывести», «обменять» или «активировать» через сайт, который просит подключить кошелёк.
Ещё один важный момент: появление мусорного токена не должно автоматически делать адрес жертвы фишинговым. Обозреватели вроде BscScan ставят метки по жалобам, анализу и репортам, а не просто потому, что кто-то прислал токен. Поэтому утверждение «после этого ваш адрес обозреватели видят как фишинговый» надо формулировать осторожно. Корректнее так: если адрес взаимодействует с фишинговым контрактом, получает/отправляет средства через скам-инфраструктуру или сам используется в цепочке атаки, он может начать выглядеть подозрительно для аналитических сервисов. Но сам факт входящего мусорного токена ещё не доказывает, что владелец адреса — мошенник.
Роли в такой схеме распределены примерно так:
«Наседка» — долго общается, снижает настороженность, создаёт эмоциональный контакт. Её задача — не объяснять технологию, а довести человека до «трейдера» или «специалиста».
«Трейдер» / «сопровождающий» — даёт инструкции, куда нажать, какой токен добавить, какой сайт открыть, что подписать. Он переводит бытовое доверие в техническое действие.
Фишинговый адрес / контракт — принимает разрешения, списывает активы, собирает токены, может иметь метки типа Fake_Phishing....
Фейковый токен — приманка и декорация. Он нужен, чтобы жертва поверила: «деньги уже почти у меня, надо только завершить операцию».
Фишинговый сайт — главный инструмент кражи. Именно там появляется кнопка «Claim», «Swap», «Unlock», «Verify», «Withdraw», «Synchronize», «Activate», после которой кошелёк просит подпись.
Признаки развода:
- Незнакомый человек долго «случайно» заводит разговор о крипте и заработке.
- Появляется «девушка-инвестор», «помощница», «знакомая трейдера».
- Жертву просят установить MetaMask/Trust Wallet или зайти на непонятный DEX/сайт.
- В кошельке внезапно появляется токен, который якобы можно продать.
- Чтобы продать/вывести, нужно «подтвердить», «активировать», «синхронизировать», «разблокировать».
- Подпись называют «безопасной», «не переводом», «просто проверкой».
- Торопят: «курс уйдёт», «окно вывода закроется», «нужно завершить сегодня».
- Если жертва сомневается, подключается второй персонаж с «техническим» авторитетом.
- После потери средств появляются «юристы», «хакеры» или «возвратчики», которые предлагают вернуть крипту за предоплату.
Для публикации можно сформулировать так:
Что делать жертве: не трогать мусорный токен, не пытаться его продавать, не переходить по ссылкам из его названия, не подписывать «верификации», проверить approvals/revokes через известные сервисы, вывести реальные активы на новый кошелёк с новой seed-фразой, сохранить переписку, адреса, хэши транзакций и подать жалобы в BscScan/Chainabuse/кошелёк/биржу, если средства ушли на биржевой адрес. Главное — не платить «возвратчикам»: после криптофишинга часто начинается второй развод уже под видом «чарджбэка», «блокчейн-юристов» или «специалистов по возврату».
Подписывайтесь на телеграм-канал Финсайд и потом не говорите, что вас не предупреждали: https://t.me/finside.
Сообщить о мошенниках или задать вопрос Памятка о возврате от мошенников Телеграм-канал и чат Вкладер Белый список инвестиций