Мошенничество в EOS, WAX и Telos: схема с MEMO, из-за которой теряют деньги

В конце 2024 года в экосистеме EOSIO начала активно распространяться одна и та же схема. Она не выглядит как “взлом”, не требует доступа к кошельку и вообще не вызывает тревоги на первых этапах. Более того - всё, что делает жертва, она делает сама, осознанно и даже с ощущением контроля.

Именно поэтому в какой-то момент у людей возникает вполне логичный вопрос: как так получилось, что деньги ушли, если я сам указывал адрес и проверял перевод?

Ответ здесь не в технической уязвимости и не в “дыре” в блокчейне. Всё работает ровно так, как задумано. Проблема в том, как человек понимает механику перевода - и как этим пониманием аккуратно пользуется мошенник.

Но вместе с этим появляется второй элемент - поле MEMO. И вот здесь начинается самое интересное.

В большинстве сетей достаточно правильно указать адрес - и деньги придут получателю. В EOSIO важно не только это. Здесь принципиально значение имеет ещё и MEMO, потому что именно оно определяет, кому внутри системы будет зачислен перевод. И если упростить до бытового уровня, то адрес - это “куда вы пришли”, а MEMO - это “кому именно вы передали деньги”.

Проблема в том, что визуально пользователь видит знакомую операцию — отправку средств — и не всегда понимает, что в этой сети логика немного сложнее.

Важно понимать, что речь идёт не про одну конкретную сеть, а про целую экосистему. К EOSIO относятся:
EOS, Telos, WAX — основные сети, где такие схемы встречаются чаще всего.

А также менее популярные, но технически аналогичные:
EOSIO Testnet, Uphold, Chintai, EIDOS, Everipedia, SmartPy (EOSIO for smart contracts), Vigor Protocol.

Когда пользователь отправляет средства на биржу в сети EOSIO, он не получает отдельный уникальный адрес. Вместо этого используется один общий адрес биржи, на который приходят все депозиты. Разделение происходит уже внутри — по MEMO.

Представь себе большое офисное здание. Адрес у него один, но внутри сотни компаний. Если ты отправляешь письмо просто “в это здание”, оно туда дойдёт. Но если не указать конкретный офис — никто не поймёт, кому оно предназначалось.

В EOSIO ровно такая же логика. Биржа принимает средства на один кошелёк, а дальше смотрит MEMO, чтобы понять, на какой аккаунт их зачислить.

И вот в этой точке появляется возможность для манипуляции.

Сама схема не начинается с техники — она начинается с психологии. Жертве предлагают простой способ заработать, чаще всего через арбитраж. Обещают умеренную, но стабильную прибыль, объясняют процесс и подчёркивают ключевой момент: якобы все действия вы выполняете сами, никто не просит доступ к кошельку или аккаунтам.

Это создаёт ощущение безопасности. Человек думает: “я контролирую процесс, значит меня не обманут”. На практике именно это ощущение и становится точкой входа.

Дальше мошенник начинает “обучать”. Помогает создать кошелёк, объясняет базовые вещи, иногда даже предупреждает о популярных схемах мошенничества и напоминает, что нельзя передавать seed-фразу. Это выглядит как забота, но на самом деле формирует доверие.

Параллельно происходит важная деталь, которую жертва не видит. Мошенник узнаёт её адрес и использует его при настройке своего аккаунта на бирже. В частности, он меняет MEMO своего аккаунта на значение, совпадающее с адресом жертвы.

На этом этапе ловушка уже готова.

Дальше всё выглядит абсолютно стандартно:

Никаких подозрительных действий — всё укладывается в привычную логику работы с криптовалютой.

И вот здесь происходит ключевой момент. При выводе средств в сети EOSIO жертве дают инструкцию: указать адрес биржи и в поле MEMO вписать свой кошелёк.

С точки зрения пользователя это звучит логично. Он думает, что указывает свой идентификатор, чтобы получить средства. На практике он делает ровно противоположное — указывает идентификатор мошенника.

Если бы на этом всё заканчивалось, многие бы остановились. Но схема устроена чуть хитрее. После перевода мошенник отправляет жертве фиктивные токены, которые выглядят как настоящий актив и даже могут отображаться с “прибылью”.

Человек видит результат, который подтверждает его ожидания. Баланс растёт, всё работает, схема кажется реальной. В этот момент критическое мышление обычно выключается, потому что опыт уже “доказал”, что всё честно.

Именно поэтому многие повторяют цикл ещё раз, иногда увеличивая сумму. С точки зрения психологии это понятное поведение: если система дала прибыль один раз, она кажется надёжной.

Осознание приходит тогда, когда пользователь пытается вывести средства обратно в реальные деньги. Он отправляет токены на биржу, ожидает зачисления… и ничего не происходит.

Поддержка сообщает, что токен не настоящий, смарт-контракт не совпадает, актив не поддерживается. В этот момент становится ясно, что деньги, которые “заработались”, никогда не существовали.

Но главный вопрос остаётся: где именно произошёл обман? Ведь пользователь не передавал доступы, не вводил seed-фразу и не делал ничего очевидно опасного.

Главный вывод здесь довольно простой, но неприятный: в криптовалютах недостаточно “делать всё самому”. Важно понимать, что именно ты делаешь.

Если в операции есть поле MEMO — это не комментарий и не дополнительная информация. Это часть механики перевода, от которой зависит, куда в итоге попадут средства. И любые инструкции, которые выглядят как “просто вставь сюда это значение”, должны вызывать вопросы.

Второй момент — сама логика схемы. Когда процесс выглядит слишком гладким, когда прибыль появляется без реального объяснения, а действия не требуют глубокого понимания — это повод остановиться. В криптовалютах деньги не появляются “просто потому что схема работает”.

Как выглядит мошенничество наглядно, на основе движения средств в блокчейне. Изображения и видер подготовлены на основании нашего решения для расследований Bholder:

Если вы понимаете, что попали в подобную ситуацию, важно не пытаться “отыграться” и не продолжать переводы. Первое, что нужно сделать — зафиксировать все данные: адреса, транзакции, переписку.

После этого уже имеет смысл разбирать ситуацию профессионально. В ряде случаев удаётся отследить дальнейшее движение средств и попробовать повлиять на ситуацию через биржи или другие участники инфраструктуры.

AML Crypto занимается расследованием подобных кейсов: анализирует движение средств, выявляет схему и помогает подготовить обращения для бирж и правоохранительных органов.