Перевёл не туда: как MEMO стало ловушкой для криптовалют

Представьте, что вы переводите криптовалюту на адрес биржи, как делали это десятки раз. Вводите сумму, копируете реквизиты, подтверждаете транзакцию. Всё выглядит как обычно — но деньги не приходят. Техподдержка отвечает, что средства ушли, но не к вам. Что пошло не так?

Оказывается, не все блокчейны работают одинаково. В некоторых из них — например, EOS, TLOS и WAX — помимо адреса получателя необходимо указать ещё один параметр: MEMO. Это строка, которая определяет, кто именно получит деньги внутри платформы. Ошибитесь — и средства попадут к другому пользователю. А если этот MEMO подсказал мошенник — то прямо в его кошелёк.

Именно это стало основой для множества схем обмана, в которых деньги уходят не через взлом или фишинг, а по инициативе самого пользователя — просто из-за того, что он следовал ложной инструкции. В этой статье мы объясним, как работает технология MEMO, почему она стала уязвимостью, и покажем реальные случаи из практики, когда средства уходили не туда — и как мы помогли это доказать.

В блокчейн-сетях с аккаунтной моделью, таких как EOS, TLOS и WAX, переводы криптовалют осуществляются не на уникальные адреса, как в Bitcoin или Ethereum, а между аккаунтами с читаемыми именами. Это означает, что одна и та же платформа, например криптобиржа, может использовать один адрес для получения переводов от всех пользователей. Чтобы система правильно распределила средства, в транзакции необходимо указать дополнительный параметр — MEMO.

Ниже вы можете увидеть, чем отличается форма вывода средств на бирже Bybit при переводе в сеть Bitcoin и в сеть EOS — в последнем случае требуется дополнительное поле MEMO.

Что такое MEMO в криптовалютных транзакциях?

MEMO — это текстовая строка, встроенная в протокол транзакции, которая служит идентификатором получателя внутри платформы. Представьте себе офис, в который каждый день приходят сотни посылок на один и тот же адрес. Чтобы сотрудники поняли, кому именно предназначена каждая из них, на коробке указывается номер кабинета или имя сотрудника. В блокчейн-переводах этот "номер" и есть MEMO. Если его не указать или перепутать — посылка попадёт не туда. Точно так же и в криптовалютах: при отсутствии или неправильном MEMO средства могут быть зачислены не тому пользователю или вовсе потеряны.

На уровне технологии MEMO — это просто открытая строка текста, которую можно вписать вручную при отправке транзакции. Блокчейн не проверяет, что именно вы туда ввели, не подсказывает, правильно ли заполнено поле, и не исправляет ошибки. Всё ложится на пользователя. Именно по этой причине MEMO становится инструментом в руках мошенников: они пользуются тем, что многие не до конца понимают, как работает механизм, и легко вводятся в заблуждение. Уязвимость здесь — не в технологии, а в нехватке информации и опыта.

Одной из причин, по которой многие пользователи теряют свои токены, является непонимание того, как работает технология MEMO в блокчейне. Визуально перевод выглядит привычно: адрес, сумма, кнопка отправки. Но особенность таких сетей в том, что адрес получателя может быть один и тот же для большого количества пользователей. Чтобы различить, кому именно предназначается перевод, используется дополнительный параметр — MEMO. Он является частью самой транзакции и служит как идентификатор получателя внутри одной системы.

Этим механизмом активно пользуются мошенники. Как правило, они связываются с жертвой от имени поддержки криптобиржи, инвестиционной платформы или сервиса по восстановлению средств. Предлог может быть разный: проверка личности, возврат средств, разблокировка аккаунта или участие в акции. Общий сценарий всегда одинаков: человеку предлагают перевести криптовалюту на указанный адрес, сопровождая это обязательным MEMO-кодом.

Важно понимать, что зачастую сам адрес получателя не вызывает подозрений — это может быть аккаунт известной биржи или сервиса. Однако указанный MEMO ведёт не к аккаунту пользователя, а напрямую к мошеннику. В результате пользователь сам, без какого-либо внешнего взлома, отправляет свои средства третьему лицу.

Особенность этой схемы в том, что транзакция проходит успешно, технических ошибок нет. С точки зрения блокчейна, перевод выполнен корректно. Поэтому, обратившись в поддержку кошелька или биржи, пользователь получает стандартный ответ: «Средства были отправлены, возврат невозможен».

Такие схемы остаются популярными именно потому, что внешне они не выглядят как мошенничество. Пользователь сам подтверждает перевод, сам вводит MEMO, а система лишь выполняет инструкцию. Возврат средств в таких случаях крайне затруднён, особенно без технической и юридической поддержки.

В нашу компанию обратился человек, который впоследствии стал нашим клиентом. На первом этапе мы провели детальное интервьюирование, в ходе которого удалось установить, что он оказался втянут в мошенническую схему через личное общение с неизвестным ранее человеком. Новый «знакомый» активно предлагал поучаствовать в якобы надёжной и выгодной инвестиционной платформе для торговли криптовалютой.

Платформа предлагала привлекательные условия: простой интерфейс, якобы гарантированная доходность и «персональное сопровождение» со стороны специалистов, которые давали советы по каждой сделке. Всё выглядело убедительно. Увидев активность и «результаты», наш клиент решил попробовать.

Для участия в торговле ему было предложено создать блокчейн-кошелёк в сети TLOS (Telos), на который он перевёл средства со своей биржи (в данном случае — Bybit). Все переводы сопровождались указанием MEMO — это якобы было необходимо для привязки средств к его профилю на платформе. После пополнения счёта на "торговой площадке", началась активная «торговля», которая показывала положительную динамику и прибыль.

Через несколько дней клиент решил вывести часть средств. Вывод был осуществлён успешно — средства поступили на тот же кошелёк в сети TLOS. Это ещё больше укрепило его уверенность в том, что площадка реальна.

Проблемы начались позже, когда он попытался вернуть заработанные средства обратно на биржу для конвертации в фиат. Все попытки пополнения счёта на Bybit оказывались безуспешными. Средства не зачислялись с сообщением об ошибке. Постепенно клиент осознал, что оказался в ловушке: он переводил настоящие токены, а в ответ получал фальшивые — такие, которые не принимают настоящие биржи.

Поняв, что столкнулся с обманом, клиент обратился за помощью в компанию AML Crypto.

После получения обращения специалисты AML Crypto провели технический анализ всех транзакций и действий, связанных с данной схемой. Установлено, что в момент, когда клиент пополнял счёт на так называемой “торговой платформе”, ему был предоставлен конкретный MEMO для перевода. Этот MEMO был сформирован таким образом, что фактически направлял средства не на площадку, а напрямую на аккаунт, контролируемый мошенниками.

Именно благодаря использованию правильно сформированного MEMO перевод выглядел корректным на уровне блокчейна, но реальным получателем стал злоумышленник.

Дальнейшие действия клиента — торговля на платформе, фиксация прибыли, вывод средств — происходили уже вне реального блокчейна. Все "транзакции" внутри этой платформы осуществлялись с использованием фальшивых токенов, не существующих в блокчейне. Эти токены были созданы мошенниками исключительно в интерфейсе сайта и не имели никакой реальной ценности. Они лишь имитировали движение и баланс, создавая полное впечатление настоящей торговли.

В то же время настоящие токены клиента были получены мошенниками и впоследствии обналичены.

Итог: в результате проведённого расследования специалистами AML Crypto было подтверждено наличие мошеннической схемы и восстановлена полная цепочка движения средств. Нам удалось установить, что криптовалюта клиента была обналичена через конкретную криптобиржу, а средства прошли через идентифицируемые аккаунты. Анализ транзакций и сопоставление цифровых следов позволили не только отследить путь токенов, но и определить конечного получателя.

Особенно важно отметить, что в ходе работы удалось установить — злоумышленник находился на территории той же страны, что и пострадавший. Это существенно упростило юридическую перспективу и позволило перейти от технического расследования к полноценному правовому процессу. Все собранные материалы были задокументированы и переданы в соответствующие государственные органы для последующего судебного рассмотрения.

Во втором примере мошенничества с использованием MEMO, наш клиент столкнулся с обманом при попытке вывести криптовалюту EOS со своего аккаунта на бирже Bybit. Он планировал перевести активы в сеть BNB Smart Chain, чтобы в дальнейшем использовать их через децентрализованный кошелёк. Однако он не до конца понимал, как технически устроен межсетевой перевод, и решил найти инструкцию в интернете. Поисковый запрос привёл его на форум, внешне схожий с официальной страницей Bybit, где обсуждалась якобы “правильная” последовательность действий. Практически сразу после этого с ним связались через Telegram — злоумышленник представился сотрудником технической поддержки и предложил помощь.

Мошенник уверенно заявил, что для перевода EOS с биржи на внешний BNB-кошелёк нужно использовать «официальный системный адрес приёма средств» — bybitdeposit, пояснив, что именно на этот адрес принимаются все межсетевые переводы с последующей автоматической переадресацией по MEMO. Такой аргумент звучал правдоподобно, поскольку клиент и ранее видел в интерфейсе Bybit адрес bybitdeposit, а сам процесс с MEMO был ему не совсем ясен. Таким образом, у клиента сформировалась полная иллюзия, что он использует стандартный путь вывода средств.

Он перешёл к оформлению транзакции: выбрал монету EOS, указал адрес bybitdeposit, как ему рекомендовали, и вставил в поле MEMO тот самый BNB-адрес, который, по словам «специалиста», должен был идентифицировать его кошелёк для получения средств в другой сети. В действительности же этот адрес (0x...) был заранее зарегистрирован мошенниками в системе Bybit как идентификатор их собственного аккаунта.

После подтверждения транзакции средства были действительно отправлены на указанный адрес, и с точки зрения блокчейна всё выглядело корректно. Однако система Bybit зачислила активы не на аккаунт клиента, а на другой счёт — тот, который был заранее зарегистрирован мошенниками с таким же MEMO (в формате BNB-адреса). Таким образом, пользователь сам отправил средства злоумышленникам, при этом не нарушив ни одного технического условия вывода.

Когда клиент понял, что средства не поступили на его BNB-кошелёк, он обратился в службу поддержки биржи. Ему сообщили, что транзакция завершена успешно, а возврат невозможен. Осознав, что стал жертвой мошенничества, пользователь обратился в AML Crypto — с целью проведения технического анализа, сбора доказательной базы и помощи в расследовании инцидента.

На графе показано, как клиент биржи Bybit, следуя ложной инструкции, вводит корректный адрес получателя (bybitdeposit), но ошибочный MEMO — в виде внешнего BNB-адреса, предоставленного мошенником. В результате средства направляются не на предполагаемый внешний кошелёк в сети BNB, а на внутренний аккаунт злоумышленника, зарегистрированный под этим MEMO.

Граф демонстрирует расхождение между ожидаемым маршрутом перевода (Bybit → BNB-кошелёк жертвы) и фактическим (Bybit → аккаунт мошенника внутри биржи).

Мошеннические схемы с использованием MEMO становятся всё более изощрёнными, и их основная сила — не в технических трюках, а в том, что многие пользователи просто не знают, как работает система. Чтобы не стать жертвой, важно не только быть внимательным, но и разбираться в базовых принципах криптопереводов. Ниже — несколько правил, которые помогут защититься:

❗️Если вы уже подозреваете, что стали жертвой мошенничества, не теряйте время. Если вы уже подозреваете, что столкнулись с мошенничеством, важно не тянуть. Пока транзакции ещё можно отследить, есть шанс разобраться и принять меры.

Обратитесь к специалистам AML Crypto — наша команда профессионально мы помогаем разобраться, куда ушли ваши средства, находим следы транзакций и готовим материалы, которые можно использовать в юридических процедурах.