4,79
20.11.2025
3143
11 мин.
Расследование инцидентов с поддельными токенами: как выявить и отследить мошенничество
Профессиональный разбор инцидентов с поддельными токенами: как определить фейковый контракт, отследить движение средств и подготовить доказательную базу для бирж и правоохранителей.
Получить консультацию экспертов AML Crypto
Поддельные токены опасны прежде всего тем, что выглядят как настоящие: тот же тикер, знакомый логотип, похожий интерфейс, тот же «стиль» контракта. Снаружи всё кажется корректным — но внутри скрываются другие смарт-контракты, завышенные комиссии, чёрные списки и механизмы, из которых пользователь уже не может выбраться.
Эта статья создана для читателей, которые уже имеют базовое понимание блокчейна и сталкивались с ончейн-анализом или расследованиями. Мы разберём реальный пример — не для академической теории, а чтобы на практике показать, как обнаружить, куда «застряли» деньги, что именно произошло и какие шаги можно предпринять уже сегодня.
Дальше материал будет становиться сложнее: мы будем глубже погружаться в цепочки транзакций, структуру контрактов и работу аналитических инструментов. Но именно этот путь позволит увидеть полную картину и понять, как подобные схемы устроены — и как им противостоят.
Эта статья создана для читателей, которые уже имеют базовое понимание блокчейна и сталкивались с ончейн-анализом или расследованиями. Мы разберём реальный пример — не для академической теории, а чтобы на практике показать, как обнаружить, куда «застряли» деньги, что именно произошло и какие шаги можно предпринять уже сегодня.
Дальше материал будет становиться сложнее: мы будем глубже погружаться в цепочки транзакций, структуру контрактов и работу аналитических инструментов. Но именно этот путь позволит увидеть полную картину и понять, как подобные схемы устроены — и как им противостоят.
-
С чего начинаем: зафиксировать факт и цель
В любой истории с поддельными токенами полезно мысленно проиграть дорожную сцену: автомобиль исчезает со стоянки, и нас интересуют три вещи — куда он поехал, кто оказался в салоне и какие камеры это зафиксировали. В крипте это переводится так: на какой адрес ушли средства, какая механика позволила вывести их без вашего согласия, и какие транзакции/логи подтвердят каждый шаг.
Если кошелёк жертвы был скомпрометирован — например, через фишинг или злонамеренный approve — то на момент вывода мы считаем его фактически под контролем злоумышленника. Это важный сдвиг роли: транзакция “жертва → злоумышленник” в таком случае — не добровольный перевод, а технический симптом компрометации.
Дальше фиксируем рамки: сеть (допустим, Ethereum), актив (ETH или токен строго по адресу контракта, а не по символу), объём (скажем, 63 000 TRX), дата и хэш транзакции, в которой средства ушли “наружу”. Это ваша опорная точка: от неё мы протягиваем нитку по цепочке.
Если кошелёк жертвы был скомпрометирован — например, через фишинг или злонамеренный approve — то на момент вывода мы считаем его фактически под контролем злоумышленника. Это важный сдвиг роли: транзакция “жертва → злоумышленник” в таком случае — не добровольный перевод, а технический симптом компрометации.
Дальше фиксируем рамки: сеть (допустим, Ethereum), актив (ETH или токен строго по адресу контракта, а не по символу), объём (скажем, 63 000 TRX), дата и хэш транзакции, в которой средства ушли “наружу”. Это ваша опорная точка: от неё мы протягиваем нитку по цепочке.
Как определить, что токен поддельный
Поддельные токены чаще всего маскируются под реальные за счёт совпадающего названия, тикера и логотипа, поэтому ориентироваться только на внешний вид нельзя. Главный критерий подлинности — адрес смарт-контракта. Настоящий токен всегда имеет один официальный контракт, указанный на сайте проекта, в его документации или на проверенных платформах (CoinGecko, CoinMarketCap, Etherscan Verified).
Если адрес контракта отличается хотя бы на один символ — это другой токен, даже если он выглядит идентично. Второй признак подделки — аномалии в механике токена: невозможность продать актив, резкие комиссии, автоматические списания, отсутствие ликвидности или биржевых пар. Проверить это можно через блокчейн-обозреватель: посмотреть события Transfer, проверить наличие трейдинга на DEX и увидеть реальные балансы держателей.
Если адрес контракта отличается хотя бы на один символ — это другой токен, даже если он выглядит идентично. Второй признак подделки — аномалии в механике токена: невозможность продать актив, резкие комиссии, автоматические списания, отсутствие ликвидности или биржевых пар. Проверить это можно через блокчейн-обозреватель: посмотреть события Transfer, проверить наличие трейдинга на DEX и увидеть реальные балансы держателей.
- Коротко:
подделка — это всегда другой контракт + необычная механика, а не внешний вид. Именно поэтому проверка токена должна начинаться не с тикера, а с его контрактного адреса.
-
Что именно расследуем: типовой сценарий кражи
В реальности встречаются четыре частых варианта.
- Первый — подмена токена:вы считали, что работаете с известным активом, но на деле кликнули контракт-дубликат.
- Второй — злонамеренный approve/IncreaseAllowance:вы выдали приложению разрешение списывать токены, после чего они “уехали” одной транзакцией.
- Третий — honeypot/fee-on-transfer:купить можно, продать нельзя или каждая передача режется комиссией, которую контролирует владелец контракта.
- Четвёртый — airdrop-приманка:бессмысленный “подарок”, на взаимодействии с которым вы ловите approve или попадаете на подмену.
Расследование не пытается сразу “деанонить” человека. Его задача — довести деньги до “точки остановки”: биржа, кастодиальный сервис или мост. Там след в публичном блокчейне размыкается, и включаются процедуры заморозки и запросов логов.
-
Инструменты и их роли
Etherscan — ваш первый объектив. Здесь видны движения средств, события (Events), внутренние переводы (internal transactions).
- 📍Примечание: для других блокчейнов используются свои обозреватели. Принцип работы тот же — разный только домен и структура интерфейса.
Ниже — аналоги для популярных сетей:- Bitcoin: https://www.blockchain.com/explorer
- BNB Chain: https://bscscan.com
- Polygon: https://polygonscan.com
- Arbitrum: https://arbiscan.io
- Optimism: https://optimistic.etherscan.io
- Tron: https://tronscan.org
- Avalanche: https://snowtrace.io
Etherscan
- 📍 Примечание: базовая разметка существует и в блокчейн-обозревателях (например, на Etherscan можно встретить пометки вроде Binance 14, Kraken Hot Wallet и т.д.).
Но её очень мало: она фрагментарная, не обновляется регулярно и покрывает лишь крупные сервисы.
Btrace и Arkham содержат значительно более широкую, актуальную и контекстную разметку, указывая возможных владельцев адресов, а также связи между ними. Именно поэтому они используются для полноценного анализа и attribution.
Arkham
Btrace
Важно сверять пометки в двух источниках: разметка всегда неполная, а вам необходимо минимизировать риск ошибки.
Наконец, Bholder — это инструмент профессионального уровня, позволяющий быстро и наглядно сформировать маршрут: жертва → транзит → биржа. Он не просто “удобный”, а существенно упрощает и ускоряет процесс анализа, особенно когда нужно готовить материалы для внешних команд или служб безопасности бирж.
Наконец, Bholder — это инструмент профессионального уровня, позволяющий быстро и наглядно сформировать маршрут: жертва → транзит → биржа. Он не просто “удобный”, а существенно упрощает и ускоряет процесс анализа, особенно когда нужно готовить материалы для внешних команд или служб безопасности бирж.
Bholder
-
Что считаем результатом и что отправляем вовне
Хорошее расследование — то, что ложится в одно письмо. В нём кратко: “XX единиц актива Y ушли DD.MM.YYYY в HH:MM из адреса A, прошли через адрес B и попали на метку биржи C (tx: …). Механика — {approve/подмена токена/honeypot}. Просим freeze/flag, сохранить логи входа и дальнейших переводов”. К письму прикладываем: список хэшей (исходная, транзиты, вход на биржу), граф связей инструмента Bholder и таблицу транзакцию (hash, from, to, сумма, актив, примечания). Этого достаточно, чтобы AML-команда биржи/сервиса быстро сопоставила ваши данные со своей внутренней телеметрией.
Важно понимать границы: публичный блокчейн может довести вас до кастодиального ввода; дальше чаще всего — компетенция площадки и правоохранителей.
Важно понимать границы: публичный блокчейн может довести вас до кастодиального ввода; дальше чаще всего — компетенция площадки и правоохранителей.
- 📍 OSINT (Open-Source Intelligence) — это сбор и анализ открытых данных: соцсети, доменные/Whois-записи, утечки, форумы, блокчейн-метки, судебные и корпоративные реестры, медиа и т.п.
К OSINT имеет смысл переходить, когда:- Вы уже зафиксировали цепочку транзакций и “стоп-точку” (биржа/кастоди/мост).
- Биржа и правоохранители уведомлены, но не смогли идентифицировать/заблокировать злоумышленника.
- Нужны дополнительные зацепки: никнеймы, инфраструктура (домены/боты/кошельки), связки аккаунтов.
- Ещё можно получить результат через формальные каналы (freeze/логирование на бирже, запросы LE).
- Нет чёткой юридической рамки (риски приватности/клеветы, перехождение границ допустимого мониторинга).
-
Пример расследование инцидента и его структура
Данный раздел представляет собой структурированное описание хода расследования инцидента с поддельными токенами — от исходных фактов до технических доказательств и приложений. В нём пошагово раскрываются все элементы типового отчёта: фабула (описание инцидента), краткие итоги, визуализация маршрута средств (граф связей), блокчейн-анализ, перечень транзакций и вспомогательные материалы.
Материал выстроен в логике от общего к частному: сначала даётся контекст и краткая фабула, затем результаты и аналитика движения активов, после чего — подтверждающие данные в виде таблиц, графов и приложений. Каждый подраздел отвечает на свой ключевой вопрос:
Материал выстроен в логике от общего к частному: сначала даётся контекст и краткая фабула, затем результаты и аналитика движения активов, после чего — подтверждающие данные в виде таблиц, графов и приложений. Каждый подраздел отвечает на свой ключевой вопрос:
что произошло (фабула),
Пример фабулы инцидента
куда ушли средства и что установлено (итоги),
Пример итогов расследования
как это визуализируется (граф связей),
Пример графа связей
как именно происходило движение активов (блокчейн-расследование),
какие конкретно транзакции и адреса задействованы (перечень хэшей),
какие дополнительные данные подтверждают выводы (приложение).
Ниже последовательно рассмотрены все эти блоки — от описания инцидента до полного набора доказательной базы, необходимой для передачи отчёта в биржи, службы комплаенса или правоохранительные органы.
Фабула (преамбула) — это краткое вводное описание инцидента, своего рода «паспорт дела». Здесь фиксируется, кто, когда, где и что потерял, а также при каких обстоятельствах это произошло. Цель фабулы — дать читателю или проверяющему мгновенное понимание сути инцидента без необходимости погружаться в детали блокчейн-анализа.
В фабуле обязательно указываются:
В фабуле обязательно указываются:
- Заявитель (потерпевшая сторона) — физическое или юридическое лицо, от имени которого ведётся расследование.
- Предполагаемый злоумышленник — если известен, приводится адрес кошелька, псевдоним, биржевой аккаунт или иная идентификация.
- Дата и время инцидента — момент вывода средств или первой подозрительной транзакции.
- Сумма и актив — количество и тип украденных средств (включая сеть и токен по адресу контракта).
- Сеть (blockchain) — например, Ethereum, BNB Smart Chain, Tron и т. д.
- Описание механики происшествия — в 2–3 предложениях объясняется, как именно произошла кража (например, фишинговый сайт, подмена токена, вредоносный approve и т. п.).
Фабула должна быть короткой, но содержательной. Она создаёт основу для последующих разделов и позволяет любому участнику (бирже, следователю, аналитической платформе) быстро понять контекст дела.
- Фабула (краткая преамбула):Физическое лицо (данные скрыты) сообщило о хищении [сумма, актив] из кошелька в сети [сеть] [дата, время]. Средства были выведены на сторонний адрес [адрес, если известен].
Инцидент связан с вовлечением заявителя в мошенническую схему через мессенджер: ему предлагали «инвестиции/арбитраж», просили совершать переводы через онлайн-обменники и увеличивать оборот. В процессе злоумышленники отправляли поддельные токены, внешне похожие на реальные, но выпущенные по другим смарт-контрактам и не имеющие ликвидности.
После серии операций поступления средств прекратились, был запрошен «дополнительный платёж для разблокировки», что является типичным признаком мошенничества. Анализ показал совпадения с аналогичными схемами из открытых источников, что указывает на организованный характер действий.
Краткие итоги инцидента — это компактный, но ёмкий блок отчёта, в котором фиксируются ответы на ключевые вопросы расследования и даётся понятная операционная инструкция для следующего шага (биржа, LE, внутреннее расследование). Его задача — за одну — три читабельные единицы информации дать представление о том, куда ушли деньги, как ими распоряжались и какие действия требуют немедленной реакции.
В тексте кратких итогов обязательно должно быть ясно и по пунктам:
В тексте кратких итогов обязательно должно быть ясно и по пунктам:
- Куда попали украденные средства — конечные адреса/метки (биржи, мосты, обменники), список транзитных адресов и время входа на кастодиальную площадку. Укажите также хэши ключевых транзакций (исходная, транзитные, вход на биржу).
- Чем пользовался злоумышленник — инструменты и механики (approve, контракт-дубликат, honeypot, airdrop, смарт-контракты с fee-on-transfer и т. п.), а также вспомогательная инфраструктура (онлайн-обменники, конкретные сайты, Telegram-аккаунты — по возможности обезличенно и с пометкой источника).
- Как выглядит граф связей — краткое описание маршрута средств в виде «жертва → транзитные адреса → агрегатор/биржа → вывод на фиат/мост», с пометкой, где есть узлы с высокой вероятностью контроля одной группы. Это помогает визуально понять сценарий отмывания и приоритеты для фризинга.
- Оценка текущего статуса и срочность — можно/нужно ли просить заморозку (freeze), какие логи/документы требуются от площадки, есть ли подтверждённые переводы на известные биржи или мосты. Укажите уровень уверенности в атрибуции (например: подтверждённая, вероятная, предположительная) и критичные временные рамки (вход на биржу — дата/время).
- Краткие итоги инцидента:В результате расследования установлено, что похищенные средства в эквиваленте 65 000 TRX были распределены по ряду депозитных адресов, которые на основании блокчейн-разметки и агрегированных меток соответствуют сервисам: Bybit, Binance, MEXC, FixedFloat, ChangeNow, Yobit, WhiteBit (в отчёте — метки, а не прямые обвинения платформ). Дополнительный аналитический слой указывает, что средства, использованные для генерации и маркетинга поддельных токенов, исходили от адресов/транзакций, помеченных как связанные с сервисом, идентифицированным по метке FixedFloat. Уровень уверенности в маркировке — вероятная (на основе совпадения временных окон переводов, сумм и поведения транзакций); окончательную верификацию можно получить только через официальные запросы к площадкам.
Ключевые факты (кратко и по пунктам):- Сумма: 65 000 TRX (указанные суммы в токене; в приложении — пересчёт в USD по курсу на момент транзакций).
- Куда попали средства: депозитные адреса с метками Bybit, Binance, MEXC, FixedFloat, ChangeNow, Yobit, WhiteBit (список адресов и соответствующие хэши — в разделе «Перечень адресов и хэшей»).
- Источник финансирования схемы поддельных токенов: транзакции, помеченные как связанные с FixedFloat (рекомендована проверка записей и KYC/логов платформы для подтверждения личности отправителя).
- Уровень уверенности: вероятная атрибуция на основе on-chain маркировок и поведения транзакций; окончательная атрибуция требует данных от указанных сервисов.
Граф связей — это наглядная диаграмма, где узлы — это адреса/сервисы, а связи — транзакции между ними. Его задача — визуализировать путь похищенных средств: от исходного списания до транзитных адресов и до финальных точек, где след обрывается или средства концентрируются.
Зачем он нужен:
Зачем он нужен:
- Даёт быстрый визуальный обзор: кто с кем переводил, какие адреса выступают «хабами», где концентрируется поток средств.
- Помогает приоритизировать действия: сразу видно, какие адреса требуют запросов на freeze/инфо в первую очередь (центральные узлы и входы на централизованные площадки).
- Упрощает коммуникацию: граф — понятный формат для AML-команд и следствия; в нём проще показать маршрут и приложить хэши.
- Выявляет тактики отмывания: последовательности переводов, разветвления, смешение с миксерами или мостами.
- Фиксирует «точки остановки»: финальными узлами на графе обычно являются централизованные депозитные адреса, миксеры, мосты или сервисы, через которые дальнейшая трассировка затрудняется.
Граф связей:
Инструмент Bholder
Блокчейн-расследование — это основной аналитический раздел отчёта, описывающий движение похищенных средств: кто, когда, каким способом и в каком объёме совершил хищение, а также через какие сервисы проходили активы. Здесь фиксируются ключевые транзакции (Approve, Transfer, Internal Tx), хэши, даты, суммы и сети. Основной акцент — на маршрутах движения средств от кошелька жертвы до конечных узлов (биржи, обменники, мосты, миксеры), а также методах злоумышленника (фейковый контракт, фишинг и т.п.) и инструментах анализа (Etherscan, Arkham, Btrace).
Итоги расследования:
В период 31 января — 17 апреля 2025 года потерпевшая сторона совершила 15 исходящих транзакций на адреса сервисов, которые имитировали легальные обменники и участвовали в фишинговой схеме. Все полученные активы являлись поддельными токенами, созданными по иным контрактам и не имеющими рыночной стоимости, что позволяет считать соответствующие депозитные адреса аффилированными с злоумышленниками.
Анализ по методике LIFO показал, что основной объём средств направлялся через три связанных адреса ([2], [3], [4]), формирующих единый кластер под контролем злоумышленника. Они получали средства напрямую от кошелька жертвы [1] и распределяли их по внешним сервисам, включая биржи, что указывает на дробление и попытку отмывания средств.
В период 31 января — 17 апреля 2025 года потерпевшая сторона совершила 15 исходящих транзакций на адреса сервисов, которые имитировали легальные обменники и участвовали в фишинговой схеме. Все полученные активы являлись поддельными токенами, созданными по иным контрактам и не имеющими рыночной стоимости, что позволяет считать соответствующие депозитные адреса аффилированными с злоумышленниками.
Анализ по методике LIFO показал, что основной объём средств направлялся через три связанных адреса ([2], [3], [4]), формирующих единый кластер под контролем злоумышленника. Они получали средства напрямую от кошелька жертвы [1] и распределяли их по внешним сервисам, включая биржи, что указывает на дробление и попытку отмывания средств.
О графе связей:
Граф отображает движение активов между адресами: круги — отдельные кошельки, квадраты — кластеры (биржи, обменники). Финальные точки — централизованные сервисы, где on-chain-след обрывается. На графе также показаны источники финансирования и адреса ([4], [6]), через которые поддельные токены поступали на кошельки жертв ([7], [8]). Центральный сервис [5] выступает источником ликвидности, направляемой злоумышленникам для выпуска фейковых активов.
Граф отображает движение активов между адресами: круги — отдельные кошельки, квадраты — кластеры (биржи, обменники). Финальные точки — централизованные сервисы, где on-chain-след обрывается. На графе также показаны источники финансирования и адреса ([4], [6]), через которые поддельные токены поступали на кошельки жертв ([7], [8]). Центральный сервис [5] выступает источником ликвидности, направляемой злоумышленникам для выпуска фейковых активов.
Инструмент Bholder
- ВыводыАнализ транзакций показывает, что финансирование создания поддельных токенов поступало с адресов, связанных с сервисом [5]. Для установления причастных лиц рекомендуется направить официальный запрос в адрес этого сервиса с запросом KYC-данных, логов и информации о транзакциях, участвовавших в выпуске фейковых активов.
Перечень адресов и транзакций
Этот раздел — «рабочая карта» расследования: таблица с ключевыми on-chain данными (адреса, хэши, суммы, токены, роли адресов). Формат — CSV/Excel и JSON для повторной верификации и передачи в AML/LE.
Заключение
Поддельные токены маскируются под настоящие, но выпускаются с других контрактов. Эффективное расследование строится на фиксации ключевых точек (контракт, хэши, маршруты) и доведении средств до финальной точки остановки — централизованного сервиса, где возможны freeze и получение логов.
Основные выводы:- Опознавать токен нужно по адресу контракта, а не по тикеру.
- Граф связей показывает маршрут активов: жертва → транзит → централизованные сервисы.
- Блокчейн-расследование фиксирует ключевые хэши, суммы, события и методы злоумышленников.
- Таблица транзакций + приложение служат доказательной базой для AML и LE.
- Алгоритм действий: собрать данные → отправить запросы сервисам → зафиксировать ответы → при необходимости передать материалы правоохранителям.
Хотите узнать больше и получить консультацию экспертов? Оставьте email и мы с вами оперативно свяжемся!
Проверьте блокчейн-адрес с помощью Btrace
За секунды определите уровень риска адреса контрагента, узнайте источник его средств и примите взвешенное решение о взаимодействии с ним.
ПРЕДОТВРАТИте БЛОКИРОВКУ СРЕДСТВ
ОГРАДИте себя от мошенников
избегите проблем с законом
Смотрите также
