Главное Авторские колонки Вакансии Вопросы
Выбор редакции:
😼
Выбор
редакции
AML Crypto AML Crypto 546 0 В избр. Сохранено
Авторизуйтесь
Вход с паролем

Расследование инцидентов с поддельными токенами: как выявить и отследить мошенничество

Профессиональный разбор инцидентов с поддельными токенами: как определить фейковый контракт, отследить движение средств и подготовить доказательную базу для бирж и правоохранителей.
Мнение автора может не совпадать с мнением редакции

Поддельные токены опасны прежде всего тем, что выглядят как настоящие: тот же тикер, знакомый логотип, похожий интерфейс, тот же «стиль» контракта. Снаружи всё кажется корректным — но внутри скрываются другие смарт-контракты, завышенные комиссии, чёрные списки и механизмы, из которых пользователь уже не может выбраться.

Эта статья создана для читателей, которые уже имеют базовое понимание блокчейна и сталкивались с ончейн-анализом или расследованиями. Мы разберём реальный пример — не для академической теории, а чтобы на практике показать, как обнаружить, куда «застряли» деньги, что именно произошло и какие шаги можно предпринять уже сегодня.

Дальше материал будет становиться сложнее: мы будем глубже погружаться в цепочки транзакций, структуру контрактов и работу аналитических инструментов. Но именно этот путь позволит увидеть полную картину и понять, как подобные схемы устроены — и как им противостоят

С чего начинаем: зафиксировать факт и цель

В любой истории с поддельными токенами полезно мысленно проиграть дорожную сцену: автомобиль исчезает со стоянки, и нас интересуют три вещи — куда он поехал, кто оказался в салоне и какие камеры это зафиксировали. В крипте это переводится так: на какой адрес ушли средства, какая механика позволила вывести их без вашего согласия, и какие транзакции/логи подтвердят каждый шаг.

Если кошелёк жертвы был скомпрометирован — например, через фишинг или злонамеренный approve — то на момент вывода мы считаем его фактически под контролем злоумышленника. Это важный сдвиг роли: транзакция «жертва → злоумышленник» в таком случае — не добровольный перевод, а технический симптом компрометации.

Дальше фиксируем рамки: сеть (допустим, Ethereum), актив (ETH или токен строго по адресу контракта, а не по символу), объём (скажем, 63 000 TRX), дата и хэш транзакции, в которой средства ушли «наружу». Это ваша опорная точка: от неё мы протягиваем нитку по цепочке.

Как определить, что токен поддельный

Поддельные токены чаще всего маскируются под реальные за счёт совпадающего названия, тикера и логотипа, поэтому ориентироваться только на внешний вид нельзя. Главный критерий подлинности — адрес смарт-контракта. Настоящий токен всегда имеет один официальный контракт, указанный на сайте проекта, в его документации или на проверенных платформах (CoinGecko, CoinMarketCap, Etherscan Verified).

Если адрес контракта отличается хотя бы на один символ — это другой токен, даже если он выглядит идентично. Второй признак подделки — аномалии в механике токена: невозможность продать актив, резкие комиссии, автоматические списания, отсутствие ликвидности или биржевых пар. Проверить это можно через блокчейн-обозреватель: посмотреть события Transfer, проверить наличие трейдинга на DEX и увидеть реальные балансы держателей.

Коротко:
подделка — это всегда другой контракт + необычная механика, а не внешний вид. Именно поэтому проверка токена должна начинаться не с тикера, а с его контрактного адреса.

Что именно расследуем: типовой сценарий кражи

В реальности встречаются четыре частых варианта.

  • Первый — подмена токена:
    вы считали, что работаете с известным активом, но на деле кликнули контракт-дубликат.
  • Второй — злонамеренный approve/IncreaseAllowance:
    вы выдали приложению разрешение списывать токены, после чего они «уехали» одной транзакцией.
  • Третий — honeypot/fee-on-transfer:
    купить можно, продать нельзя или каждая передача режется комиссией, которую контролирует владелец контракта.
  • Четвёртый — airdrop-приманка:
    бессмысленный «подарок», на взаимодействии с которым вы ловите approve или попадаете на подмену.

Расследование не пытается сразу «деанонить» человека. Его задача — довести деньги до «точки остановки»: биржа, кастодиальный сервис или мост. Там след в публичном блокчейне размыкается, и включаются процедуры заморозки и запросов логов.

Инструменты и их роли

Etherscan — ваш первый объектив. Здесь видны движения средств, события (Events), внутренние переводы (internal transactions).

📍 Примечание: для других блокчейнов используются свои обозреватели. Принцип работы тот же — разный только домен и структура интерфейса.
Ниже — аналоги для популярных сетей:



Etherscan

Btrace и Arkham — это «таблички на дверях»: они подсказывают, какие адреса принадлежат биржам, обменникам, мостам.

📍 Примечание: базовая разметка существует и в блокчейн-обозревателях (например, на Etherscan можно встретить пометки вроде Binance 14, Kraken Hot Wallet и т.д.).
Но её очень мало: она фрагментарная, не обновляется регулярно и покрывает лишь крупные сервисы.
Btrace и Arkham содержат значительно более широкую, актуальную и контекстную разметку, указывая возможных владельцев адресов, а также связи между ними. Именно поэтому они используются для полноценного анализа и attribution.


Arkham

Btrace

Важно сверять пометки в двух источниках: разметка всегда неполная, а вам необходимо минимизировать риск ошибки.

Наконец, Bholder — это инструмент профессионального уровня, позволяющий быстро и наглядно сформировать маршрут: жертва → транзит → биржа. Он не просто «удобный», а существенно упрощает и ускоряет процесс анализа, особенно когда нужно готовить материалы для внешних команд или служб безопасности бирж.


Bholder

Что считаем результатом и что отправляем вовне

Хорошее расследование — то, что ложится в одно письмо. В нём кратко: «XX единиц актива Y ушли DD.MM.YYYY в HH:MM из адреса A, прошли через адрес B и попали на метку биржи C (tx: ...). Механика — {approve/подмена токена/honeypot}. Просим freeze/flag, сохранить логи входа и дальнейших переводов». К письму прикладываем: список хэшей (исходная, транзиты, вход на биржу), граф связей инструмента Bholder и таблицу транзакцию (hash, from, to, сумма, актив, примечания). Этого достаточно, чтобы AML-команда биржи/сервиса быстро сопоставила ваши данные со своей внутренней телеметрией.

Важно понимать границы: публичный блокчейн может довести вас до кастодиального ввода; дальше чаще всего — компетенция площадки и правоохранителей.

📍OSINT (Open-Source Intelligence) — это сбор и анализ открытых данных: соцсети, доменные/Whois-записи, утечки, форумы, блокчейн-метки, судебные и корпоративные реестры, медиа и т.п.
К OSINT имеет смысл переходить, когда:

  • Вы уже зафиксировали цепочку транзакций и «стоп-точку» (биржа/кастоди/мост).
  • Биржа и правоохранители уведомлены, но не смогли идентифицировать/заблокировать злоумышленника.
  • Нужны дополнительные зацепки: никнеймы, инфраструктура (домены/боты/кошельки), связки аккаунтов.

К OSINT не стоит спешить, если:

  • Ещё можно получить результат через формальные каналы (freeze/логирование на бирже, запросы LE).
  • Нет чёткой юридической рамки (риски приватности/клеветы, перехождение границ допустимого мониторинга).

Практика: сначала институциональные шаги (биржи/LE), затем точечный, легальный OSINT с фиксацией источников и аккуратной атрибуцией.

Пример расследование инцидента и его структура

Данный раздел представляет собой структурированное описание хода расследования инцидента с поддельными токенами — от исходных фактов до технических доказательств и приложений. В нём пошагово раскрываются все элементы типового отчёта: фабула (описание инцидента), краткие итоги, визуализация маршрута средств (граф связей), блокчейн-анализ, перечень транзакций и вспомогательные материалы.

Материал выстроен в логике от общего к частному: сначала даётся контекст и краткая фабула, затем результаты и аналитика движения активов, после чего — подтверждающие данные в виде таблиц, графов и приложений. Каждый подраздел отвечает на свой ключевой вопрос:

  • что произошло (фабула),


Пример фабулы инцидента
  • куда ушли средства и что установлено (итоги),


Пример итогов расследования
  • как это визуализируется (граф связей),


Пример графа связей
  • как именно происходило движение активов (блокчейн-расследование),
  • какие конкретно транзакции и адреса задействованы (перечень хэшей),
  • какие дополнительные данные подтверждают выводы (приложение).

Ниже последовательно рассмотрены все эти блоки — от описания инцидента до полного набора доказательной базы, необходимой для передачи отчёта в биржи, службы комплаенса или правоохранительные органы.

Фабула (преамбула) — это краткое вводное описание инцидента, своего рода «паспорт дела». Здесь фиксируется, кто, когда, где и что потерял, а также при каких обстоятельствах это произошло. Цель фабулы — дать читателю или проверяющему мгновенное понимание сути инцидента без необходимости погружаться в детали блокчейн-анализа.

В фабуле обязательно указываются:

  1. Заявитель (потерпевшая сторона) — физическое или юридическое лицо, от имени которого ведётся расследование.
  2. Предполагаемый злоумышленник — если известен, приводится адрес кошелька, псевдоним, биржевой аккаунт или иная идентификация.
  3. Дата и время инцидента — момент вывода средств или первой подозрительной транзакции.
  4. Сумма и актив — количество и тип украденных средств (включая сеть и токен по адресу контракта).
  5. Сеть (blockchain) — например, Ethereum, BNB Smart Chain, Tron и т. д.
  6. Описание механики происшествия — в 2–3 предложениях объясняется, как именно произошла кража (например, фишинговый сайт, подмена токена, вредоносный approve и т. п.).

Фабула должна быть короткой, но содержательной. Она создаёт основу для последующих разделов и позволяет любому участнику (бирже, следователю, аналитической платформе) быстро понять контекст дела.

Фабула (краткая преамбула):
Физическое лицо (данные скрыты) сообщило о хищении [сумма, актив] из кошелька в сети [сеть] [дата, время]. Средства были выведены на сторонний адрес [адрес, если известен].
Инцидент связан с вовлечением заявителя в мошенническую схему через мессенджер: ему предлагали «инвестиции/арбитраж», просили совершать переводы через онлайн-обменники и увеличивать оборот. В процессе злоумышленники отправляли поддельные токены, внешне похожие на реальные, но выпущенные по другим смарт-контрактам и не имеющие ликвидности.
После серии операций поступления средств прекратились, был запрошен «дополнительный платёж для разблокировки», что является типичным признаком мошенничества. Анализ показал совпадения с аналогичными схемами из открытых источников, что указывает на организованный характер действий.

Краткие итоги инцидента — это компактный, но ёмкий блок отчёта, в котором фиксируются ответы на ключевые вопросы расследования и даётся понятная операционная инструкция для следующего шага (биржа, LE, внутреннее расследование). Его задача — за одну — три читабельные единицы информации дать представление о том, куда ушли деньги, как ими распоряжались и какие действия требуют немедленной реакции.

В тексте кратких итогов обязательно должно быть ясно и по пунктам:

  • Куда попали украденные средства — конечные адреса/метки (биржи, мосты, обменники), список транзитных адресов и время входа на кастодиальную площадку. Укажите также хэши ключевых транзакций (исходная, транзитные, вход на биржу).
  • Чем пользовался злоумышленник — инструменты и механики (approve, контракт-дубликат, honeypot, airdrop, смарт-контракты с fee-on-transfer и т. п.), а также вспомогательная инфраструктура (онлайн-обменники, конкретные сайты, Telegram-аккаунты — по возможности обезличенно и с пометкой источника).
  • Как выглядит граф связей — краткое описание маршрута средств в виде «жертва → транзитные адреса → агрегатор/биржа → вывод на фиат/мост», с пометкой, где есть узлы с высокой вероятностью контроля одной группы. Это помогает визуально понять сценарий отмывания и приоритеты для фризинга.
  • Оценка текущего статуса и срочность — можно/нужно ли просить заморозку (freeze), какие логи/документы требуются от площадки, есть ли подтверждённые переводы на известные биржи или мосты. Укажите уровень уверенности в атрибуции (например: подтверждённая, вероятная, предположительная) и критичные временные рамки (вход на биржу — дата/время).

Краткие итоги инцидента:
В результате расследования установлено, что похищенные средства в эквиваленте 65 000 TRX были распределены по ряду депозитных адресов, которые на основании блокчейн-разметки и агрегированных меток соответствуют сервисам: Bybit, Binance, MEXC, FixedFloat, ChangeNow, Yobit, WhiteBit (в отчёте — метки, а не прямые обвинения платформ). Дополнительный аналитический слой указывает, что средства, использованные для генерации и маркетинга поддельных токенов, исходили от адресов/транзакций, помеченных как связанные с сервисом, идентифицированным по метке FixedFloat. Уровень уверенности в маркировке — вероятная (на основе совпадения временных окон переводов, сумм и поведения транзакций); окончательную верификацию можно получить только через официальные запросы к площадкам.
Ключевые факты (кратко и по пунктам):

  • Сумма: 65 000 TRX (указанные суммы в токене; в приложении — пересчёт в USD по курсу на момент транзакций).
  • Куда попали средства: депозитные адреса с метками Bybit, Binance, MEXC, FixedFloat, ChangeNow, Yobit, WhiteBit (список адресов и соответствующие хэши — в разделе «Перечень адресов и хэшей»).
  • Источник финансирования схемы поддельных токенов: транзакции, помеченные как связанные с FixedFloat (рекомендована проверка записей и KYC/логов платформы для подтверждения личности отправителя).
  • Уровень уверенности: вероятная атрибуция на основе on-chain маркировок и поведения транзакций; окончательная атрибуция требует данных от указанных сервисов.

Граф связей — это наглядная диаграмма, где узлы — это адреса/сервисы, а связи — транзакции между ними. Его задача — визуализировать путь похищенных средств: от исходного списания до транзитных адресов и до финальных точек, где след обрывается или средства концентрируются.

Зачем он нужен:

  • Даёт быстрый визуальный обзор: кто с кем переводил, какие адреса выступают «хабами», где концентрируется поток средств.
  • Помогает приоритизировать действия: сразу видно, какие адреса требуют запросов на freeze/инфо в первую очередь (центральные узлы и входы на централизованные площадки).
  • Упрощает коммуникацию: граф — понятный формат для AML-команд и следствия; в нём проще показать маршрут и приложить хэши.
  • Выявляет тактики отмывания: последовательности переводов, разветвления, смешение с миксерами или мостами.
  • Фиксирует «точки остановки»: финальными узлами на графе обычно являются централизованные депозитные адреса, миксеры, мосты или сервисы, через которые дальнейшая трассировка затрудняется.

Граф связей:


Инструмент Bholder

Блокчейн-расследование — это основной аналитический раздел отчёта, описывающий движение похищенных средств: кто, когда, каким способом и в каком объёме совершил хищение, а также через какие сервисы проходили активы. Здесь фиксируются ключевые транзакции (Approve, Transfer, Internal Tx), хэши, даты, суммы и сети. Основной акцент — на маршрутах движения средств от кошелька жертвы до конечных узлов (биржи, обменники, мосты, миксеры), а также методах злоумышленника (фейковый контракт, фишинг и т.п.) и инструментах анализа (Etherscan, Arkham, Btrace).

Итоги расследования:
В период 31 января — 17 апреля 2025 года потерпевшая сторона совершила 15 исходящих транзакций на адреса сервисов, которые имитировали легальные обменники и участвовали в фишинговой схеме. Все полученные активы являлись поддельными токенами, созданными по иным контрактам и не имеющими рыночной стоимости, что позволяет считать соответствующие депозитные адреса аффилированными с злоумышленниками.

Анализ по методике LIFO показал, что основной объём средств направлялся через три связанных адреса ([2], [3], [4]), формирующих единый кластер под контролем злоумышленника. Они получали средства напрямую от кошелька жертвы [1] и распределяли их по внешним сервисам, включая биржи, что указывает на дробление и попытку отмывания средств.

О графе связей:
Граф отображает движение активов между адресами: круги — отдельные кошельки, квадраты — кластеры (биржи, обменники). Финальные точки — централизованные сервисы, где on-chain-след обрывается. На графе также показаны источники финансирования и адреса ([4], [6]), через которые поддельные токены поступали на кошельки жертв ([7], [8]). Центральный сервис [5] выступает источником ликвидности, направляемой злоумышленникам для выпуска фейковых активов.


Инструмент Bholder

Выводы

Анализ транзакций показывает, что финансирование создания поддельных токенов поступало с адресов, связанных с сервисом [5]. Для установления причастных лиц рекомендуется направить официальный запрос в адрес этого сервиса с запросом KYC-данных, логов и информации о транзакциях, участвовавших в выпуске фейковых активов.

Перечень адресов и транзакций
Этот раздел — «рабочая карта» расследования: таблица с ключевыми on-chain данными (адреса, хэши, суммы, токены, роли адресов). Формат — CSV/Excel и JSON для повторной верификации и передачи в AML/LE.

Заключение
Поддельные токены маскируются под настоящие, но выпускаются с других контрактов. Эффективное расследование строится на фиксации ключевых точек (контракт, хэши, маршруты) и доведении средств до финальной точки остановки — централизованного сервиса, где возможны freeze и получение логов.

Основные выводы:

  • Опознавать токен нужно по адресу контракта, а не по тикеру.
  • Граф связей показывает маршрут активов: жертва → транзит → централизованные сервисы.
  • Блокчейн-расследование фиксирует ключевые хэши, суммы, события и методы злоумышленников.
  • Таблица транзакций + приложение служат доказательной базой для AML и LE.
  • Алгоритм действий: собрать данные → отправить запросы сервисам → зафиксировать ответы → при необходимости передать материалы правоохранителям.

Этот подход позволяет быстро перейти от факта инцидента к конкретным действиям, увеличивая шансы на заморозку средств и установление причастных лиц.

0
В избр. Сохранено
Авторизуйтесь
Вход с паролем
Комментарии
Выбрать файл
Не пропустите публикацию!
AML Crypto
АМЛ проверки крипто адресов, блокчейн аналитика, крипто расследования.
Блог проекта
Расскажите историю о создании или развитии проекта, поиске команды, проблемах и решениях
Написать
Личный блог
Продвигайте свои услуги или личный бренд через интересные кейсы и статьи
Написать
О проекте Проекты Реклама Связаться с редакцией
Редакция team@spark.ruТехническая поддержка help@spark.ruПродвижение adv@spark.ruТелефон +7 495 137-07-07
Учредитель сетевого издания Барабанова.Ю.Б., ИНН 500111143150
Редакционные материалы ООО «Редакция Спарк Ру»
Сообщения и материалы сетевого издания Spark (за исключением авторских колонок) (зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27 января 2025 года за номером ЭЛ №ФС77-89031 сопровождаются пометкой «Spark_news» или «Редакция Spark.ru», или «Spark».
Правовая информация Правила пользования сайтом Политика обработки персональных данных Правила рекомендательных технологий

Spark использует cookie-файлы. С их помощью мы улучшаем работу нашего сайта и ваше взаимодействие с ним.