Все новости крипты
в одном месте!
Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой
Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой
Представьте: вы переводите USDT — не первый раз, маршрут знакомый, адрес скопировали из истории, как обычно. Деньги ушли. И только потом приходит понимание, что адрес был чуть другим. Первые символы совпадали, последние тоже — а середина оказалась чужой. Именно так работает address poisoning в крипте, и именно так в январе 2026 года один пользователь лишился 4 556 ETH — больше 12 миллионов долларов.
Это не взлом кошелька. Это атака на внимательность. И она работает.
Address poisoning — это мошенническая манипуляция историей транзакций, при которой злоумышленник внедряет в вашу адресную книгу или список недавних операций адрес-двойник, визуально неотличимый от настоящего.
Суть проста и жестока: мошенник не взламывает ваш кошелёк, не крадёт seed phrase и не получает доступ к вашим ключам. Он просто терпеливо ждёт, пока вы сами совершите ошибку — скопируете его адрес вместо настоящего. Деньги уходят добровольно. Жертва сама нажимает «Отправить».
Главная цель атаки — подменить «знакомый» маршрут перевода. Если вы раньше переводили USDT на определённый адрес и привыкли брать его из истории операций, мошенник встраивает в эту историю похожий адрес — чтобы в следующий раз вы скопировали его вместо оригинала.
Исследование Университета Карнеги — Меллона, опубликованное на симпозиуме USENIX Security в 2026 году, показало: address poisoning стал одним из крупнейших фишинговых механизмов в публичных блокчейнах сегодня. За период с июля 2022 по июнь 2024 года на Ethereum и BNB Chain зафиксировано около 270 миллионов попыток таких атак, а подтверждённые потери составили не менее 83,8 млн долларов.
Механизм атаки складывается из нескольких шагов, каждый из которых логичен и хорошо продуман. Понимание этой цепочки — первый шаг к защите.
Блокчейн публичен. Любой может отследить, на какие адреса вы переводите средства, с какой регулярностью, какими суммами. Злоумышленник выбирает цель — пользователя с активной историей переводов, крупными остатками и повторяющимися маршрутами. Именно такие адреса атакуются в первую очередь.
Специальные инструменты — vanity address генераторы — позволяют подобрать адрес, первые и последние символы которого совпадают с целевым. Середина адреса будет другой, но пользователь, как правило, её не читает. Визуально адрес выглядит «тем самым».
Чтобы похожий адрес появился в вашей истории, злоумышленник отправляет небольшую транзакцию — иногда 0 USDT, иногда минимальную сумму — с фейкового адреса на ваш кошелёк или наоборот. Это называется zero-value transaction, и именно она «загрязняет» вашу историю операций.
После того как нулевая транзакция прошла, поддельный адрес оказывается в списке ваших недавних операций — рядом с настоящим. Внешне они почти одинаковы.
Атака завершена. Дальше мошенник просто ждёт. Когда вы в следующий раз откроете историю транзакций, чтобы скопировать адрес получателя, — есть риск взять не тот. Подтверждение транзакции, и деньги уходят навсегда.
Именно такую схему Chainalysis разобрала в масштабной кампании, где было выявлено более 82 000 поддельных адресов — и жертва едва не лишилась 68 миллионов долларов в обёрнутом биткоине.
В 2025–2026 годах атаки эволюционировали: злоумышленники используют автоматизацию и ИИ, отслеживают мемпул в реальном времени и перехватывают тестовые транзакции — сразу после маленького теста они подсовывают поддельный адрес и ждут крупного перевода. Именно по такой схеме в декабре 2025 года жертва потеряла 50 миллионов USDT менее чем за 30 минут.
USDT — стейблкоин, который чаще всего используется для повседневных переводов в крипте. Именно эта особенность делает его главной мишенью address poisoning.
Если вы регулярно отправляете USDT на один и тот же адрес — бирже, партнёру, самому себе между кошельками — у вас формируется привычка копировать адрес из истории. Это удобно. Но именно на эту привычку охотятся мошенники.
Повторяющийся сценарий порождает автоматизм. Открыл историю, увидел «знакомый» адрес, скопировал, вставил, отправил. Именно на этом автопилоте строится вся атака.
Пользователь, который разбирается в том, в каких сетях работает USDT, знает: адрес TRC20 начинается с «T», адрес ERC20 — с «0x», адрес TON — длинная строка в другом формате. Но в момент переноса средств между сетями голова занята сетью, а не адресом. Мошенники используют именно этот момент рассеянности.
Большинство кошельков на смартфоне показывает адрес в виде «0x1234…abcd» — видны только первые и последние символы. Именно они совпадают у настоящего и поддельного адреса. Мошенник заранее это знает и проектирует lookalike-адрес под мобильный формат отображения.
Lookalike-адрес — не просто случайный адрес. Это результат специального подбора, цель которого — максимальное визуальное сходство с оригиналом при минимальных реальных совпадениях.
Первые 4–6 символов идентичны оригиналу. Именно их пользователь видит в первую очередь и запоминает как «метку» адреса.
Последние 4–6 символов тоже совпадают. Пользователь, который привык проверять «начало и конец», получает ложное ощущение безопасности.
Середина — десятки символов — полностью отличается. Но кто из нас внимательно читает середину 42-символьного адреса?
Когда вы видите адрес, начинающийся на «0x4A8f» и заканчивающийся на «e29B», который совпадает с тем, что вы использовали месяц назад, мозг достраивает картину: «это он». Это называется confirmation bias — когнитивное искажение, на котором строится вся атака.
В разобранном Chainalysis кейсе жертва перепутала адреса именно потому, что сверила только начало и конец — и оба совпали. Полная сверка по всей длине адреса — единственная надёжная проверка. Эксперты прямо говорят: проверять нужно весь адрес целиком, а не первые и последние четыре символа.
Если в вашей истории появилась транзакция на 0 USDT или мизерная сумма от незнакомого адреса — это не «мусор» и не случайность. Это сигнал.
Zero-value transaction — это транзакция с нулевой суммой, которую злоумышленник отправляет специально, чтобы его адрес попал в вашу историю операций. Технически блокчейн её записывает, кошелёк её отображает — и поддельный адрес оказывается рядом с настоящим.
Dusting — отправка мельчайших сумм (пыль, dust) с целью «пометить» кошелёк или добиться присутствия своего адреса в истории жертвы. В контексте address poisoning dust-транзакция выступает инструментом «заражения» адресной истории — отсюда и название poisoning.
Чем дольше поддельный адрес присутствует в вашей истории, тем выше вероятность, что при следующем переводе вы его скопируете. Именно поэтому некоторые кампании ведутся неделями и месяцами — Blockaid описал случай, когда кошелёк подвергался «дастингу» два месяца подряд, прежде чем жертва отправила 4 556 ETH.
Многие пользователи видят нулевую транзакцию и думают: «ерунда, кто-то ошибся». Это именно та реакция, на которую рассчитывает мошенник. Нулевой перевод — это не ошибка, это разведка и подготовка.
Чтобы правильно защититься, важно понимать, с чем именно вы имеете дело. Ниже — сравнительная таблица.
| Тип атаки | Как работает | Где пользователь ошибается | Как защититься |
|---|---|---|---|
| Address poisoning | Мошенник внедряет похожий адрес в историю транзакций через нулевой или мелкий перевод | Копирует адрес из истории, не сверяя целиком | Брать адрес только из первоисточника, сверять посимвольно |
| Dusting | Рассылка мизерных сумм для отслеживания кошелька или отравления истории | Не замечает пылевые транзакции, воспринимает их как спам | Отслеживать подозрительные входящие, не использовать адреса из recent activity |
| Clipboard malware | Вредоносное ПО подменяет адрес в буфере обмена в момент вставки | Не сверяет вставленный адрес с источником после вставки | Проверять адрес после вставки — до отправки |
| Фейковая поддержка | Мошенник выдаёт себя за поддержку биржи и просит отправить средства | Доверяет «представителю» и отправляет по указанному адресу | Никогда не отправлять средства по адресу, полученному в чате |
Ключевое отличие: clipboard malware подменяет адрес в момент копирования прямо в буфере обмена — вы копируете правильный адрес, а в поле вставляется другой. Address poisoning не вмешивается в ваше устройство вообще — он работает через вашу историю транзакций и ваш собственный выбор.
Ошибка сети — это когда пользователь правильный адрес отправляет по неверной сети: например, TRC20-адрес указан верно, но выбрана сеть ERC20. При address poisoning адрес изначально неверный. Это разные риски, и оба требуют отдельного внимания — о разнице между USDT ERC20 и TRC20 стоит читать отдельно.
| Признак | Address poisoning | Обычная ошибка |
|---|---|---|
| Как выглядит | Похожий адрес в истории операций | Опечатка или неверная сеть |
| В чём причина | Целенаправленная атака мошенника | Невнимательность пользователя |
| Кто виноват | Мошенник создал ловушку, пользователь в неё попал | Пользователь сам ошибся |
| Можно ли предотвратить | Да — через первоисточник и полную сверку | Да — через тестовый перевод и двойную проверку |
Понимание типичных сценариев помогает не потерять бдительность именно в тот момент, когда атака наиболее вероятна.
Казалось бы, самый безопасный перевод — самому себе. Но именно здесь пользователь чаще всего берёт адрес из истории, потому что «я же знаю этот адрес, я сам его использовал». Мошенник рассчитывает именно на эту уверенность. Прежде чем как безопасно перевести USDT самому себе — проверяйте адрес в первоисточнике, а не в истории.
При выводе с биржи пользователь нередко копирует адрес кошелька из истории недавних выводов. Если история «отравлена», появляется риск вставить адрес мошенника вместо своего.
В OTC-торговле адреса обновляются при каждой сделке, и пользователь привыкает брать актуальный адрес из истории предыдущей транзакции. Именно эта привычка делает OTC-клиентов особенно уязвимыми.
«Я ему уже переводил — возьму адрес из истории». Логика понятна, риск реальный. Адрес в истории мог быть подменён ещё в прошлый раз.
Некоторые пользователи идут в block explorer, находят свою прошлую транзакцию и копируют оттуда адрес получателя. Если мошенник уже успел «отравить» историю нулевой транзакцией — там будет и его адрес, неотличимый от вашего.
Это центральный практический блок. Каждый из этих пунктов — не теория, а конкретное действие, которое защищает реальные деньги.
Правило номер один: история транзакций — не источник адреса. Это журнал прошлых операций, который может быть скомпрометирован. Если вы всё же берёте адрес оттуда — обязательно сверьте его посимвольно с оригиналом.
Именно это отличает осторожного пользователя от жертвы. Lookalike-адрес спроектирован под «беглый взгляд на начало и конец». Полная сверка — единственный способ его выявить.
Первоисточник — это: личный чат с получателем, ваша заметка с адресом, address book в кошельке или бирже, официальная страница сервиса. Не история транзакций, не block explorer, не скриншот.
Тестовый перевод — небольшая сумма, которую вы отправляете перед крупной транзакцией. Если тест дошёл — адрес верный. Это особенно важно при покупке USDT за рубли и первом переводе на новый адрес.
Важно: Blockaid зафиксировал атаки, при которых мошенники отслеживают мемпул и после вашего тестового перевода немедленно «отравляют» историю своим адресом, рассчитывая, что крупный перевод уйдёт им. Поэтому после тестового перевода адрес получателя нужно сверять заново — из первоисточника, а не из обновлённой истории.
Сеть и адрес — это два отдельных параметра, и оба требуют проверки. Пользователь, который сосредоточен на адресе, может упустить сеть — и наоборот. Эти два параметра нужно проверять последовательно и независимо.
Address book, белый список, заметки в защищённом приложении — любой инструмент, который позволяет хранить проверенные адреса и не возвращаться к истории транзакций каждый раз. Это радикально снижает риск.
Если пришёл 0 USDT от незнакомого адреса — не воспринимайте это как безобидный спам. Это попытка «отравить» вашу историю. Не копируйте этот адрес, не взаимодействуйте с ним.
Три сети — три логики проверки. Понимание разницы помогает не запутаться в момент перевода.
Прежде чем копировать адрес, убедитесь: вы отправляете USDT в той же сети, в которой он будет принят получателем. Как перевести USDT и не потерять деньги на ошибке сети — отдельный вопрос, который стоит изучить.
| Сеть | Что сверять | Где ошибаются новички | Риск при невнимательности |
|---|---|---|---|
| TRC20 | Адрес начинается с «T», длина 34 символа | Берут адрес ERC20 (0x…) по ошибке | Потеря USDT при отправке в неверную сеть или на поддельный адрес |
| ERC20 | Адрес начинается с «0x», длина 42 символа | Путают с BSC или другими EVM-сетями | Высокие комиссии и риск ошибки при «похожих» адресах |
| TON | Длинный строковый адрес, специфический формат | Копируют из истории без сверки | Adress poisoning через нулевые Toncoin-транзакции |
Откуда взят адрес? Из истории — стоп. Из официального источника или личного контакта — продолжайте, но всё равно сверяйте.
Разбейте адрес на блоки по 4–6 символов и сверяйте каждый блок с оригиналом. Это займёт 15 секунд и может сохранить тысячи долларов.
При выводе на Telegram Wallet или ряд бирж memo/tag — обязательный параметр. Его тоже можно подменить — проверяйте отдельно.
Минимальная сумма — это ваша страховка. Если тест прошёл корректно, убедитесь ещё раз, что при крупном переводе вы используете тот же адрес из того же источника.
Появление подозрительного адреса в истории не означает, что ваш кошелёк скомпрометирован. Это лишь значит, что кто-то провёл «отравляющую» транзакцию. Ваши средства в безопасности — пока вы не скопировали и не использовали поддельный адрес.
Любой незнакомый адрес в истории — потенциально опасный. Не копируйте его, даже если он похож на ваш или на адрес, которому вы раньше переводили.
Если вы используете сохранённые адреса в кошельке или на бирже — проверьте их. Убедитесь, что каждый из них взят из надёжного источника, а не скопирован из истории транзакций.
Whitelist (белый список) — функция, доступная на большинстве бирж. Она позволяет заранее сохранить проверенные адреса и разрешить вывод только на них. Это не даёт 100% защиты, но радикально снижает риск ошибки.
Подумайте о своём привычном поведении. Если вы автоматически открываете историю и копируете последний адрес — это паттерн, который нужно изменить. Прямо сейчас.
Это вопрос, который задаёт каждый, кто столкнулся с проблемой. Ответ жёсткий, но честный.
Блокчейн-транзакция финальна. После подтверждения блоком отменить её невозможно — ни биржа, ни разработчики, ни суд не могут «вернуть» USDT обратно. Это фундаментальное свойство децентрализованных сетей.
Если перевод ещё не подтверждён — иногда биржа может его заморозить. Также если средства пришли на биржевой адрес мошенника, централизованная биржа теоретически может заблокировать вывод. Это единственное окно возможностей.
В большинстве случаев мошенник использует децентрализованный кошелёк и немедленно выводит средства через цепочку адресов. К моменту, когда жертва осознала потерю, деньги уже «перемешаны» и недостижимы.
Как не потерять крипту в 2026 году — это всегда про предотвращение, а не про возврат. Блокчейн не прощает ошибок. Address poisoning — это атака, у которой нет технического «лечения» после совершения транзакции.
Вот шесть поведенческих паттернов, которые делают пользователя уязвимым к address poisoning:
Понимание того, что такое адрес кошелька в принципе, — основа защиты. Адрес — это публичный идентификатор, который виден всем участникам сети. Именно его публичность позволяет мошеннику изучить вашу историю и подобрать lookalike. Если вы ещё не разобрались с тем, где взять адрес кошелька и как его правильно использовать — сделайте это до того, как начнёте совершать крупные переводы.
Также важно понимать: адрес и seed phrase — это разные вещи. Адрес можно показывать, seed phrase — никому и никогда. Address poisoning не требует знания вашей сид-фразы — он работает через ваш же интерфейс и вашу невнимательность.
После того как вы разобрались с тем, как проверить адрес кошелька перед переводом USDT TRC20, добавьте этот навык в постоянную практику — особенно перед крупными суммами.
Цифры говорят сами за себя. По данным Blockaid на начало 2026 года, ежедневно фиксируется более 160 000 транзакций address poisoning. За период с января 2025 года по март 2026 года Blockaid заблокировал более 65,4 миллиона таких транзакций — и при этом примерно 1 из каждых 200 попыток оказывается успешной.
В январе 2026 года суммарные потери от address poisoning-атак превысили 62 миллиона долларов — только за один месяц. Один пострадавший лишился 12,25 миллиона долларов в ETH. Другой в декабре 2025 года потерял 50 миллионов USDT за 30 минут.
Это не редкие случаи. Это массовый фишинговый механизм с промышленной инфраструктурой, автоматизацией и конкурирующими группами злоумышленников, одновременно атакующих одни и те же адреса.
Если вы хотите понять, как устроен swap в криптовалюте и почему после обмена нельзя копировать адрес из истории — это отдельная тема, напрямую связанная с address poisoning.
Что такое address poisoning в криптовалюте?
Address poisoning — это атака, при которой мошенник внедряет похожий адрес в историю транзакций жертвы через нулевой или мелкий перевод. Цель — чтобы пользователь скопировал поддельный адрес вместо настоящего при следующем переводе. Это не взлом, а манипуляция вниманием.
Почему в истории появился похожий адрес кошелька?
Это результат целенаправленной атаки. Злоумышленник отправил нулевую или мелкую транзакцию с адреса, похожего на ваш или на адрес, которому вы обычно переводите. Теперь поддельный адрес присутствует в вашей истории рядом с настоящим.
Что значит 0 USDT в истории транзакций?
Нулевая транзакция — это инструмент «отравления» истории. Мошенник отправляет 0 USDT, чтобы его адрес появился в вашем списке операций. Это не технический сбой и не случайность — это первый шаг атаки.
Можно ли копировать адрес из истории кошелька?
Это крайне рискованно. История транзакций может содержать поддельные адреса, внедрённые через нулевые переводы. Всегда берите адрес из первоисточника — личного чата, заметки или address book — и сверяйте его полностью перед отправкой.
Как проверить адрес перед переводом USDT?
Возьмите адрес из первоисточника. Сверьте его посимвольно с оригиналом — весь адрес, а не только начало и конец. Проверьте сеть отдельно. При крупной сумме сначала сделайте тестовый перевод, затем снова убедитесь в адресе из первоисточника.
Чем address poisoning отличается от dusting attack?
Dusting — это рассылка мелких сумм для отслеживания кошелька или пометки адреса. Address poisoning использует dust-транзакции как инструмент — но конечная цель другая: заставить жертву скопировать поддельный адрес. Dusting — разведка, poisoning — ловушка.
Чем address poisoning отличается от clipboard malware?
Clipboard malware — вредоносное ПО, которое подменяет адрес в буфере обмена в момент вставки. Address poisoning не требует установки на ваше устройство ничего — он работает через публичную историю транзакций и рассчитывает на вашу невнимательность при выборе адреса.
Почему нельзя смотреть только на первые и последние символы адреса?
Именно эти символы специально подбираются мошенником при создании lookalike-адреса. Первые и последние 4–6 символов совпадают с оригиналом — середина другая. Если вы проверяете только «края», вы не увидите подмену.
Можно ли вернуть деньги после перевода на поддельный адрес?
В большинстве случаев — нет. On-chain транзакция необратима. Единственный шанс — если средства попали на биржевой адрес и биржа успела заморозить вывод. Это исключение, а не правило. Главная защита — профилактика, а не возврат.
Как не потерять USDT после покупки за рубли?
После покупки USDT за рубли первый перевод особенно важно проводить с максимальной внимательностью. Берите адрес из первоисточника, сверяйте полностью, выбирайте сеть осознанно, делайте тестовый перевод. Автоматизм в новом для вас действии — это риск.
Как безопасно перевести USDT самому себе?
Даже переводя самому себе, не берите адрес из истории. Откройте принимающий кошелёк, скопируйте адрес оттуда, сверьте его с тем, что видите на экране отправляющего кошелька. Только после этого нажимайте «Отправить».
Как не перепутать адрес в сети TRC20 и ERC20?
Помните формат: TRC20 — адрес начинается с «T», длина 34 символа; ERC20 — начинается с «0x», длина 42 символа. Если формат адреса не совпадает с выбранной сетью — что-то не так. Остановитесь и проверьте заново.
Что делать, если в истории появился подозрительный адрес?
Не паникуйте — ваш кошелёк не взломан. Не копируйте этот адрес. Проверьте свои сохранённые адреса в address book. Переходите на белый список проверенных адресов. Продолжайте использовать кошелёк в штатном режиме, просто с повышенным вниманием.
Нужно ли делать тестовый перевод перед крупной суммой?
Да, это хорошая практика. Особенно при первом переводе на новый адрес, при крупных суммах и при переводах после долгого перерыва. После тестового перевода обязательно снова сверьте адрес из первоисточника — не из обновлённой истории.
Можно ли доверять адресу из recent activity?
Нет. Recent activity — один из главных векторов атаки address poisoning. Поддельный адрес специально помещается именно туда, чтобы оказаться на виду при следующем переводе. Всегда используйте первоисточник.
Address poisoning — это атака не на ваш кошелёк, а на ваше внимание. Мошенник не взламывает систему — он ждёт, пока вы сделаете ошибку сами. И чем чаще вы переводите USDT, тем выше вероятность, что однажды рутинное действие окажется ловушкой.
Три вещи, которые защищают лучше любого программного инструмента: первоисточник адреса, полная сверка посимвольно и тестовый перевод перед крупной суммой. Для USDT, особенно при повторяющихся переводах и работе с несколькими сетями TRC20/ERC20/TON, эти три правила — не паранойя, а минимальная гигиена.
Цифры 2026 года неумолимы: 160 000 атак в день, 62 миллиона долларов потерь за один январь. Address poisoning стал промышленным механизмом. Привычка копировать адрес из истории — это уже не просто неосторожность. Это риск, которым пользуется целая индустрия мошенничества.
Популярные лонгриды:
