Если прямо сейчас баланс кошелька обнулился, токены ушли в неизвестном направлении, а вы не можете понять, что произошло — эта статья написана именно для вас. Не как теоретический обзор угроз, а как пошаговый сценарий действий: что делать в первые минуты, как понять тип атаки, что ещё можно спасти и когда старый адрес нужно признать окончательно мёртвым.

Главное, что надо понять сразу: не каждый взлом криптокошелька — это утечка seed phrase. Иногда проблема ограничена одним опасным approve. Иногда это sweeper script. Иногда — вредоносное расширение браузера. От типа компрометации зависит всё: что делать, что ещё можно спасти и нужен ли вам вообще новый кошелёк.

Экстренный чек-лист — первые 60 секунд:

• Не докидывать газ вслепую на старый адрес
• Прекратить любые новые подписи
• Отключить кошелёк от всех dApp
• Сохранить TXID всех подозрительных транзакций
• Определить тип атаки, прежде чем делать что-либо ещё
• Подготовить новый кошелёк на чистом устройстве

---

Что делать в первые 15 минут, если криптокошелёк взломали

Когда кошелёк drained — каждая минута на счету. Паника — худший советчик. Три ошибки, которые совершают чаще всего в первые минуты после взлома криптокошелька, только усугубляют потери.

Первое и главное: не докидывайте газ на скомпрометированный адрес. Это ловушка, в которую попадают даже опытные пользователи. Если на кошельке уже работает sweeper script — любая сумма, которую вы отправите, будет мгновенно перехвачена атакующим. Вы потеряете не только то, что уже было, но и то, что пытались добавить.

Второе: прекратите все подписи. Не подключайте кошелёк повторно к незнакомым сайтам. Не нажимайте Confirm ни в каком окне MetaMask или другого кошелька, пока не разберётесь в ситуации. Каждая новая подпись может усугубить компрометацию.

Третье: зафиксируйте всё прямо сейчас. Откройте блокчейн-эксплорер и запишите:

• TXID каждой подозрительной транзакции
• Адрес, на который ушли токены
• Contract address, с которым произошло взаимодействие
• URL сайта или dApp, где вы были последним
• Время инцидента и сеть

Четвёртое: проверьте другие сети. Если у вас один seed phrase на нескольких сетях — Ethereum, BSC, Arbitrum, Optimism, TON — и если причина взлома глубже, чем один approve, все эти адреса потенциально под угрозой. Об этом подробнее ниже.

Пятое: подготовьте новый кошелёк. Это не значит, что старый нужно бросить прямо сейчас. Но пока вы разбираетесь в ситуации, создайте новый seed phrase на чистом устройстве — на том, которое не контактировало с подозрительными сайтами. Как безопасно хранить крипту и управлять кошельком — важный вопрос, который стоит изучить сразу после того, как вы справитесь с текущим инцидентом.

---

Как понять, что именно произошло: drainer, sweeper, seed phrase, malware или phishing

Прежде чем предпринимать дальнейшие действия, нужно понять тип компрометации. Это не академический вопрос — от ответа зависит, можно ли спасти остаток, нужен ли новый seed и что делать с устройством.

Признаки wallet drainer / malicious signature

Wallet drainer — это инструмент, который крадёт активы через Web3-взаимодействие. Пользователь сам подписывает вредоносное действие, не осознавая этого.

Ключевые признаки:

• Вы подключали кошелёк к незнакомому сайту незадолго до инцидента
• Токены ушли сразу после того, как вы что-то подписали или подтвердили approve
• В истории транзакций есть серия token transfer или approval событий с незнакомого контракта
• Проблема могла начаться после mint, airdrop claim, approve или просто «Connect Wallet»

Важное отличие drainer от утечки seed: drainer не требует, чтобы вы передали кому-то свои 12 слов. Вы ничего не раскрывали — просто нажали Confirm в обычном интерфейсе кошелька. Именно поэтому фейковые airdrop и claim-сайты — одна из самых распространённых точек входа для drainer-атак в 2026 году.

Признаки sweeper script

Sweeper script — это автоматизированный бот, который отслеживает входящие транзакции на скомпрометированный адрес и немедленно перехватывает любые поступающие средства.

Ключевые признаки:

• Кошелёк пустеет сразу после любого пополнения, даже минимального
• Вы пробовали отправить немного ETH/BNB для газа — и он тоже ушёл к атакующему
• Нет никакой возможности «быстро вывести» — любая входящая сумма перехватывается раньше, чем вы успеваете что-то сделать
• Атакующий действует автоматически, без новых ваших подписей

Это один из самых неприятных сценариев. Классическая мысль «сейчас закину немного газа и быстро выведу токены» здесь не работает — она работает только против вас.

Признаки утечки seed phrase или private key

Это наиболее серьёзный сценарий — полная компрометация кошелька.

Ключевые признаки:

• Активы уходят по нескольким сетям одновременно или последовательно
• Атакующий действует без каких-либо ваших новых подписей или approve
• Проблема не ограничена одним dApp или одним токеном — уходит всё
• Вы вводили seed phrase на каком-то сайте, в Telegram-боте, в форме «проверки кошелька» или сохраняли её в облаке, мессенджере, заметках на телефоне

Понять, что такое seed phrase и почему её утечка критична — базовое знание, от которого зависит правильная реакция на инцидент. Если утекла seed phrase — старый кошелёк мёртв. Точка. Об этом подробнее в отдельном блоке ниже.

Признаки заражённого устройства или вредоносного расширения

Malware и вредоносные браузерные расширения — отдельный вектор атаки, который иногда маскируется под обычный взлом.

Ключевые признаки:

• Подмена адреса при копировании (clipboard malware): вы копируете один адрес, а вставляется другой
• Непонятные popup-окна с запросами подписи без вашей инициативы
• В браузере появились незнакомые расширения, которые вы не устанавливали
• Редиректы с известных сайтов на похожие, но незнакомые домены
• Кража произошла после установки нового приложения, расширения или скачивания файла

В этом случае одного revoke или смены seed недостаточно — нужна полная чистка устройства или переход на новое.

---

Что можно спасти, а что уже нет

После того как тип атаки определён, наступает время принимать решения. Вот матрица возможных действий:

Тип компрометации	Что ещё можно спасти	Что уже нельзя сделать
Только опасный approve / drainer	Активы без approve, токены на других адресах	Токены с уже выданным approve
Sweeper script	Токены с нестандартным rescue-сценарием (flash swap, bundle)	Простое «докинуть газ и вывести»
Утечка seed phrase	Ничего на скомпрометированных адресах	Использовать старый кошелёк как основной
Заражённое устройство	Активы на кошельках, не контактировавших с этим устройством	Всё, что доступно через этот браузер/устройство
Только один сети	Активы на других сетях (если seed не утёк)	Активы в затронутой сети при полном drain

NFT после взлома кошелька: если approve на NFT был дан через setApprovalForAll — вся коллекция под угрозой. Если атакующий ещё не вывел — быстрый revoke может остановить кражу. Если NFT уже ушли — on-chain-транзакция необратима.

USDT и стейблкоины: можно ли спасти USDT после взлома кошелька — зависит от того, был ли выдан approve на них. Если approve есть — атакующий может вывести в любой момент. Если нет — переведите USDT на новый чистый адрес немедленно. Подробнее о рисках хранения стейблкоинов — в материале можно ли хранить деньги в USDT.

Токены на других сетях: если это был drainer через approve в одной сети, а seed phrase не утёк — токены на Arbitrum, Optimism, BSC, TON могут быть в безопасности. Перечитайте признаки утечки seed выше и проверьте: если атакующий не действовал в этих сетях без ваших подписей — есть время вывести активы на новый адрес.

---

Когда помогает revoke approvals, а когда уже нужен полный переезд на новый seed

Это один из самых важных блоков в этой статье — и один из наиболее часто неверно понятых вопросов.

Revoke approvals помогает, если:

• Проблема ограничена конкретным разрешением конкретному смарт-контракту
• Атакующий ещё не воспользовался approve
• Seed phrase и private key не скомпрометированы
• Устройство чистое — malware нет

В этом случае отзыв approve через соответствующие инструменты (revoke.cash, встроенные функции эксплореров) — правильный первый шаг. После успешного revoke подозрительного разрешения и переводе активов на новый адрес ситуация может быть под контролем.

Revoke НЕ решает проблему, если:

• Утекла seed phrase или private key
• Устройство заражено и malware до сих пор активен
• Sweeper script уже работает на адресе
• Атакующий уже воспользовался approve и вывел токены

Самая распространённая ошибка: пользователь делает revoke после drain и думает, что кошелёк снова безопасен. Если причина кражи — утечка seed phrase, то revoke бессмысленен: атакующий имеет полный доступ к адресу и может делать что угодно без каких-либо approve.

Когда нужен новый seed — однозначно:

• Seed phrase была введена на любом стороннем сайте, в боте или форме
• Seed phrase хранилась в облаке, скриншоте, мессенджере, заметках — и это хранилище потенциально скомпрометировано
• Атакующий действует во всех сетях с одного seed без ваших новых подписей
• Устройство было заражено malware, и вы не уверены, что приватный ключ не был считан

Почему чем отличается адрес кошелька от private key и seed phrase — важно понимать именно сейчас: атакующий с seed phrase имеет такой же доступ к кошельку, как вы. Revoke, смена паролей, переустановка браузера — ничто из этого не поможет, пока он держит seed.

---

Sweeper script: почему нельзя просто докинуть газа в старый кошелёк

Sweeper script — это, пожалуй, самый коварный сценарий для обычного пользователя. Понять его механику важно, чтобы не совершить ошибок, которые только увеличат потери.

Как работает sweeper: атакующий получил доступ к вашему private key или seed phrase. Он разворачивает автоматизированного бота, который постоянно мониторит входящие транзакции на ваш адрес. Как только на адрес поступают какие-либо средства — native token для газа или что-то ещё — бот в автоматическом режиме немедленно отправляет их на адрес атакующего. Задержка — секунды или даже доли секунды.

Почему «докинуть газа и быстро вывести» не работает:

Идея понятна: «у меня есть токены на адресе, мне не хватает газа для их вывода, отправлю ETH/BNB — и быстро выведу токены». Проблема в том, что sweeper bot реагирует быстрее, чем любой человек. Он перехватит ваш газ раньше, чем вы успеете отправить следующую транзакцию. Вы потеряете ETH, а токены останутся на месте.

Что можно попробовать в этом сценарии:

Для обычного пользователя без технических знаний — ситуация крайне сложная. Существуют rescue-сценарии с использованием flashbots или bundle-транзакций, при которых газ и вывод токенов происходят в одном блоке без возможности для sweeper среагировать. Но это требует технических знаний или обращения к специалистам. Оценить самостоятельно, возможно ли спасение, и принять решение — или признать адрес потерянным.

Sweeper и разделение кошельков: именно этот сценарий — один из сильнейших аргументов в пользу архитектуры нескольких кошельков. О том, почему хранить всё в одном кошельке — структурный риск и как правильно разделить активы — в отдельном материале.

---

Что делать с браузером, расширениями, устройством, паролями и 2FA

После того как вы стабилизировали ситуацию с кошельком, нужно разобраться с устройством и аккаунтами. Пропустить этот шаг — значит оставить атакующего с активным доступом.

Браузер и расширения

Первый шаг — проверить все установленные расширения браузера. Удалите всё, что не помните, как устанавливали, что выглядит подозрительно или появилось незадолго до инцидента. После этого:

• Сбросьте данные браузера, включая cookie и кэш
• Отключите от кошелька все сайты, к которым он был подключён
• В тяжёлых случаях — создайте новый профиль браузера или полностью переустановьте его
• Если взлом произошёл после посещения фишингового домена — старый браузерный профиль считайте потенциально скомпрометированным

Устройство и malware

Если есть подозрение на clipboard malware или другое вредоносное ПО:

• Проверьте устройство антивирусом с актуальными базами
• Особое внимание — clipboard malware: проверьте, подменяются ли адреса при копировании (скопируйте известный адрес и сравните с тем, что вставляется)
• В серьёзных случаях — полная переустановка операционной системы или переход на чистое устройство
• Новый seed phrase создавайте только на устройстве, которое заведомо чистое

Пароли и 2FA после взлома криптокошелька

Что менять в первую очередь:

• Пароли к электронной почте, привязанной к биржам и кошелькам
• Пароли ко всем централизованным биржам
• Пароли к Telegram, Discord, X (Twitter) — особенно если там ведётся общение на крипто-тематику
• Пароли к менеджерам паролей, если они использовались на заражённом устройстве

По 2FA: если есть риск, что атакующий получил доступ к вашим аккаунтам — перевыпустите 2FA на новое устройство. Особенно опасна ситуация, когда 2FA был настроен через SMS: SIM-swap остаётся актуальной угрозой. Переходите на 2FA-приложение (TOTP).

AI-мошенники в 2026 году используют максимально убедительные сценарии — поддельную поддержку, дипфейки, фишинговые письма. Подробнее о том, как AI-мошенники крадут крипту и как защитить кошелёк, — в отдельном материале.

---

Какие доказательства сохранить сразу после инцидента

Не откладывайте сбор доказательств — некоторые данные могут исчезнуть или устареть. Вот полный список того, что нужно зафиксировать:

Технические данные транзакций:

• TXID каждой подозрительной транзакции (находится в блокчейн-эксплорере)
• Адрес атакующего (куда ушли средства)
• Contract address — адрес смарт-контракта, с которым произошло взаимодействие
• Hash/message payload — что именно вы подписывали
• Сеть (Ethereum, BSC, Arbitrum, TRC20 и т.д.)
• Время инцидента (UTC)

Как проверить TXID и адрес в блокчейн-эксплорере — подробная инструкция в отдельном материале.

Данные о точке входа:

• URL/домен сайта, где произошло взаимодействие
• Скриншоты окна подписи (что именно отображалось в MetaMask)
• Скриншоты сайта
• Откуда пришла ссылка: DM, пост в X, Telegram, email

Список потерь:

• Полный список украденных активов с суммами
• Токены и сети
• Стоимость на момент кражи

Переписка и коммуникации:

• Скриншоты сообщений, через которые вас заманили
• Email-письма
• Посты, которые вы видели

---

Можно ли вернуть украденную крипту и куда обращаться

Честный ответ: шансы невысоки, но зависят от маршрута средств и скорости реакции.

Если средства ушли на адрес централизованной биржи — это лучший сценарий для попытки возврата. Биржи имеют KYC и могут заморозить подозрительный адрес. Действуйте немедленно:

1. Определите, какая биржа получила средства (через эксплорер)
2. Напишите в службу поддержки с TXID, адресом атакующего, временем инцидента и кратким описанием ситуации
3. Запросите заморозку адреса

Можно ли заморозить украденные USDT: Tether имеет механизм заморозки адресов. Это используется правоохранительными органами, но требует официального запроса. Для частного лица — это сложный путь, требующий юридического сопровождения. Тем не менее при крупных суммах это опция, которую стоит рассмотреть.

Если средства ушли на внешний кошелёк без KYC — шансы на прямой возврат минимальны. Блокчейн-транзакция необратима. Но:

• Зафиксированные данные можно передать в правоохранительные органы (особенно актуально при крупных суммах)
• Onchain-аналитика позволяет отследить маршрут средств — возможно, они в итоге придут на биржу с KYC

Куда обращаться:

• Поддержка биржи, куда ушли средства (первый и самый важный шаг при наличии биржевого следа)
• Местная полиция или киберотдел МВД — для фиксации факта преступления
• Специализированные onchain-аналитические компании — при крупных потерях

---

Когда старый кошелёк можно считать окончательно мёртвым

Это главный вопрос, на который многие не хотят отвечать честно. Но правило здесь жёсткое.

Старый кошелёк ещё может жить, если:

• Инцидент был ограничен единственным approve на один контракт
• Seed phrase не утекала
• Устройство чистое
• После revoke approve атакующий потерял возможность действовать
• Вы полностью уверены в перечисленных пунктах

В этом сценарии кошелёк после revoke и переноса активов на другой адрес можно продолжать использовать с повышенной осторожностью. Но даже в этом случае рекомендуется сменить основной адрес.

Старый кошелёк окончательно мёртв, если:

Первое: утекла seed phrase или private key. Неважно, насколько мало атакующий уже взял — он может вернуться в любой момент. Адрес под этим seed нельзя считать безопасным никогда и ни при каких условиях.

Второе: на адресе работает sweeper script. Практически любое поступление будет перехвачено. Для обычного пользователя без технических знаний — адрес потерян.

Третье: устройство было заражено malware и не прошло полную очистку. Даже если вы создадите новый seed на этом же устройстве без переустановки системы — он может быть скомпрометирован в момент создания.

Четвёртое: вы не можете точно определить причину компрометации. Если непонятно, что именно произошло — безопаснее признать адрес скомпрометированным и переехать полностью.

После утечки seed phrase не существует действия, которое «починит» старый кошелёк. Можно только переехать на новый.

---

Как правильно переехать на новый кошелёк и не повторить ошибку

Переезд на новый seed — это не катастрофа. Это возможность выстроить правильную архитектуру с нуля.

Шаг 1: Создать новый seed на чистой среде

Новый seed phrase создаётся исключительно на:

• Устройстве, которое заведомо не контактировало с вредоносными сайтами и расширениями
• В оффлайн-режиме, если это возможно
• Hardware wallet — лучший вариант для хранения значительных сумм

Seed записывается физически — на бумаге или металле. Никаких облаков, скриншотов, мессенджеров. О том, можно ли хранить seed phrase и пароль вместе — исчерпывающее объяснение в отдельном материале.

Шаг 2: Разделить кошельки по сценариям использования

Один кошелёк для всего — это структурный риск. После инцидента выстройте правильную логику:

• Кошелёк-хранилище — крупные суммы, редкие операции, максимальная безопасность. Лучше на hardware wallet. Не подключать к dApp никогда.
• Рабочий кошелёк — регулярные переводы, биржи, DeFi. Держать здесь только рабочий объём средств.
• Кошелёк для экспериментов / burner wallet — airdrop’ы, незнакомые dApp, минты, тесты. Минимальный баланс. Потеря этого кошелька не критична.

Эту логику подробно разбирает материал о том, как хранить крипту безопасно в 2026 году.

Шаг 3: Минимизировать approve и blind signing

Большинство drainer-атак строятся именно на неосознанных подписях и approve. Правила после переезда:

• Давать approve только конкретным проверенным контрактам на минимальную сумму, а не на «unlimited»
• Регулярно проверять и отзывать ненужные approve
• Никогда не подписывать непонятные сообщения и транзакции
• Проверять домен сайта перед каждым подключением кошелька

О рисках взаимодействия с DeFi и смарт-контрактами — в материале что такое DeFi и где начинаются риски.

Шаг 4: Проверить адрес перед отправкой

Clipboard malware — один из самых недооценённых рисков. Всегда проверяйте, что адрес получателя не подменился при вставке. Как найти адрес кошелька и не перепутать сеть — базовая инструкция, которую стоит перечитать.

Шаг 5: Понять, как произошёл инцидент — и не повторить

Это не про самобичевание. Это про системную защиту. Если кошелёк был взломан через подпись на фейковом airdrop — выстройте проверку сайтов перед каждым подключением. Если через расширение — пересмотрите политику установки расширений. Если через утечку seed — пересмотрите физическое хранение. Как не потерять крипту и какие ошибки новичков встречаются чаще всего — развёрнутый материал с детальным разбором типичных сценариев.

---

Swap, DeFi и риски смарт-контрактов: почему взлом часто начинается здесь

Многие пользователи не понимают, что именно swap или работа с DeFi-протоколами создают наибольшую поверхность для атаки. Когда вы взаимодействуете со смарт-контрактом — вы выдаёте ему разрешения. Если контракт вредоносный — он использует эти разрешения против вас.

Что такое swap и почему взаимодействие со смарт-контрактами несёт риск — важный базовый материал. После инцидента стоит перечитать его, чтобы понять, какие именно действия привели к компрометации.

Точно так же риск возникает при работе с ERC20 и TRC20 токенами в разных сетях — неправильный выбор сети или одобрение в не той сети могут привести к потерям. Что такое ERC20 и TRC20 и какую сеть выбрать для USDT — актуальный вопрос при переезде на новый кошелёк.

---

FAQ: ответы на популярные вопросы

Что делать, если криптокошелёк взломали и деньги уже ушли?
Зафиксируйте TXID, адреса, домен и время. Определите тип атаки. Если средства ушли на биржу с KYC — немедленно пишите в их поддержку. Подготовьте новый кошелёк на чистом устройстве. Переведите туда всё, что ещё осталось на других адресах. On-chain транзакция необратима, но скорость реакции влияет на то, успеет ли биржа заморозить адрес.

Как понять, это drainer или утечка seed phrase?
Drainer действует через конкретную подпись или approve — украдена часть активов, проблема связана с конкретным dApp. Утечка seed — атакующий действует во всех сетях без ваших новых подписей, уходит всё. Если активы ушли только в одной сети и только токены с конкретным approve — скорее drainer. Если уходит всё, по всем сетям — скомпрометирован seed.

Поможет ли revoke approvals после wallet drained?
Зависит от причины. Если это был drainer через approve, и атакующий ещё не воспользовался разрешением — revoke поможет. Если drain уже произошёл — approve уже использован, ретроактивно revoke не вернёт токены. Если seed phrase скомпрометирована — revoke бесполезен в принципе.

Что такое sweeper script и почему нельзя просто докинуть газа?
Sweeper script — автоматизированный бот, который перехватывает любые входящие средства на скомпрометированный адрес в режиме реального времени. Любая попытка «докинуть газа для вывода» будет перехвачена раньше, чем вы успеете совершить следующую транзакцию. Вы потеряете и газ, и ничего не выведете.

Можно ли спасти USDT или NFT после взлома кошелька?
Если approve на USDT или NFT ещё не использован — немедленный revoke и перевод на новый адрес могут спасти активы. Если atтакующий уже воспользовался approve и вывел активы — они потеряны. Для NFT дополнительный риск: если был setApprovalForAll — вся коллекция под угрозой.

Если взломали кошелёк в одной сети, другие сети тоже под угрозой?
Зависит от типа атаки. Если это был drainer через approve в Ethereum, а seed не утёк — другие сети (BSC, Arbitrum, TON) могут быть в безопасности. Если утёк seed phrase — все сети с этим seed скомпрометированы одновременно, потому что seed даёт доступ ко всем адресам на всех EVM-совместимых сетях.

Нужно ли менять браузер и устройство после фишинга?
Браузерный профиль после фишинга следует считать потенциально скомпрометированным. Создайте новый профиль или переустановите браузер. Устройство — зависит от серьёзности инцидента. Если было установлено подозрительное ПО или расширение — проверьте на malware. В тяжёлых случаях — переустановите ОС или используйте другое устройство для создания нового seed.

Какие доказательства сохранить после кражи крипты?
TXID, адрес атакующего, contract address, URL сайта, скриншоты окна подписи, время инцидента, сеть, список украденных активов. Также — переписку, письма, посты, через которые вас заманили. Эти данные нужны для обращения в поддержку биржи и в правоохранительные органы.

Можно ли вернуть украденную криптовалюту?
В большинстве случаев — крайне сложно. Шанс есть, если средства ушли на адрес биржи с KYC: немедленное обращение в поддержку иногда позволяет заморозить адрес. Для USDT — теоретически возможна заморозка через Tether. В остальных случаях — on-chain транзакция необратима, но фиксация данных необходима для заявления в полицию.

Когда старый кошелёк уже нельзя использовать?
Никогда — если утекла seed phrase. Никогда — если на адресе активен sweeper script и вы не можете применить технический rescue-сценарий. Под вопросом — если устройство заражено malware и не прошло полную очистку. Только в этих ситуациях допустимо продолжение использования — если инцидент был ограничен одним revokable approve, seed не утёк, устройство чистое.

---

Взлом криптокошелька — это всегда стресс. Но правильная последовательность действий: определить тип атаки → стабилизировать ситуацию → спасти остаток → очистить устройство → переехать на новый seed с правильной архитектурой — это путь, который проходили тысячи людей. И именно понимание разницы между drainer, sweeper и утечкой seed позволяет принимать решения, а не действовать вслепую в панике.