Схемы мошенничества со скальпингом на DEX-биржах

[Владимир_СПБ]

Поиск жертвы

1.1   Жертва ищется в телеграм-чатах, где обсуждаются инвестиции. После установления первичного контакта с человеком, ему предлагается обсудить «взаимно выгодную» схему партнерства.

1.2   В моем случае со мною познакомились в мае 2024 года и месяц мило общались на вопросы про инвестиции.

Комментарий: первичный отбор кандидатов выполняет отдельный член команды мошенников, после того как он убедится, что кандидат готов обсуждать – его передают другому специалисту, который его уже плотно ведет по всем шагам схемы.

Презентация партнерства

2.1   Проводится длительная встреча с видео, где жертве рассказывают о том, что:

- есть возможность зарабатывать 1% с каждой сделки скальпинга на DEX-бирже

- монеты всегда хранятся на кошельке жертвы в USDT, в доверительное управление не передаются

- таких сделок бывает 2-3 в день, они проходят в интервале 12-18 часов МСК

- это дает около 30% в месяц, приводится статистика за последние 6 месяцев

- эксперт развивает сеть партнерств, по которой он рассылает сигналы, партнеры зарабатывают, и выплачивают ему 20% от прибыли в качестве вознаграждения. От прибыли – это честно.

2.2 Предлагается потренироваться на малой сумме $100. Просто попробовать. В моем случае мы договорились попробовать с июля 2024 года. Общение велось с человеком, который представился как Александр Дмитриев, https://t.me/Dmitriev_33_01

Обучение

3.1 Детально проводится обучение: что такое горячий кошелек, как открывать DEX-биржу, привязывать кошелек, как выполнять операции swap. В моем случае все сигналы приходили на две биржи: 1inch и Uniswap.

3.2 Обучение проводится на примерах, конкретных сигналах. Все сигналы дают 1% прибыли от прямого и обратного обмена. В моем случае обучение длилось около недели.

Комментарий: после каждой операции swap, на кошелек жертвы переводится +1% в монете, на которую выполняется скальпинг. Поэтому при обратном обмене образуется чудесная прибыль 1%

Привыкание к прибыли

4.1 Пошел поток сигналов – 2-3 в будний день. Эксперт пишет, прямо навязчиво звонит в телеграм, настаивает что надо отрабатывать сигналы. И каждый сигнал дает прибыль 1%.

4.2 У жертвы вырабатывается привыкание к прибыли, механизм отработки сигналов на смартфоне отрабатывается до автоматизма. Легкие деньги на своем кошельке в USDT прямо копятся благодаря «сложному проценту».

4.3 Никаких требований к размеру депозита или к выводу комиссии 20% с прибыли не предъявляется. В моем случае привыкание длилось более месяца, с июля по начало августа.

Раскрутка депозита

5.1 Во время привыкания жертва осознает, что размер прибыли 1% напрямую зависит от суммы на кошельке. Чтобы действия имели финансово-значимый результат, жертва сама пополняет свой кошелек на комфортную для себя сумму.

5.2 После того, как жертва перестает самостоятельно пополнять кошелек, эксперт звонит и говорит, что обучение и освоение прошло и пора начать торговать серьезные суммы.

5.3 Мошенник предлагает пополнять кошелек средствами друзей жертвы, ведь прибыли 20% в месяц всем хватит.

5.4 В качестве последних веских аргументов приводятся такие: все партнеры переходят на новую сеть, где комиссия большая, но и заработать там можно больше если кошелек будет крупным. Кто не переходит, с тем прекращают сотрудничество.

Комментарий: есть ограничение по времени привыкания (1 месяц) и по размеру суммы ($5000), которые мошенники направляют жертве для имитации прибыльности сделок.

Хлопок

6.1 После того, как жертва уверенно сообщает, что кошелек больше пополнять не будет, приходит очередной сигнал, который жертва должна выполнить прямо сейчас, чтобы получить свой 1% прибыли. В моем случае это был сигнал для DEX https://app.uniswap.org/

6.2 Жертва выполняет операции на смартфоне четко, автоматически и быстро, потому что задержка времени – потеря прибыли. В сайт встраивается фишинговая кнопка SWAP, которая запускает смарт-контракт с операцией SEND. Жертва не замечает этой разницы, подписывает транзакцию и все ее средства уходят на кошелек злоумышленников. 

Комментарий: очевидно в команду мошенников входят хорошие технические специалисты, которые обеспечивают техническую часть фишинга и подмены смарт-контракта.

[Helber]

@Владимир_СПБ , перемещено в Общий раздел + переименовано.

[borzalom]

Нахожусь в фазе раскрутки. Смущает чисто технический момент. Как мошенник может внедрить эксплойт / подменить данные смарт контракта на настоящем сайте DEX биржи? Как по мне, сайт должен быть полностью фишинговым. Я реально не понимаю, каким образом можно внедрить фишинговую кнопку в настоящий сайт обменника, через WebView внутри приложения кошелька, установленного на моём телефоне? Это очень маловероятно. Единственное, что мошенник знает, это адрес моего кошелька, пары монет, биржи и приблизительное время когда должен произойти обмен. Тогда как происходит кража денег? Кроме фишинговой ссылки на биржу ничего в голову не приходит.

[Владимир_СПБ]

Приветствую, Вас.
1. Очень рад, что моя публикация была Вам полезна и Вы смогли распознать мошенников.

2. По поводу Вашего вопроса - на Вашем устройстве с Вашего согласия устанавливаются доверительные отношения с "ненастоящей биржей обмена", в ответственный момент от этой биржи приходит SEND операция вместо SWAP.

3. Есть сообщество пострадавших от этой схемы мошенничества. Если Вы еще не закончили историю, то мы будем Вам очень благодарны за записи видео и фото артистов. Публикуйте прямо в этой ветке, ребята ее смотрят.

4. Самое главное. Это серьезная организация, в которой за каждым клиентом закрепляются артисты+сценарист+психолог. Поэтому будьте осторожнее, а то присоединитесь к сообществу пострадавших на правах полноправного участника.

[cryptomouse]

10 часов назад, borzalom сказал:

Кроме фишинговой ссылки на биржу ничего в голову не приходит.

я не знаю так это было или нет, но может подменяться токен. Не настоящий weth, usdt а одноименный, свежесозданный токен с контрактом на слив после пополнения.

[Mask]

В 23.08.2024 в 15:27, Владимир_СПБ сказал:

В сайт встраивается фишинговая кнопка SWAP, которая запускает смарт-контракт с операцией SEND.

Это же нужно, на uniswap встроили целую фишинговую кнопку, это как? Это нужно было взломать биржу.

14 часов назад, borzalom сказал:

Как мошенник может внедрить эксплойт / подменить данные смарт контракта на настоящем сайте DEX биржи?

Если только взломают биржу и это не заметят их специалисты и позволят такое длительное время такому происходить. Вы в это верите?

14 часов назад, borzalom сказал:

сайт должен быть полностью фишинговым

Именно.

14 часов назад, borzalom сказал:

Кроме фишинговой ссылки на биржу ничего в голову не приходит.

Ещё можно ранее подключить по фишинговой ссылке ваш кошелёк, на которой вы дали полные права, на распоряжения от вашего имени определёнными активами. Далее, можно даже не запускать кошелёк, а снимать активы когда захочется.

Для этого нужно проверить ваш кошелёк на возможность к таким привязкам и при наличии отключить через revoke.cash

6 часов назад, Владимир_СПБ сказал:

на Вашем устройстве с Вашего согласия устанавливаются доверительные отношения с "ненастоящей биржей обмена"

Вот как раз это и можно проверить через revoke.cash и отключить. В этой теме я описывал свой случай, когда ещё не был знаком с revoke.

 

[borzalom]

Доброго дня и огромное спасибо всем откликнувшимся!

@Владимир_СПБ Да, я нахожусь примерно в середине процесса "развода". Начало было практически такое, как вы и описали, поэтому не буду повторяться.
Я, действительно, новичок в крипте, но, хочется надеяться, что не дурак и есть зачатки критического мышления.
Судя по всему, мой "наставник" не такой терпеливый как в Вашем случае. Очень быстро, помимо лёгкого "южно-русского" говорка я почувствовал и манипулятивные нотки. В общем, "звоночки" были с самого начала, и мне они были заметны. Но я не понимал в чём подвох.

 

По чисто техническим моментам - я сразу понял что мошенник "лепит" по поводу неизвестно откуда появившейся "прибыли". Это, мол, реальная разница по текущему обменному курсу, а то, что отображается во время конвертации - "ошибка".
Мне не составило особого труда проверить в блокчейне откуда приходит эта "разница" - как и ожидалось, это кошельки-однодневки, куда заносят сотку USDT и в автоматическом режиме отправляют эти "вознаграждения" по факту совершения обмена в моём кошельке (и других жертв, которых разводят в данный момент), движения в которых, они, очевидно, тоже отслеживают. 

 

По монетам и DEX - биржам. Первая сделка была парой USDT - LINK. Далее, практически все - USDT - DAI. То есть никаких мем и шит-койнов. Всё чинно-благородно. Все сделки в сети BNB.

Обменники - uniswap, sushi, pancakeswap. Ссылки не фишинговые. Вроде проверил несколько раз ссылки в ТГ - все ОК.

Совершается обмен - сразу же прилетает "разница" в размере +- 1,5 %.

 

@Mask Спасибо, что заглянули в этот топик и спасли мои деньги ❤️ 😁

Действительно, были выданы пара подозрительных разрешений, которые отображались с восклицательными знаками. Я их сразу же отозвал. Оставил только токены оригинальных бирж.

 

Как эти разрешения появились? Затрудняюсь сказать. Первое подозрительное появилось после первой же сделки на 100 USDT (судя по дате).

Второе - через 3 дня. Причём у второго в описании значилось Permit2. Я в этом мало что понимаю, но отозвал всё, что мне показалось подозрительным.

 

С большой долей вероятности можно предположить, что до момента отзыва этих разрешений мошенник уже имел определённый контроль над моими средствами в кошельке. Вероятно, сама сделка по обмену ему не нужна для совершения "хлопка". Его цель - чтоб я завёл на кошелёк как можно больше денег. И как только он поймёт, что больше пополнять баланс кошелька я не буду - выведет средства любым удобным для него методом (при наличии этого контроля, опять же).

 

Кто виноват понятно, теперь другой извечный вопрос - что делать? В данный момент он ожидает от меня выплаты "комиссии" и уже скинул адрес кошелька.
Стоит ли продолжать дальше с ним игру? На данном этапе я в небольшом плюсе и могу просто помахать ему ручкой 😂 . Но при этом, есть возможность "нахлобучить" мошенника на более серьёзную для него сумму. С психологической точки зрения, думаю, что смогу отыграть. То есть продолжать убеждать его что буду пополнять кошелёк ещё и ещё.
С другой стороны. Он же тоже не дурак, и увидит, что я отозвал разрешения для левых токенов. Возможно, у него есть запасные ходы.

Очень интересно, но не понятно 😁

 

Спасибо вам огромное, добрые люди, ещё раз!
 

 

[cryptomouse]

7 минут назад, borzalom сказал:

С большой долей вероятности можно предположить, что до момента отзыва этих разрешений мошенник уже имел определённый контроль над моими средствами в кошельке

Не могу понять. Как это происходило, по шагам , пожалуйста.

 

1. Вы установили расширение Metamask. Сами, верно? Скачали его с магазина расширений браузера, так? Ту версию, где было сотни тысяч скачиваний?

Или давали какие-то еще ссылки?

2. Откуда взялись дополнительные разрешения, кроме популярных defi-бирж, обменников, агрегаторов?

 

3. Не могли бы вы дать адреса транзакций? если вы говорите что сделок было мало?

 

4. На всякий случай - вам присылали какие-то документы для обучения или еще чего-то?

Вы переходили по ссылкам, которые вам пересылали - для анализа, просмотра чего то и тд?

 

5. Вас просили авторизоваться на каком-нибудь криптосервисе кроме всем известных, вами перечисленных?

 

6. Все делалось на десктопе под виндой?

[borzalom]

@cryptomouse

Вот я тоже не понимаю. Я новичок в крипте, но в компьютерах и т.д. далеко не нуб. Я могу представить как работают многие схемы хакинга, но в данном случае:

1. Кошелёк Trust Wallet. Установленный на андроид и созданный специально под это дело. Ранее никакими кошельками вообще не пользовался - небольшая сумма была на бирже и всё. 
Косвенно (по некоторым комментариям мошенника) могу заключить, что ему абсолютно не принципиально каким кошельком пользуется жертва и на какой платформе.

 

2. Дополнительные разрешения - самая большая загадка. Возможно, я просто туплю и чего-то не понимаю.

 

3. Да теоретически можно, конечно. Могу скинуть адрес кошелька и по блокчейну сможете проследить. Абсолютно все движения в этом кошельке были в контексте этой "темы".

 

4. Ничего абсолютно. Был звонок в Телеграм с попыткой расшарить экран с моей стороны (не сработало). По телефону давал инструкции куда заходить и что нажимать. Но опять же. Это были обычные DEX биржи. К тому же, мошенник сам сказал, что можно заходить не по ссылкам, а через список сервисов в кошельке Trust Wallet. Кроме этого ничего не было - никаких ссылок, документов, и т.д.

 

5. НЕТ. Кстати, это был один из аргументов мошенника, что они пользуются только проверенными биржами. И по факту до настоящего момента так и было.

 

6. Исключительно мобильный телефон с Андроид. Все действия производились исключительно внутри кошелька. 

 

[cryptomouse]

Цитата

 

По монетам и DEX - биржам. Первая сделка была парой USDT - LINK. Далее, практически все - USDT - DAI. То есть никаких мем и шит-койнов. Всё чинно-благородно. Все сделки в сети BNB.

Обменники - uniswap, sushi, pancakeswap. Ссылки не фишинговые. Вроде проверил несколько раз ссылки в ТГ - все ОК.

 

Жду в ЛС информацию по этим данным. Давайте разгадаем загадки. Для вас и для других.

Вопрос - откуда появилось знакомство? Лично ко мне ломились в ТГ после пары комментов в какой-то криптогруппе. 

 

[borzalom]

7 minutes ago, cryptomouse said:

Жду в ЛС информацию по этим данным

Выслал в ЛС. Если знаете как и что смотреть, думаю, сможете отследить всю цепочку транзакций. 

По знакомству - нечего нового. Состоял в нескольких группах ТГ по крипте. Никогда ничего не писал и даже не читал. Постучались в личку. Ну дальше понятно.

[zlg]

1 hour ago, borzalom said:

Стоит ли продолжать дальше с ним игру? На данном этапе я в небольшом плюсе и могу просто помахать ему ручкой. Но при этом, есть возможность "нахлобучить" мошенника на более серьёзную для него сумму. С психологической точки зрения, думаю, что смогу отыграть. То есть продолжать убеждать его что буду пополнять кошелёк ещё и ещё.

Читаю Ваши "приключения" как увлекательный роман и искренне желаю Вам успеха в этом предприятии. Но Вы не допускаете, что жулик сейчас тоже читает Ваши посты и сопоставляет?

17 minutes ago, borzalom said:

Состоял в нескольких группах ТГ по крипте. Никогда ничего не писал и даже не читал. Постучались в личку. Ну дальше понятно.

Телеграм, это клоака жульничества. Эти его "плохие" возможности перевешивают всю пользу и все портят. Это как ложка говна в бочонке меда. Я бы вообще не использовал Телеграм, как класс, но к сожалению, много моих близких в телеграме и многие нужные и полезные ресурсы вынуждают его использовать. Это как ходить по минному полю и невозможно расслабиться ожидая подвоха. Для себя решил, что Телеграм, только как мессенджер для моих контактов и то с учетом вышеописанного. Никаких "чужих". Все обращения сразу в игнор. Да и было пару случаев угона аккаунта у моих контактов. 

[cryptomouse]

значит группы для того  созданы, чтобы сливать "учителям" контакты. нормальный такой заход. 

По поводу транзакций и контрактов.

Вот, например, смотрим начало через debank.com

 

2025/06/24 14:06:01 

0x7208…1b7e

Approve infinite USDT for 0x9585…e3f3

 

Это разрешение, которое даёт контракту 0x9585...e3f3 право тратить USDT с кошелька "ученика" 0x7e1...85f1 в неограниченном количестве (точнее, до всего баланса USDT на этом кошельке).

Вот такой конь. А дальше ожидание вашего пополнения в USDT.

Действительно, дело не в левой крипте а в подарке со спецконтрактом, насколько я понимаю после беглого просмотра 

=========

и второй благословленный аппрув на максимальные траты с вашего аккаунта

2025/06/24 15:17:34

0xe29f…38f8

Approve infinite USDT for Pancakeswap Permit2

 

Вы можете возразить, что ничего не аппрувили, но в этом моменте нужно смотреть (это уже вашими руками, и сеть ничего не покажет детально). 

 

Теперь ваши комментарии

 

мое мнение - стоит сменить кошелек, адреса. 

 

 

Edited 29 Jun 2025, 15:05 by cryptomouse

[borzalom]

4 hours ago, zlg said:

Но Вы не допускаете, что жулик сейчас тоже читает Ваши посты и сопоставляет?

Да, конечно, есть и такая вероятность. Более того, если @cryptomouse прав в своих выводах (что скорее всего так и есть), то мошенник уже в курсе, что жертва соскакивает. От этого становится вдвойне интересно. Он мне постучался уже и просит комиссию. Я пока отмораживаюсь (хотя предварительно ему говорил, что буду занят на выходных). В общем надо решать, что с ним делать. Посылать прямо сейчас, либо продолжить игру. 

 

4 hours ago, cryptomouse said:

значит группы для того  созданы, чтобы сливать "учителям" контакты. нормальный такой заход. 

Группы вполне общие. Обсуждают конкретное направление в крипте. Ничего особенного. Мошенники могут там тусоваться на общих принципах и пробивать участников, подыскивая жертв.

 

4 hours ago, cryptomouse said:

Это разрешение, которое даёт контракту 0x9585...e3f3 право тратить USDT с кошелька "ученика" 0x7e1...85f1 в неограниченном количестве (точнее, до всего баланса USDT на этом кошельке).

Да, всё так. Я впечатлён. Спасибо вам огромное, что внесли ясность, каким именно методом жертва теряет деньги. 

 

4 hours ago, cryptomouse said:

Вы можете возразить, что ничего не аппрувили, но в этом моменте нужно смотреть (это уже вашими руками, и сеть ничего не покажет детально). 

 

Я составил даты этих контрактов с сообщениями в телеграмме. Первое разрешение - это была самая первая сделка. Второе разрешение - предпоследняя на данный момент, совершенная в пятницу.

Тут мне не понятна механика процесса. В пятницу я уже на 100% знал, что это схема развода и старался фиксировать каждое движение и подтверждение. Так вот, ничего очевидного, что могло бы вызвать мои подозрения в процессе обмена - не было! 

Обычная процедура обмена, как и другие. Сайт не поддельный. Откуда появились запросы на предоставление этих разрешений? Каким образом мошенник делает так, что эти разрушения появляются? Всё ведь как обычно. Более того, как раз в последних сделках я пользовался не ссылками из буфера обмена, а выбирал из списка сервисов в самом кошельке. Непонятно..

 

Ну и что теперь делать? Левые разрешения отозваны. По идее можно продолжать игру, контролируя, чтоб они опять не появились. Но он требует сейчас оплату комиссии в 20% от того полюса, в который я вышел. Что порекомендуете? 

 

Добавлено:
Сейчас посмотрел - похоже, второе разрешение вполне легально (Permit2) - это контракт от pancakeswap и наверное он нужен для осуществления обмена. 
А вот самое первое разрешение - это как раз оно. Вот каким образом мошенник подсовывает этот контракт в первой же сделке? Загадка..

 

Edited 29 Jun 2025, 19:17 by borzalom

[borzalom]

5 hours ago, cryptomouse said:

2025/06/24 14:06:01 

0x7208…1b7e

Approve infinite USDT for 0x9585…e3f3

 

Ещё раз сопоставив все нюансы, пришёл к выводу, что это разрешение было предоставлено во время первой "сделки" в момент, когда я разговаривал с мошенником по телефону (в ТГ).

Это была первая сделка. Ссылки в сообщении мошенника не были фишиногвыми. Пара обменников были uniswap - sushi.
Связь во время разговора постоянно прерывалась. Процесс шёл не быстро. И в какой-то момент мошенник сказал, что мы уже не успеваем провести сделку в отведённое время и поэтому давайте отложим до следующей. В какой момент это было сделано? Наверное, когда я нажал кнопку Connect на uniswap. Я не помню деталей. Но абсолютно точно, судя по таймингу, разрешение было выдано в этот момент (мошенник попросил меня сделать и переслать ему скриншот). Возможно, они каким-то образом перехватывают / модифицируют контракт. Что интересно, я не пересылал до этого адрес кошелька мошеннику. Единственное что было - это скриншот с балансом 2-х монет - USDT и BNB. Видимо, он вычислил адрес кошелька по этой комбинации.

В нужный момент, когда всё было готово, они перехватили / подменили контракт. Всё последующие сделки были обычным свопом на обменниках, за исключением того, что по прошествии нескольких секунд я ещё получал "вознаграждение" с кошелька-однодневки.

 

Вероятно, в uniswap есть какая-то уязвимость, которая позволяет осуществить подмену. Эта уязвимость уже была обнаружена ранее и даже, якобы, закрыта. Они даже объявили какую-то награду за обнаружение новых уязвимостей. Возможно, мошенники эксплуатируют какую-то новую уязвимость, модифицируя контракт и используя разрешение, которое предоставляет пользователь, находясь на сайте обменника. Это всего лишь моё предположение. Вероятно, специалисты смогут более детально расписать механику подмены. 

 

Как бы там ни было. Я скорее всего переведу все деньги с этого кошелька и закрою эту тему с лохотронщиком, оставшись в плюсе на 200 с небольшим долларов 😁

После этого я выложу их данные из телеграма, а также некоторые голосовые сообщения, чтоб мошенника можно было узнать по голосу (если он его не изменял, конечно). Надеюсь, эта информация позволит другим людям не попасться на удочку.
Ну а мошенникам ... Им воздастся по любому. Жизненный бумеранг ещё никогда не промахивался 😉

 

Всем добра!

[Mask]

10 часов назад, borzalom сказал:

Как эти разрешения появились?

 

10 часов назад, cryptomouse сказал:

Откуда взялись дополнительные разрешения, кроме популярных defi-бирж, обменников, агрегаторов?

Подобные разрешения мы так же даём на DEX, например в Pancakeswap. Когда мы делаем на нём какой-то первый раз обмен, у нас среди различных транзакций запрашивается подписать "approve" (одобрение). Pancakeswap - это куча смарт-контрактов и что бы они могли распоряжаться монетами в кошельке пользователя, нужно дать ему одобрение. Мы добровольно это подписываем и у смарт-контракта на Pancakeswap появляется доступ к конкретному токену. DEX не может быть источником скама таким образом, там всё проверено и пройден аудит. Но подобное разрешение могут требовать различные смарт-контракты, включая мошеннические. Я не помню, показывает revoke кому конкретно дан доступ, типа Pancakeswap или там просто номер контракта (скорее всего). Если мы где-то подключали свой кошелёк и подписывали свои транзакции, а зачастую не читаем, что там пишут, что подписываем, то вполне возможно, что можем дать одобрение мошенническому контракту.

Это вполне может быть фишинговая страница, которой нужно получить одобрение и больше на неё не будут адресовать.

 

10 часов назад, borzalom сказал:

С большой долей вероятности можно предположить, что до момента отзыва этих разрешений мошенник уже имел определённый контроль над моими средствами в кошельке. Вероятно, сама сделка по обмену ему не нужна для совершения "хлопка". Его цель - чтоб я завёл на кошелёк как можно больше денег.

Возможно. У меня когда-то, даже не помню где подцепил(все в подряд аирдропы принимал на один кошелёк), на USDT висело такое одобрение и пока кошелёк не собрал 10 USDT, ничего не предпринимало. Как только на балансе была нужная сума, так сразу её и сняли. Всё делается автоматом смарт-контрактами.

Ещё по инету раздают якобы сид-фразы с кошельками полные денег, например USDT, нужно только докинуть для комиссий ETH/TRX, в зависимости от сети и вывести. Но не тут то было. Как только пополняем, так сразу и выводят их, не ждут больших сумм, главное что бы хватило на комиссию. Раз пробовал скинуть минимум, что бы в revoke отвязать, но пока я в ручную что-то делал, их смарт-контракт уже всё перевел)

Вполне возможно, что на вашем кошельке ждали конкретной суммы.

11 часов назад, borzalom сказал:

На данном этапе я в небольшом плюсе и могу просто помахать ему ручкой 😂 . Но при этом, есть возможность "нахлобучить" мошенника на более серьёзную для него сумму.

У вас сейчас играет жадность. Вы уже в плюсе, но не против ещё. Не важно как над кем овладевает жадность, но мошенники на это рассчитывают. Как только почуют не ладное, больше не выйдут на связь. А может они уже почитали эту тему?))) Одно дело предупреждать других, а другое дело играть в игру с тем, кто придумал правила.

Я не азартный, если удаётся получить синицу в руках, то я не смотрю на журавля, который может быть не в руках, а в небе) Я лучше 3 синицы попробую поймать, чем охотится на одного журавля)

11 часов назад, borzalom сказал:

Возможно, у него есть запасные ходы.

Если идёт не по их плану, то они больше не выйдут на связь. Это правило, что бы не спалиться.

10 часов назад, borzalom сказал:

Это были обычные DEX биржи.

Могут продать фальшивый токен, с таким же тикером, но не он. Можно умудриться и его купить на фирменной DEX, но затем не продать. Поэтому все токены на DEX нужно проверять по номеру контракта. Я не пробовал в основной сети создавать токен с тикером USDT, но в тестовой это 100% можно.

9 часов назад, cryptomouse сказал:

значит группы для того  созданы, чтобы сливать "учителям" контакты.

Если хотите расследований, зайдите в ТГ-группу траствалета и напишите на английском вопрос, что перевели случайно 100 тезеров не на тот адрес и можно ли их вернут. В чате могут сказать нет, но есть вероятность, что в личку постучится якобы с поддержки траствалета и предложит вернуть ошибочно переведённые монеты. Такое в крупных пабликах сплошь и рядом. Если юзер задаёт такие вопросы в критпо-чате и не знает о не обратимости транзакций в блокчейне, значит его могут развести. Жулик сидит в чате и читает вопросы от новичков. При нахождении такого, не составит труда сменить авку, имя и постучаться ему в личку, под видом представителя известного сервиса.

9 часов назад, cryptomouse сказал:

Approve infinite USDT for Pancakeswap Permit2

Это может быть стандартное разрешение для Pancakeswap.

5 часов назад, borzalom сказал:

это контракт от pancakeswap и наверное он нужен для осуществления обмена. 

Если его отозвать, то при новом обмене вновь придётся одобрять. Если раз обменял и больше пока не буду, то лучше отозвать. А если часто меняю, то зачем лишнее на комиссию тратить, отзыв и вновь подключение, требуют комиссий.

6 часов назад, borzalom сказал:

А вот самое первое разрешение - это как раз оно. Вот каким образом мошенник подсовывает этот контракт в первой же сделке? Загадка..

Если вы его отозвали, где гарантия, что жулик не проверит ваш адрес и не увидев одобрения, может что-то заподозрить?

3 часа назад, borzalom сказал:

Вероятно, в uniswap есть какая-то уязвимость, которая позволяет осуществить подмену.

Маловероятно.

 

[har1kr1shna]

Жесть... прочитал тему и комментарии. Огромное спасибо, таким людям которые так подробно все описывают и рассказывают нюансы таких обманов. И спасибо тем кто объясняет что происходит и возможные причины. Теперь максимально осторожно буду переписываться в телеге..... Да и читать что подписываю на биржах...

[zlg]

59 minutes ago, har1kr1shna said:

Теперь максимально осторожно буду переписываться в телеге.....

Не по теме, но очень советую включить в телеграме облачный пароль, как второй фактор аутентификации. Это позволит предотвратить угон аккаунта(по крайней мере очень сильно затруднить). 

[borzalom]

1 hour ago, har1kr1shna said:

Огромное спасибо, таким людям которые так подробно все описывают и рассказывают нюансы таких обманов. И спасибо тем кто объясняет что происходит и возможные причины.

Я, конечно же, тоже присоединяюсь ко всем благодарностям. И топик-пастеру, который решил предостеречь других, и модератору который изменил тему, сделав её "гуглабельной". Кстати, этот форум был единственным местом где я нашёл такое детальное описание этого вида мошенничества. Ну и комментаторы тоже вносят свою лепту, особенно что касается технической стороны дела.

 

Благодаря всем вам моя история закончилась хэппи-эндом. Вчера я отозвал все разрешения и вывел все деньги из кошелька. Даже остался с плюсом на 200+ баксов 😅 

Конечно же отписал скамерам в довольно язвительных тонах. Какое-то время они переваривали. После обеда начали писать с других аккаунтов. Это были комментарии типа "а шо случилось?" "Кто, где и как хотел тебя обмануть?" Я рекомендовал им не считать себя самыми умными и просто отвалить. На этом месте его порвало. Полилась такая зловонная жижа, любо дорого посмотреть 😅 

Как в принципе и ожидалось, мошенниками оказались чубатые небратья, которые внезапно оказались большими патриотами. При этом 80% слов из его спича были нецензурными и исключительно на великом и могучем. Пылало там знатно - выложился на все свои 78 баллов IQ. Я ему порекомендовал не нервничать, постирать шаровары и заблокировал. На этом пока всё. 

Имена / ники в телеграмме выкладывать смысла нет - все не настоящее и оперативно меняется, естественно. Но подготовил архивчик с аудио сообщениями мошенника. Очень рекомендуются к прослушиванию. Проанализируйте аргументацию, интонации, психологические уловки. Уверен, будет полезно для распознавания похожих паттернов в будущем. 

 

P.S. не получается прикрепить зип. Чуть позже выложу ссылкой.

 

P.P.S. Ссылка на архив

https://e.pcloud.link/publink/show?code=XZibu6Z0HDPxE9wvlkKiAeX7HsFybR3pxtX

Edited 30 Jun 2025, 18:45 by borzalom

[cryptomouse]

3 часа назад, borzalom сказал:

Ну и комментаторы тоже вносят свою лепту

а мне жаль потерянного на вас времени, borzalom - больше не повторится.

вы так и ничего и не поняли.

 

А если следовать модератору, то еще и кинули своего коуча на 40 баксов...

[borzalom]

 

В 01.07.2025 в 01:24, cryptomouse сказал:

а мне жаль потерянного на вас времени, borzalom - больше не повторится.

вы так и ничего и не поняли.

Вот сейчас, действительно, не понял. На чём основано ваше недовольство? Вас по какой-то причине задела моя фраза про поводу комментаторов? 

 

В 01.07.2025 в 01:24, cryptomouse сказал:

А если следовать модератору, то еще и кинули своего коуча на 40 баксов...

Надеюсь, вы шутите? Или вы серьезно про этого "коуча", часть "диалога" с которым на прикреплённом скриншоте?...

https://e.pcloud.link/publink/show?code=XZnKu6ZyCkTEohNoWYbi9ANQysGKjHhAKn7

 

Ребята, я понял как происходит это мошенничество. Пришлось напрячься и сопоставить все детали - переписку в телеграмме, скриншоты, которые я постоянно делал в этот момент и время транзакций в блокчейне.

Постараюсь завтра с компьютера расписать всю технику. Хотя, как и в любом фокусе, несмотря на кажущуюся магию, на самом деле всё просто...

 

А вообще, по итогу, мне в какой-то степени повезло. Почему в какой-то, ведь мне именно здесь порекомендовали не играть с огнем и вывести деньги с скомпрометированного кошелька?

В такой, что я пришёл сюда с полным осознанием, что это мошенничество. Я просто не понимал, как оно работает. А попал сюда я тоже не просто так, а после активного гугления по теме.

 

Кто-то скажет, как мол, ты осознавал и при этом загнал на этот кошелек пару тысяч баксов? 😅 Да, всё так. Просто в силу отсутствия понимания техники процесса, я думал, что пока нахожусь в безопасности, а попытка кражи произойдет когда-то потом, в будущем, и вот тогда я должен буду проявить внимательность, чтоб не потерять свои деньги. Это было ошибкой, конечно же. Мошенники могли забрать у меня как изначальные 100 баксов, так и всю сумму в конце игры. В любой момент. Наверное, сработало то, что в какой-то момент во мне сыграл азарт и я тоже начал манипулировать мошенником, показывая энтузиазм и обещая довести сумму до определенного значения. Понятно, что мошеннику не было смысла совершать "хлопок" раньше этого момента. 

 

Ну а как я вообще понял, что это развод? Возраст, опыт, интуиция. Да и мошенник отыграл на откровенную троечку - я выше выкладывал его аудиосообщения. Очень посредственный перформанс. Психологи их не дорабатывают что-то.

 

В общем, завтра результаты расследования и скриншоты.

[Mint change]

Главное и основное правило

Никто не будет делать вас богатым в общении с ноу нейм человеком из тг 

Этих схем будет миллиард 

начало одно, есть Варик заработать 

[borzalom]

Доброго времени суток. Как и обещал, привожу результаты своего "расследования". Будет много текста, ссылок и скриншотов.

 

Этапы схемы, как и методы "подцепа" практически в точности такие, как это описал @Владимир_СПБ

Наилучший тип жертвы - человек, зашедший относительно недавно в крипту, держащий деньги на бирже и уже успевший разочароваться в торговле. В идеале, он должен уже уметь минимальные навыки манипуляций с криптой, но при этом не разбираться в том, как работает блок-чейн. Техническая сторона вопроса ему не интересна - он хочет заработать денег и желательно быстро. Он активно ищет информацию - смотрит видео в соц-сетях, по ссылкам попадает в группы ТГ. Он даже может ничего не писать (как я, например), но на него выходят и очень вежливо предлагают "сотрудничество". Основные аргументы - тема супернадёжная, т.к. человек все действия выполняет в своём кошельке, только на авторитетных DEX биржах и с надежными монетами. Никому никаких денег не отсылает и даже не нужно предоставлять данные кошелька. Интерес зазывалы - 5% от 20% прибыли, которую я должен буду выплачивать "наставнику". Расчёт раз в неделю. Если жертва ведётся, разговор уже продолжается с самим "наставником".

 

Психология человека такова, что когда речь идёт о прибыли, когда мы её реально наблюдаем на балансе своего кошелька, наше сознание игнорирует очевидные нестыковки. Да, мы знаем, что существует масса мошеннических схем, что многие теряют свои деньги, доверившись мошенникам. Особенно в наши неспокойные времена это явление приняло характер эпидемии. Но всегда кажется, что это произойдёт с кем-то другим, а не со мной. Ведь я же осторожный, да и не дурак, вроде.

 

А самая главная нестыковка во всей этой схеме - она на виду. На самой, что ни на есть поверхности. Откуда берётся прибыль? Почему она приходит отдельной транзакцией, если мы, якобы, зарабатываем на разнице курсов токенов на разных обменниках? Более того, она приходит с кошельков-однодневок, которые, очевидно, к DEX-биржам отношения не имеют. И всё это можно увидеть в самом кошельке, даже не прибегая к специальным инструментам. Когда я задал этот вопрос мошеннику, в ответ прозвучала откровенная "залипуха". То есть ничего вразумительного он не смог сказать. Конечно, я сделал вид, что поверил. Наверное, это был тот момент, когда я окончательно понял, что это мошенничество. При этом, на балансе было всего немногим более 100 USDT. И я продолжил его пополнять 😅 А почему? Потому что не понимал техническую сторону. Думал, что попытка кражи должна произойти в будущем, вероятнее всего с помощью фишинговой ссылки, которую мне в какой-то момент подсунут. Но я не понимал, что я уже был на крючке. Как и все другие жертвы мошенников (об этом ниже).

 

Ну а теперь ближе к делу. Об этой самой технической стороне. "Наставник" (в целях обучения, конечно же) предлагает провести первую сделку вместе. Он присылает сообщение с адресами бирж и парой токенов для обмена. Предлагает скопировать ссылку из этого сообщения в ТГ и перейти по ней во встроенном в кошелёк браузере. Что жертва послушно и делает - большинство жертв либо вообще никогда не пользовались горячим кошельком, либо не использовали функционал встроенного браузера. 

Теперь немного о фишинге. Многие думают, что это должен быть сайт с интерфейсом, в точности совпадающим с оригинальным сайтом. И человек запускает вредоносный код, нажав на те или иные кнопки на этом сайте.

Ну да, иногда это именно так и работает. Но в данном случае это и не нужно! В общем следите за руками:

Первая же ссылка на обменник в сообщении мошенника - фишинговая. Причём визуально, она 100% оригинальная. Но это это же HTML и мы же с вами понимаем, что надпись на сарае и его содержимое далеко не всегда совпадают.
Пример:

 

Причём, реальная фишинговая ссылка (а мы копируем именно её) может быть весьма похожа на оригинальную, поэтому подмену не просто заметить, если специально не проверять.

В общем разобрались с этим. Мы перешли по фишинговой ссылке в браузере кошелька. Что дальше? Должен отобразиться сайт? А зачем? На этом сервере может быть вообще пустой белый HTML и скрипт, который вызывает определённый метод API и подсовывает пользователю вредоносный контракт для подтверждения. И подавляющее большинство людей его подтвердит! Ведь мы же сами ввели ссылку с целью перейти на сайт DEX биржи, и очевидно, что она может запросить подтверждение на взаимодействие с нею, что мы и делаем (благо отпечаток пальца делает это за секунду). Всё. Мы сами собственноручно доверили все свои имеющиеся и будущие деньги на этом кошельке мошеннику. Ну а дальше? А дальше просто происходит редирект на настоящую биржу. И пользователь видит настоящий сайт и у него каких-либо сомнений не возникает.

 

В моём конкретном случае, это происходило на улице, под слепящим солнцем, в процессе разговора с мошенником, при том, что связь постоянно прерывалась. 

Так получилось, что именно в эту минуту, когда я подтвердил вредоносный контракт, я сделал скриншот. Вот он

То есть, как видно - да, это настоящий сайт настоящей биржи. НО. Я ещё не нажал Connect и не выставил пару токенов для обмена. То есть этой бирже никаких разрешений в этот момент я не давал! Но контракт с мошенником уже был подписан.

 

Ну а вот скриншот сообщения, в котором была фишинговая ссылка

 

Поняли, да? 😁 Когда мошенник убедился, что я подтвердил его контракт, он изменил сообщение, убрав фишинговый редирект, который прятался за ссылкой, которая имитировала uniswap.

Вот и вся магия.

 

В общем, мне, действительно, повезло, что меня не "хлопнули". Но этого не произошло, потому что я активно стал искать информацию о том, как меня собираются "хлопнуть". И я её нашёл здесь. Благодаря вам.

 

Но увы, не всем так повезло. Я полностью согласен с @Владимир_СПБ - это не пара промышляющий любителей. Это целая структура, с ресурсами, инфраструктурой, штатом сотрудников и поддержкой (видимо, государственной, одной дюже специфичной державы).

Я немного поискал в блок-чейне и нашёл пример кошелька, куда выводятся средства жертв. Заметьте, это всего лишь один кошелёк!

 

https://bscscan.com/tokentxns?a=0x4F2559ecafF8b791fe96Ff742481C5c206242675

 

И пара жертв, на вскидку, за последнюю неделю

 

Пример 1

https://bscscan.com/address/0xcb305fcc6c9fb74dbb07995e073e355fe54c85d6#tokentxns

 

Approve Unlimited для адреса мошенника:  https://bscscan.com/tx/0x0fe01993e325423289c6dd15f8c6277b90ddcd7a3545c0bff6c4d14e7808bcea

Вывод USDT мошенником:
https://bscscan.com/tx/0xa9f0d8f57c1c4a020c7c64efb22d2db72c39d2c4c0df9489556e87367935875e

https://bscscan.com/inputdatadecoder?tx=0xa9f0d8f57c1c4a020c7c64efb22d2db72c39d2c4c0df9489556e87367935875e

 

Убыток: $5,229.96

 

 

Пример 2

https://bscscan.com/address/0xec59ac86014c98e28266e6b67b0651dc237b0b9f#tokentxns

 

Approve Unlimited для адреса мошенника:  https://bscscan.com/tx/0x0fe01993e325423289c6dd15f8c6277b90ddcd7a3545c0bff6c4d14e7808bcea

Вывод USDT мошенником:

https://bscscan.com/tx/0x4686b17976e2341fd71d9be83f83f1d8b7763c816cd41c54a76ea49ae48a5259

https://bscscan.com/inputdatadecoder?tx=0x4686b17976e2341fd71d9be83f83f1d8b7763c816cd41c54a76ea49ae48a5259

 

Убыток: $3,151.56

 

Обратите внимание, вредоносная транзакция - самая первая в этом забеге по обменникам в обоих случаях.

Это только одна неделя и один адрес. Я не стал больше анализировать. Если поискать, уверен, можно найти десятки, если не сотни примеров.

Это очень немалые деньги. Поэтому у мошенников есть все стимулы "развиваться" и совершенствоваться с своём чёрном ремесле.

 

Ну и на последок несколько советов.

Самое главное - мыслите критически. Подвергайте сомнению каждый аспект той или иной ситуации.

Доверяйте интуиции, даже если она вам шепчет неприятные вещи.

Выше я выкладывал аудио-сообщения мошенника. Прослушайте их все. Постарайтесь отметить моменты, где он звучит фальшиво, неубедительно. Обратите внимание на его аргументацию, подходы и т.п. Это даст вам опыта и поможет не попасться на удочку мошенников в будущем.

 

Всем хороших заработков и благоразумия.

[Helber]

@Владимир_СПБ, @borzalom, @cryptomouse, @Mask, я перемещу этот топик в Безопасность. Тут в постах уже достаточно много ценного. Если когда-то и подходило для Общего раздела, то его переросло.

[Mask]

@borzalom На счёт ссылок, я никогда на прямую не вставляю ссылки с ТГ в браузер. У меня выработана привычки вначале скопировать в блокнот, а с него уже будет видно, что там за ссылка. Если на веб-сайте можно "подсветить" указателем мышки на ссылке и внизу можем увидеть её истинный путь, то в ТГ так не получится.

Но так наверное может поступать тот, кто знаком с азами html верстки.

В данном случае, на языке html ссылка имеет вид:

<a href="http://worldsworstwebsite.lol">app.uniswap.org</a>, где

worldsworstwebsite... - ссылка

app.uniswap.org - текст ссылки

Поэтому для меня не очевидно, что текст ссылки должен быть обязательно такой как и ссылка.

 

Кто хочет, может закидать сайт мошенника жалобой на фишинг: https://safebrowsing.google.com/safebrowsing/report_phish/