Address poisoning: подмена адреса в истории транзакций

Address poisoning — одна из самых незаметных и одновременно дорогих схем 2024-2026. По разным оценкам, через подмену адреса в истории кошелька украли больше 300 миллионов долларов глобально, и большая часть жертв — это пользователи USDT в сети TRC20. Схема рассчитана на одну простую привычку: копировать адрес контрагента из истории прошлых транзакций. В этой статье — как работает схема, какие реальные кейсы зафиксированы и как защититься.

H2: Как работает address poisoning

Принцип

1. Мошенник сканирует блокчейн в поисках активных кошельков с большими оборотами.
2. Для каждого «интересного» кошелька выбирает один из адресов, на который этот кошелёк регулярно отправляет деньги (контрагент жертвы — биржа, обменник, партнёр).
3. Генерирует свой адрес с тем же началом и концом, что у адреса контрагента. Например:
   • Реальный адрес: TX7Hk...zP9aBcD8e
   • Адрес мошенника: TX7Hk...zP9aBcD8e (внешне почти такой же, отличаются 4-10 средних символов)
4. Отправляет на кошелёк жертвы микротранзакцию (0 USDT, 0,001 USDT, 1 wei) с этого адреса-двойника.
5. В истории транзакций жертвы появляется запись «как будто» от контрагента — но это адрес мошенника.
6. Жертва копирует адрес из истории для следующего перевода — и отправляет деньги мошеннику.

Почему это работает

• Большинство людей не сверяет адрес целиком — смотрят только первые 4 и последние 4 символа.
• Адрес USDT TRC20 длинный (34 символа), и среди визуально похожих легко затеряться.
• История транзакций в Trust Wallet, TronLink, MetaMask показывает «контрагентов» с метками и автоматическим автокомплитом.
• Адрес из истории кажется «проверенным» — раз уже переводили, значит ОК.

H2: Реальные кейсы

Кейс 1: трейдер из Москвы, $400 000 USDT, ноябрь 2024

Активный трейдер часто переводил USDT TRC20 на свой счёт на бирже. Мошенник сгенерировал адрес с теми же начальными и конечными символами и присылал по 0 USDT каждый день. Через 2 месяца трейдер при крупном переводе скопировал «знакомый» адрес из истории и отправил 400 000 USDT мошеннику. Замечено только через час, когда хотел проверить зачисление на бирже.

Кейс 2: классическая атака на ETH, $68 млн, 2023

Один из самых известных кейсов — пользователь Ethereum потерял 68 миллионов долларов в WBTC, скопировав адрес из истории, который оказался подменным. Деньги, впрочем, были частично возвращены — мошенник сам испугался и вернул значительную часть. Но прецедент породил волну подражателей.

Кейс 3: TRON-кошелёк, потеря 50 000 USDT, январь 2026

Российский трейдер регулярно переводил USDT на адрес обменника. Мошенник несколько недель присылал 0-USDT транзакции. В момент крупного перевода 50 000 USDT трейдер скопировал «знакомый» адрес из TronScan — отправил мошеннику. Транзакция была подтверждена за 15 секунд, возврат невозможен.

H2: Где работает схема

Сеть TRON (TRC20)

Самая массовая. USDT TRC20 — самая распространённая в РФ криптовалюта. Address poisoning здесь работает максимально эффективно, потому что:

• Дешёвые транзакции (0,001 USDT с каждого «отравления» — копеечная для атакующего инвестиция)
• Многие пользуются простыми кошельками (Trust Wallet, TronLink) с историей и автокомплитом
• Адреса начинаются с «T» — много визуально похожих

Ethereum (ERC20)

Дороже для атакующего (газ), но используется для крупных кошельков. Атака с 68 миллионами WBTC именно отсюда.

BSC, Polygon, Arbitrum

Дешёвые сети — массовая площадка для address poisoning. Особенно достают пользователей Trust Wallet и MetaMask.

Bitcoin

Реже, но встречается. Сложнее технически (UTXO модель), но возможно.

H2: Как обнаружить, что вас «отравили»

Признак 1: 0 USDT в истории

В истории кошелька появляются транзакции на 0, 0,001 или другие микросуммы. Особенно подозрительно, если адрес отправителя визуально похож на адрес одного из ваших настоящих контрагентов.

Признак 2: «новые» контрагенты с привычными префиксами

Если в кошельке появляется адрес «TX7Hk...zP9aBcD8e», и он визуально такой же, как давний контрагент — это явный признак.

Признак 3: множественные микротранзакции от разных похожих адресов

Серия 0-USDT транзакций с разных адресов-двойников — это таргетированная атака на ваш кошелёк.

H2: Защита от address poisoning

1. Адресная книга в кошельке

Сохраняйте адреса контрагентов в whitelist кошелька с понятными метками. Все будущие переводы — только из адресной книги, не из истории транзакций.

2. Сверка адреса полностью

Не «первые 4 и последние 4». А первые 6, последние 6 и хотя бы один-два символа в середине. Лучше — пословная сверка с контрагентом.

3. Тестовый перевод

Перед большим переводом — отправьте малую сумму (1-5 USDT). Дождитесь подтверждения от получателя, что деньги пришли. Только потом отправляйте основную сумму.

4. Не использовать историю транзакций как источник адресов

Никогда не копируйте адрес «отсюда уже отправлял, значит правильный». Только из адресной книги или из живого источника (приложение биржи, обменника).

5. QR-код вместо ручной копии

Если контрагент даёт QR-код — это надёжнее, чем текстовый адрес. Меньше шансов на ошибку или подмену.

6. Hardware wallet с дисплеем

Ledger и Trezor показывают полный адрес на физическом дисплее. Перед подписанием транзакции сверяйте символ за символом — это надёжнее, чем экран компьютера.

H2: Что делать, если уже отправили мошеннику

К сожалению, в большинстве случаев — ничего. Криптотранзакции необратимы. Шанс возврата:

• 5-10% если средства попали на CEX (Binance, Bybit) — можно попробовать заявление в саппорт.
• 0% если деньги ушли через миксер (Tornado, Сeloeur) или DEX-своп.
• Через Chainalysis / Crystal — можно отследить, но услуга платная и оправдана при потерях от 1 миллиона рублей.

Помимо технических действий:

• Сделайте скриншоты транзакций
• Подайте заявление в полицию (ст. 159 УК РФ)
• Сообщите бирже-получателю — иногда они блокируют счёт мошенника

FAQ

Q: Можно ли отравить hardware wallet? A: Сам Ledger/Trezor — нет. Но если вы скопируете адрес мошенника на компьютер и подпишете транзакцию через аппаратный кошелёк — деньги уйдут. Hardware кошелёк защищает от утечки ключей, а не от ошибки при выборе адреса получателя.

Q: Поможет ли «контрольная сумма» в адресе? A: Контрольная сумма (checksum) защищает только от опечаток при ручном вводе. Если оба адреса (настоящий и поддельный) валидные — checksum совпадёт.

Q: Стоит ли удалять «отравленные» записи из истории? A: В большинстве кошельков нельзя удалить транзакции из истории (она хранится в блокчейне). Но можно скрыть их в интерфейсе. Главное — не использовать историю как источник адресов.

Q: Защищает ли двухфакторная аутентификация? A: 2FA защищает от взлома аккаунта на бирже, но не от ошибки выбора адреса при отправке транзакции. Адресная книга — единственная защита от address poisoning.

Q: Реально ли отслеживать transactions в реальном времени? A: Да, через TronScan, Etherscan, BSCScan. Можно подписаться на уведомления о любых входящих/исходящих транзакциях по вашему адресу.

Q: Безопаснее ли пользоваться обменником вместо прямого перевода? A: Если обменник проверенный, с офисом и историей — да. Вы получаете адрес или наличные напрямую от оператора, а не копируете из истории.

Заключение

Address poisoning — это незаметная и эффективная атака, рассчитанная на одну привычку: копировать адрес из истории транзакций. Защита проста — никогда не копируйте из истории, всегда используйте адресную книгу с whitelist и делайте тестовый перевод перед крупной отправкой. Если работаете с большими суммами USDT TRC20 — лучше всего отправлять их через офлайн-обменник с офисом, где адрес даётся «вживую» из надёжного источника, а наличные выдаются на руки.

CTA

Чтобы не попасть на мошенников — меняйте крипту в проверенном обменнике с офисом. Simple Exchange в Нижнем Новгороде: офис на Большой Покровской, фиксация курса в Telegram за 2 минуты, наличные за 12 минут. https://obmen52.ru