Подпишите транзакцию: злоумышленники освоили псевдокомплаенс-процедуры для хищения криптовалют

Мошенники в сфере криптовалют переходят на социальную инженерию: вместо атак посредством эксплуатации технических уязвимостей злоумышленники выбирают вектор на поведенческие сценарии. Атаки маскируются под фальшивые смарт-контракты — нарушители подделывают AML-проверки (Anti-Money Laundering), маскируя удар под стандартные требования комплаенса. Об этом SecPost рассказал аналитик по расследованиям AML/KYT-провайдера «Шард» Дмитрий Пойда.

Как пояснил эксперт, атака выстраивается вокруг привычного пользовательского сценария. Человек проходит поддельную AML-проверку при покупке криптовалюты, попадая на поддельный интерфейс. Там ему предлагают подписать транзакцию, которая оказывается разрешением на управление активами. Пойда отмечает, что такая операция не вызывает у жертвы настороженности, поскольку не сопровождается мгновенными списаниями.

При подписании происходит делегирование прав — и смарт-контракт получает возможность распоряжаться токенами пользователя в заданном пределе. Дальнейшее списание средств может происходить асинхронно, без дополнительного участия владельца, что делает атаку менее заметной и усложняет ее своевременное обнаружение.

«Подписание транзакций стало рутинным действием. Чем чаще пользователь сталкивается с подтверждениями, тем меньше внимания он уделяет их содержанию. Дополнительную роль играет доверие к регуляторной риторике: действия, которые фактически открывают доступ к активам, воспринимаются как формальная процедура допуска», — отметил Пойда.

По словам эксперта «Шарда», в 2025 году существенная часть потерь криптоактивов была связана с социально-инженерными сценариями. В 2026 году схемы чаще маскируются именно под псевдокомплаенс-процедуры. Архитектор департамента «Информационная безопасность» «Рексофта» Даниил Левченко и эксперт отдела анализа и оценки цифровых угроз Infosecurity (входит в «Софтлайн Решения», ГК Softline) Виктор Шепелев в комментарии SecPost также отмечают эту тенденцию.

«Это не отменяет технические взломы, но на практике именно человеческий фактор становится удобной точкой входа для злоумышленников», — отмечает Левченко.

Шепелев подчеркивает, что технический барьер входа для атак стал ниже — злоумышленник без особых проблем может развернуть вредоносное приложение, фишинговый сайт или смарт-контракт, имитирующий знакомый и официальный сервис. Однако пользователи становятся осторожнее и меньше доверяют неизвестным источникам.

«Тем не менее пользователи становятся более осторожными и меньше доверяют неизвестным источникам. В результате традиционные сценарии вроде «я из поддержки, передайте доступ» работают хуже. Поэтому основной фокус атак смещается на психологию пользователя и поведенческие сценарии», — говорит Шепелев.

Наиболее распространенный подход, по словам Шепелева, — имитация доверенного бренда. Злоумышленники копируют интерфейсы популярных сервисов, создают сайты, приложения или Telegram-ботов, а затем продвигают их через рекламу, выводя в топ выдачи. В качестве примера Шепелев приводит фейковые версии платформ вроде TradingView, через которую можно отслеживать график индексов, цен, акций. «Пользователю предлагается «подключить кошелек для просмотра», после чего он подписывает транзакцию, но на практике это может быть скрытая сигнатура, которая предоставляет доступ к управлению активами», — говорит эксперт.

«Несмотря на высокий уровень защиты блокчейнов, основная точка риска остается прежней — это контроль над приватными ключами и подпись транзакций. Но практика показывает, что базовые меры безопасности уже дают существенное снижение рисков», — отмечает Шепелев.

Эксперты «Шард» отмечают, что всего за 2025 год было похищено криптоактивов на сумму $2,9 млрд всемирно. Однако конкретные цифры по ущербу от псевдокомплаенс-атак пока трудно назвать: это сравнительно свежее направление. По словам Левченко из «Рексофта», точной статистики мало. «Это пока скорее заметный и быстро растущий паттерн, чем отдельная официально измеряемая категория», — говорит эксперт. 

«Косвенные признаки очевидны: массовые однотипные домены, поддельные AML‑сервисы, P2P‑схемы и все более правдоподобные страницы-двойники», — отмечают в «Рексофте».

Эксперты рекомендуют организационную защиту: не переходить по AML‑ссылкам из чатов, не подписывать непонятные транзакции, пользоваться проверенными сервисами и отдельными кошельками для рискованных операций. По словам Левченко, регуляторам стоит задуматься о стандартах и реестрах легитимных AML‑провайдеров, чтобы снизить поле для мошенников. «При этом стоит отметить, что слишком жесткое регулирование может только усилить отток пользователей», — подчеркивает эксперт.

Шепелев рекомендует использовать кошельки с уже встроенной проверкой. Такие платформы внедряют дополнительные уровни защиты: анализируют транзакции перед подписью, предупреждают о потенциально опасных контрактах, используют AML-механику для оценки адресов и блокируют взаимодействие с известными мошенническими ресурсами.