Что делать, если украли криптовалюту

Алгоритм действий в первые часы после обнаружения кражи

Если украли криптовалюту, счёт идёт буквально на минуты. Первые 24 часа определяют, удастся ли заморозить активы до того, как злоумышленник выведет их через миксеры или OTC-площадки. Паниковать — последнее, что стоит делать. Вместо этого действуйте по проверенному протоколу, который мы отработали на сотнях кейсов совместно с Match Systems.

Ключевая задача на этом этапе — остановить движение средств и зафиксировать следы. Каждое действие злоумышленника оставляет цифровой след в блокчейне, но чем дальше уходят деньги от точки кражи, тем сложнее их вернуть. Поэтому первый шаг — не поиск виновных, а немедленная блокировка каналов вывода.

Шаг 1. Зафиксируйте все данные о краже

Прежде чем предпринимать активные действия, соберите полный пакет информации:

• Адрес кошелька, с которого ушли средства — скопируйте его полностью, без сокращений
• Хеши транзакций — все исходящие переводы, даже если их несколько
• Точное время кражи — с точностью до минуты, желательно в UTC
• Скриншоты кошелька — история операций, баланс до и после инцидента
• Переписка с мошенником — если был контакт (фишинговые письма, сообщения в Telegram, Discord)
• Описание ситуации — как произошла кража: вредоносная ссылка, поддельный сайт, компрометация seed-фразы

Эти данные понадобятся для подачи заявки на расследование, запроса заморозки средств на биржах и составления заявления в полицию. Чем полнее досье, тем быстрее запускается механизм возврата.

Шаг 2. Подайте заявку на расследование

Сразу после сбора информации обратитесь к специалистам по восстановлению украденной криптовалюты. Мы в Crypto Reclaim проводим первичную оценку бесплатно: анализируем вероятность возврата, определяем окно для заморозки и выстраиваем оптимальный маршрут действий.

Что происходит на этапе триажа:

• Проверяем, куда ушли средства — на биржу, в холодный кошелёк, через DEX или мост
• Оцениваем скорость движения активов и риск вывода в фиат
• Определяем, какие адреса нужно пометить как криминальные в первую очередь
• Формируем план ответных мер с учётом юрисдикции и типа инцидента

Заявку можно подать через форму на сайте или напрямую через Telegram-бот. Ответ приходит в течение нескольких часов, а не дней — время здесь критично.

Шаг 3. Маркировка адресов злоумышленника в аналитических системах

Как только мы получаем данные о краже, запускается процедура флагирования. Адреса атакующего попадают в базы Chainalysis, TRM Labs, Crystal Blockchain и наши собственные фиды, которые используют крупнейшие биржи и платёжные сервисы.

Почему это важно? Когда злоумышленник попытается внести украденные средства на централизованную биржу, система риск-контроля автоматически заблокирует операцию. Деньги зависают на депозите, биржа фиксирует транзакцию, а мы получаем уведомление и сразу подаём запрос на заморозку.

Процесс маркировки занимает от нескольких минут до пары часов. Чем быстрее адрес попадёт в чёрные списки, тем выше шанс перехватить средства до вывода. Подробнее о механизме работы флагирования читайте в отдельной статье.

Что делать, если средства уже на бирже или в холодном кошельке

Сценарий развивается по-разному в зависимости от того, где сейчас находятся украденные активы. Каждая ситуация требует своей тактики.

Средства на централизованной бирже

Это лучший из возможных вариантов. Если деньги попали на Binance, Coinbase, Kraken, OKX или любую другую регулируемую площадку, у нас есть прямые каналы связи с их комплаенс-отделами.

Мы отправляем официальный запрос на заморозку средств, прикладывая:

• Аналитический отчёт о движении активов
• Доказательства кражи (скриншоты, переписка, хеши транзакций)
• Номер дела в полиции (если уже есть)

Tier-1 биржи реагируют в течение нескольких часов. Средства блокируются до выяснения обстоятельств, а мы получаем время на подготовку полного пакета документов для возврата. Эта услуга предоставляется бесплатно — главное успеть до того, как злоумышленник выведет деньги.

Детальная инструкция по работе с биржами — в материале «Как запросить заморозку активов на бирже».

Средства в холодном кошельке или не движутся

Если украденная криптовалюта лежит на некастодиальном адресе без признаков активности, прямого способа её заморозить не существует. Но это не значит, что нужно опустить руки.

Мы настраиваем мониторинг кошелька в реальном времени. Любое движение средств — даже перевод на промежуточный адрес — мгновенно фиксируется, и мы получаем push-уведомление. Как только деньги начинают путь к бирже, свопу или мосту, включается протокол заморозки.

Технически это работает так:

1. Адрес добавляется в систему трекинга через наш Telegram-бот или аналитическую платформу
2. Каждая новая транзакция автоматически помечается, а получатель средств тоже попадает под наблюдение
3. При касании централизованного сервиса (биржа, платёжный шлюз, OTC-деск) срабатывает алерт
4. Мы подаём запрос на блокировку до завершения вывода

Подробности настройки отслеживания — в разделе «Трекинг кошельков: зачем это нужно и как работает».

Средства прошли через DEX, свопы или мосты

Самый сложный, но не безнадёжный случай. Когда злоумышленник использует децентрализованные биржи, кросс-чейн мосты или сервисы обмена, путь средств усложняется, но не исчезает.

Наши аналитики:

• Восстанавливают полную цепочку конвертаций (например, USDT → ETH → BNB)
• Отслеживают перемещения через пулы ликвидности и мосты между сетями
• Идентифицируют конечные адреса после всех манипуляций
• Продолжают мониторинг всех ответвлений до момента касания централизованного звена

Даже если деньги раздробились на десятки мелких переводов, мы продолжаем вести каждую нить. Рано или поздно большинство мошенников пытаются вывести средства в фиат — и это наша точка входа.

Аналитический отчёт: почему без него не обойтись

Когда вы обращаетесь в полицию или на биржу с просьбой заморозить украденные средства, одних слов недостаточно. Нужен документ, который подтверждает факт кражи и показывает путь движения активов. Это и есть аналитический отчёт о расследовании инцидента.

Что входит в отчёт:

• Полная цепочка транзакций — от момента кражи до текущего местонахождения средств
• Кластеризация адресов — группировка кошельков, принадлежащих одному владельцу
• Использованные техники обфускации — миксеры, tumbler-сервисы, мосты, DEX
• Точки касания с CEX — биржи, на которые заходили украденные активы
• Зацепки для деанонимизации — KYC-данные, IP-адреса, метаданные транзакций
• Рекомендации по дальнейшим действиям — куда подавать запросы, какие документы готовить

Такой отчёт принимают биржи, правоохранительные органы и суды. Он даёт им готовую доказательную базу, благодаря которой решения принимаются в разы быстрее.

На практике: без отчёта 9 из 10 запросов на заморозку средств игнорируются. С отчётом — большинство обрабатывается в течение 24-48 часов. Узнать больше о структуре и стоимости документа можно в статье «Что такое отчёт об инциденте и как он повышает шансы на возврат».

Заявление в полицию: как правильно подать

Многие пострадавшие откладывают поход в полицию, считая это бесполезной формальностью. На деле — без номера дела большинство бирж откажут в заморозке средств. Правоохранительные органы нужны не столько для поимки преступника (хотя и это возможно), сколько для легитимации запросов к биржам и платёжным сервисам.

Что взять с собой в отделение

Чтобы заявление приняли и открыли дело, подготовьте три документа:

1. Письменное заявление — краткое описание инцидента с указанием даты, времени, суммы ущерба, адресов кошельков и хешей транзакций
2. Аналитический отчёт — техническая экспертиза движения средств (о нём выше)
3. Запрос к бирже — официальный документ с просьбой предоставить KYC-данные владельца счёта и заморозить активы

Проблема в том, что у большинства полицейских нет инструментов для расследования крипто-краж. Поэтому чем полнее и понятнее вы подадите информацию, тем выше вероятность, что дело не «ляжет на полку».

Мы помогаем составить все три документа, адаптируем их под требования конкретного региона и, при необходимости, консультируем следователя по техническим вопросам. Пошаговая инструкция — в материале «Как подать заявление в полицию: шаблоны и алгоритм».

Частые вопросы

Сколько времени есть на заморозку средств после кражи?

Критичны первые 24 часа. После этого вероятность вывода через миксеры или OTC резко возрастает. Но даже если прошло несколько дней, шансы остаются — мы вели кейсы с успешной заморозкой спустя неделю и более.

Можно ли отследить украденную криптовалюту самостоятельно?

Технически — да, через блокчейн-эксплореры. Практически — сложно. Мошенники используют миксеры, мосты, множественные переводы между адресами. Без специализированных инструментов (Chainalysis, TRM, Crystal) и опыта легко потерять след.

Помогает ли обращение в полицию вернуть деньги?

Напрямую — редко. Но номер дела нужен для запросов к биржам. Без него большинство платформ не замораживают средства. Плюс, в некоторых случаях полиция действительно выходит на мошенников — особенно если это повторяющаяся схема.

Что делать, если злоумышленник вывел деньги в фиат?

Если средства ушли через P2P или OTC-деск, след не теряется. Мы запрашиваем у биржи данные о получателе (KYC, банковские реквизиты), передаём их в полицию. Дальше — работа правоохранительных органов и банков.

Сколько стоят услуги по возврату украденной криптовалюты?

Первичная оценка и триаж — бесплатно. Стоимость полного расследования зависит от сложности кейса: количества транзакций, использованных техник обфускации, юрисдикции. Цену озвучиваем после анализа ситуации.

Какова вероятность вернуть украденные средства?

Зависит от скорости реакции и того, куда ушли деньги. Если средства на регулируемой бирже и вы обратились в первые часы — шансы высокие (60-80%). Если прошло время и деньги раздроблены через миксеры — сложнее, но не невозможно (20-40%).

Можно ли заблокировать кошелёк злоумышленника?

Некастодиальный кошелёк заблокировать нельзя — это особенность блокчейна. Но можно пометить его как криминальный в аналитических системах, и тогда биржи автоматически заблокируют попытки вывода. Фактически кошелёк становится «токсичным» и бесполезным для мошенника.