Почему крипто-скам — это бизнес, а не одиночки

По данным отчёта Chainalysis Crypto Crime Report 2025, суммарный объём средств, украденных через крипто-скамы, превысил $14 млрд за 2024 год — и это только задокументированные потоки, попавшие в on-chain атрибуцию. Реальная цифра, с учётом нерегулируемых OTC-выходов и приватных монет, выше в полтора-два раза.

Главное, что надо понять: за большинством схем стоят не одиночки, а организованные структуры. В Юго-Восточной Азии (Камбоджа, Мьянма, Лаос) работают так называемые «скам-фермы» — промышленные комплексы, где сотни операторов 14 часов в сутки ведут переписку с жертвами по скриптам. В Восточной Европе распространены более технические команды, специализирующиеся на drainer-контрактах, фишинге и SIM-swap атаках.

У них есть отделы продаж, QA, бухгалтерия, HR. Их скрипты калиброваны под психологический тип жертвы. Именно поэтому стыд «как я мог на это попасться» — неуместен. Против вас работал не один человек, а индустрия, годами шлифующая свои методы. Задача этой статьи — показать паттерны, чтобы вы могли быстро определить, что именно произошло, и принять решение.

Схема #1 — Pig Butchering (долгосрочная инвестиционная подделка)

Самая разрушительная схема последних трёх лет. Название — «откорм свиньи перед забоем» — буквальное: жертву «откармливают» доверием неделями, прежде чем обчистить.

Как работает: первый контакт идёт через Tinder, Bumble, Instagram, LinkedIn или «ошибочное» сообщение в WhatsApp/Telegram. Профиль всегда идеальный — успешный, красивый, с образованием. Следующие 2–8 недель — прогрев: совместные планы, эмоциональная близость, редкие намёки на «подругу-трейдера» или «дядю из инвестфонда». Затем — «секретная» торговая платформа, куда доступ только у избранных. Первый депозит небольшой ($1–5K), и на нём жертва «зарабатывает» — интерфейс показывает рост. Вывод первых $500–$1000 проходит реально (это инвестиция мошенников в доверие). Дальше — увеличение депозита, часто с использованием займов и продажи квартиры. Финал: при попытке вывести крупную сумму появляется «налог», «страховка» или «разблокировочный сбор» — ещё одна итерация скама поверх основного.

Признаки: партнёр, которого вы никогда не встречали офлайн; быстрый переход в Telegram или приватный мессенджер; сайт «торговой платформы», которого нет в Google до 2023 года; упоминание «инсайдерского доступа»; любые требования дополнительных платежей для вывода.

Шанс возврата: средний, 20–40%, если прошло менее 60 дней с последнего депозита и средства отслеживаются до регулируемой биржи. Большая часть сумм обычно уходит через TRC20-цепочки на OKX и Binance — на этих точках работает compliance.

Схема #2 — Fake Investment Platforms

Массовый вариант pig butchering без романтической завязки. Целевая аудитория — те, кто активно ищет способы инвестировать крипту. Платформы обещают «арбитражного AI-бота», «стейкинг с доходностью 3% в день», «партнёрство с хедж-фондом».

Как работает: трафик идёт через Telegram-каналы, Instagram Reels, YouTube-рекламу и SEO на низкочастотные запросы («инвестиции в крипту без риска», «пассивный доход USDT»). Сайт обычно скопирован с шаблона — красивый dashboard, график растущей доходности, фальшивые «отзывы клиентов». Вывод малых сумм работает первые 1–2 недели, потом «технические проблемы», «обновление KYC», требование дополнительного депозита.

Признаки: домен зарегистрирован менее 6 месяцев назад (проверяйте через Whois); отсутствует реальная регистрация юрлица (ссылки на «FCA License #####» почти всегда поддельные); «отзывы» на сайте написаны одним стилем; нет публичных LinkedIn-профилей команды; обещания фиксированной доходности — любая фиксированная доходность в крипте является признаком скама.

Шанс возврата: низкий-средний, 15–35%. Платформы обычно живут 3–9 месяцев и обналичивают средства партиями через мелкие exchanges. Ключ — зафиксировать всё до момента, когда сайт уйдёт в offline.

Схема #3 — Romance Scam

Классическая социальная инженерия, адаптированная под крипту. В отличие от pig butchering, здесь нет «торговой платформы» — деньги просят напрямую, под предлогом кризиса.

Как работает: знакомство в dating-приложениях или соцсетях, 1–3 месяца отношений на расстоянии (визит постоянно откладывается), затем — кризис: арест, больница, застрявший на таможне груз, проблемы с компанией. Нужны срочно деньги, и единственный способ перевода — USDT TRC20 «на кошелёк адвоката/врача/таможенного брокера».

Признаки: никогда не встречались вживую; любые видеозвонки «не работают из-за связи»; фотографии слишком профессиональные (часто украдены — проверяйте через Google Image Reverse Search); резкий переход с дейтинг-сайта в Telegram или WhatsApp; кризис с точным размером необходимой суммы.

Шанс возврата: 10–25%. Суммы обычно не очень большие ($2–20K), но один и тот же скамер работает серийно — его кошелёк набирает депозиты от десятков жертв. Именно в этом «коллективная» логика: tracing-отчёт по кластеру с суммой претензий в $200K+ имеет совсем другой вес в compliance биржи, чем жалоба на $5K.

Схема #4 — Fake Support / Impersonation

Атаки на владельцев кошельков и аккаунтов на биржах под видом тех.поддержки. Одна из старейших, но до сих пор работающая схема.

Как работает: «представитель MetaMask/Binance/Ledger/Trust Wallet» пишет первым — в Telegram, Discord, на email или через форму поддержки на фишинговом сайте. Сообщение: «обнаружена подозрительная активность», «необходимо верифицировать seed-фразу», «для восстановления установите наш инструмент». Часто используется поддельный домен (binance-support.net вместо binance.com) и фирменная визуальная стилистика.

Признаки: инициатива от них — настоящая поддержка никогда не пишет первой; искусственная срочность («ваш аккаунт будет заблокирован через 24 часа»); запрос seed-фразы, приватного ключа или установки стороннего ПО; ссылка на домен, отличающийся на одну букву от официального.

Шанс возврата: полностью зависит от скорости реакции — часы, не дни. Если seed-фраза была передана, атакующий опустошит кошелёк в течение минут. Единственный рабочий сценарий — если средства ушли на CEX и вы подали запрос о фроде до того, как они были обналичены.

Настоящая поддержка Binance, Coinbase, MetaMask и Ledger никогда не пишет первой в Telegram. Никогда. Любое такое сообщение — 100% скам.

Схема #5 — Phishing (фейковые сайты и drainer-контракты)

Техническая атака через взаимодействие с web3-интерфейсами. В 2024–2025 годах стала доминирующим вектором потерь в DeFi.

Как работает: жертва попадает на поддельный клон Uniswap, PancakeSwap, OpenSea, Blur или Solana-приложения — через рекламу в Google, фишинговый email, подменённую ссылку в Discord, скомпрометированное Chrome-расширение. При попытке «подключить кошелёк» или «подтвердить транзакцию» пользователь подписывает malicious approve, дающий drainer-контракту право списать все токены определённого типа. Популярные drainer-сервисы 2025 года — Inferno Drainer, Pink Drainer, Atomic Drainer — работают по модели SaaS: фишер покупает доступ и получает процент от украденного.

Признаки: ссылка пришла извне (не набрана вручную); домен отличается от официального на один символ или TLD; всплывающее окно с запросом подписи содержит непонятный hex-калldata; вам предлагают «подключить Trezor/Ledger» на сайте, который вы не проверили.

Шанс возврата: низкий, если approve был подписан и drainer списал токены мгновенно. Выше — если компрометация произошла через подмену seed-фразы (есть время отследить движение) или если drainer выводит средства поэтапно через миксер.

Немедленное действие — через Revoke.cash или Etherscan Token Approvals отозвать все approvals с подозрительного контракта. Это не вернёт уже украденное, но предотвратит дальнейшие списания.

Схема #6 — Rug Pulls и exit scams

Самая «крипто-нативная» схема: проект создаётся, набирает инвесторов, затем создатели забирают ликвидность и исчезают.

Как работает: запуск токена с «инновационной механикой» (AI, RWA, L2, gaming — подставить модное). Обещания VC-партнёрств, фальшивые listings в CoinMarketCap и CoinGecko, кричащий маркетинг в Twitter и Telegram с оплаченными influencer-постами. Pre-sale на $500K–$5M, листинг на DEX. Через дни, недели или месяцы — внезапный сброс ликвидности разработчиком (hard rug) или постепенное «тихое» исчезновение команды (soft rug): прекращение обновлений, исчезновение из Twitter, удаление Discord-сервера.

Признаки: анонимная команда (или команда с подставными LinkedIn-профилями); ликвидность не залочена или залочена на 1–3 месяца; контракт не прошёл аудит у признанных фирм (CertiK, OpenZeppelin, Trail of Bits); агрессивная реклама в Telegram-чатах и платные influencers; нереалистичные обещания доходности.

Шанс возврата: почти всегда нулевой. Создатели анонимны, ликвидность уведена через cross-chain bridges (Thorchain, Stargate, deBridge) в течение часов, часто сразу в Monero. Исключения — менее 5% кейсов, где команда частично раскрыта или ликвидность ещё не обналичена на CEX.

Схема #7 — Fake recovery services (скам поверх скама)

Самая циничная схема из списка. Мишень — люди, уже ставшие жертвами одной из предыдущих шести схем.

Как работает: жертва публикует свою историю в Reddit, Twitter, крипто-чатах или оставляет жалобу на Chainabuse. Через минуты или часы к ней в личные сообщения пишет «представитель агентства по возврату», «бывший сотрудник Chainalysis», «независимый blockchain-расследователь». Обещания: «вернём 100% средств», «у нас свои связи в Binance compliance», «работаем напрямую с Interpol». Цена: «небольшая предоплата $300–$2000» за «диагностику», «юридический сбор» или «газ для разморозки контракта». После оплаты — либо полное молчание, либо серия дополнительных платежей под разными предлогами.

Признаки: агент написал вам первым — настоящие forensics-компании не делают cold outreach в чатах; гарантия 100% возврата (технически невозможна); предоплата за «диагностику» или «разблокировку»; Telegram-аккаунт без истории или созданный недавно; отсутствие публичной команды, юрлица и Trustpilot с длинной историей.

Это всегда скам. Легальная forensics-компания работает либо по фиксированной ставке за аналитический отчёт (с бесплатной первичной диагностикой), либо по success fee — оплата только после возврата. Никакой предоплаты за «разблокировку», «газ» или «конвертацию» не существует в реальной практике.

Не уверены, какая схема у вас?

Опишите ситуацию в Telegram-боте — в течение 15 минут ответим, к какому типу относится кейс и какие шансы на возврат.

Telegram-бот

Что делать в первые 24 часа — универсальный протокол

Независимо от конкретной схемы, первые сутки работают по одному алгоритму. Каждый пропущенный шаг снижает шансы на возврат:

  1. Зафиксируйте все данные. TX hash всех спорных транзакций, адреса кошельков (ваших и получателей), скриншоты переписки, URL сайтов и «платформ», username и ID мошенника в мессенджерах, даты и timestamp. Выгрузите чат целиком, а не выборочные скриншоты — мошенник может удалить аккаунт.
  2. Не пишите мошеннику в попытке «договориться». Это только подтверждает факт паники и ускоряет обналичивание. Единственная коммуникация — только через юриста или forensics-специалиста под контролем.
  3. Смените все пароли и включите 2FA через приложение (Google Authenticator, Authy), не через SMS. Обязательные аккаунты: все биржи, email, Google-аккаунт, Telegram, любые web3-кошельки (через смену seed и перевод остатков на новый).
  4. Подайте complaint на биржу. Если средства ушли через CEX — support-тикет с пометкой «fraud» или «stolen funds», приложите TX hash и короткое описание в 3–5 предложениях. Не ждите — первые 24 часа критичны для временной заморозки до полноценной compliance-проверки.
  5. Подайте заявление в МВД по месту жительства. Для РФ и СНГ — это юридическая основа, без которой биржи не инициируют расширенную заморозку и не раскрывают данные владельца аккаунта. Подробнее — в материале «Как вернуть криптовалюту».
  6. Добавьте адрес мошенника в Chainabuse.com и ScamSniffer database. Это публичная атрибуция, которая помогает другим жертвам и усиливает ваш кейс — tracing-отчёт с уже известным адресом обрабатывается биржами приоритетнее.
  7. Обратитесь к forensics для бесплатной диагностики. На основе TX hash специалист за 1–2 часа скажет: к какому типу схемы относится ваш кейс, какой процент шансов на возврат и какие следующие шаги. Это бесплатный этап у всех легальных компаний.

Предупреждение

Рекавери-скаммеры часто пишут в чатах жертв сразу после публичных постов об инциденте. Не выкладывайте детали своего кейса в Reddit, Twitter, публичные Telegram-каналы — передавайте TX hash, адреса и суммы только под NDA с проверенной компанией. Публичное описание кейса — сигнал для второго слоя скама.

Как проверить, есть ли шанс на возврат

После фиксации данных логика следующая — четыре последовательных шага, каждый из которых либо подтверждает жизнеспособность кейса, либо закрывает его:

01

Собрать данные

TX hash, адреса, скриншоты, таймлайн. Минимум — TX hash и адрес получателя.

02

Диагностика

Бесплатная оценка 1–2 часа. Честный ответ — есть шанс или нет, с обоснованием.

03

Tracing report

Технический отчёт Chainalysis / TRM: карта движения, точки выхода, атрибуция.

04

Compliance / суд

Запрос в биржу с отчётом, пакет для МВД/Interpol, судебная работа для крупных сумм.

Правило номер один

Если вам обещают 100% возврат за предоплату — это второй слой скама. Настоящий профессионал даст оценку шансов бесплатно и откажется от безнадёжного кейса. Никакой legit-компании нет смысла брать деньги за работу, которая не даст результата — это разрушает репутацию быстрее, чем окупается.

Если ваш кейс попадает под одну из семи разобранных схем — данные, собранные по универсальному протоколу, уже дают 80% необходимого для диагностики. Остальные 20% — это on-chain атрибуция и оценка конечной точки выхода средств, которую делает forensics-инструмент. Это и есть та часть, которую мы выполняем бесплатно на этапе первой оценки.