В 3:48 ночи с кошелька ушло 1500 USDT. Через две минуты, в 3:50 ещё 28 000. Аккуратно так, двумя заходами.
Он спал. Телефон лежал рядом на тумбочке, где и всегда. Не взлом, не фишинг, сид-фраза не хранилась в заметках с названием «сидка не открывать». Утром открыл Trust Wallet, а там ноль. Знакомое чувство, когда смотришь на баланс и надеешься что приложение просто не прогрузилось. Оно прогрузилось.
Кейс пришёл через знакомого. Человек божился, что доступа к кошельку не было ни у кого, вообще ни у кого, исключено. Спрашивал одно: как вошли. Я открыл транзакции, посмотрел минут пять и понял, что вопрос он задаёт не тот. Не как. А кто.
Потому что так, как тут, чужие не работают.
Смотри сам. Сначала уходит 1500. Немного. Через две минуты - весь остаток. Это не почерк того, кто ломанул чужой кошелёк. Чужой выгребает всё за один раз и растворяется, ему вообще без разницы, дошло или нет, он этот адрес больше никогда не увидит. А тут кто-то сперва отправил чуть-чуть, дождался, убедился что проходит, и только потом кинул основное. Так делает не хакер. Так делает человек, который нервничает. Который сидит с чужим телефоном в руках в четыре утра и боится, что что-то пойдёт не так.
И само время хорошее, показательное. 4 утра - это не когда заряжают рассылки колл-центры из бизнес-парка.
В таких историях это почти всегда кто-то близкий. Кто-то, кто знает пароль от телефона или видел, куда ты прячешь бумажку с сидкой. И вот тут начинается часть, за которую реально стоит платить, потому что первое желание у человека пойти и устроить разговор на повышенных. Это, мягко говоря, не лучший план.
Объясняю почему. Как только тот, кто это сделал, поймёт что спалился - деньги улетят с адреса за минуты. Пока лежат - их ещё можно прихватить.
Поэтому порядок был скучный, но рабочий. Сначала тихо. Заявление в полицию, без имён, просто факт несанкционированного списания. Параллельно отчёт по движению средств, разметка адреса как краденого во всех системах, где это читают, сбор документов. Дома вести себя как ни в чём не бывало, что психологически тяжелее всего остального вместе взятого. И только когда адрес заморозят - можно разговаривать. Уже с протоколом и заморозкой на руках, а не на эмоциях.
Сейчас по этому кейсу адрес в блэклисте. Вор деньги не вывел, они стоят на месте и никуда не денутся.
И вот тут я скажу то, что обычно не пишут ребята с аватаркой-ламбой и обещанием «вернём за 24 часа, оплата вперёд». Заморозить и вернуть - это два разных глагола и две разные вселенные. Заморозка просто останавливает деньги на адресе. Возврат - отдельная история, долгая, через суд и правоохранителей. Эмитент не отдаёт замороженное по доброй просьбе из лички, только по официальному ходу дела. Это месяцы. И это не гарантия, а шанс.
Но если бы он проспал ещё сутки, не было бы и шанса. Вор спокойно перегнал бы USDT в то, что не замораживается в принципе, и на этом всё. А так — успели, потому что адрес зафиксировали в первые часы, пока ещё было что фиксировать.