Что делать если украли TON: пошаговая первая помощь

Кража TON или jetton-ов — это шок, и первая реакция почти всегда неправильная: метаться, переустанавливать кошелёк, удалять “взломанное” приложение. Это худшее, что можно сделать. В этом гайде — пошаговый алгоритм первых 30 минут после обнаружения кражи. Цели — сохранить остатки, зафиксировать улики и максимизировать шанс на частичный возврат через биржу. Все шаги проверены на реальных случаях 2024-2025 годов — никакого “магического восстановления”, только то, что реально работает.

Что произошло — три типичных сценария

Прежде чем действовать, важно понять, какой именно тип кражи случился. От этого зависят шаги.

Сценарий А — слита seed-фраза

Признаки: с твоего адреса уходят активы, но ты не подписывал ничего сейчас. Возможно, ты вводил seed на фишинг-сайте, в боте-”верификаторе” или утечка случилась через скриншот в облаке. Атакующий импортировал seed себе и работает прямо со своего устройства.

Это худший сценарий. Кошелёк скомпрометирован полностью, и любые средства, которые ты на него отправишь, уйдут немедленно.

Сценарий Б — drainer-подпись

Признаки: ты подключал кошелёк к dApp / минту / обмену, что-то подписал, и теперь баланс пуст. Внешне адрес “не взломан” — атакующий не имеет seed, у него только подпись на конкретную транзакцию.

Это менее тяжёлый сценарий. Сам адрес “чист”, но если есть открытая TON Connect-сессия — атакующий может попробовать ещё раз. Анатомия таких атак подробно разобрана в статье про drainer-сайты в TON.

Сценарий В — угнан Telegram-аккаунт

Признаки: ты не можешь войти в Telegram, или замечаешь активность от своего имени. Если в Telegram у тебя был кастодиальный Wallet — средства оттуда ушли. Tonkeeper и MyTonWallet защищены от этого (seed только на твоём устройстве), Wallet в Telegram — нет.

Этот сценарий требует параллельного восстановления Telegram-аккаунта. Подробнее — в гайде по защите Telegram.

Шаг 1 (0-5 минут): спасти остатки

Прежде всего — определи, какой кошелёк скомпрометирован, и спаси оттуда то, что не успели украсть.

1. Открой кошелёк в текущем устройстве, но не вводи seed повторно и не нажимай ничего, кроме просмотра балансов.
2. Если на адресе ещё остались активы (jetton-ы, NFT, TON) — нужно их немедленно вывести.
3. Создай новый кошелёк на чистом устройстве (другой телефон, другой компьютер) с новой seed-фразой. Не используй то же устройство, на котором произошла кража — там может быть trojan или активная сессия атакующего.
4. Запиши новую seed на бумаге сразу же, не сохраняй в облаке.
5. Переведи остатки активов с скомпрометированного адреса на новый адрес.

Шаг 2 (5-10 минут): отозвать сессии TON Connect

Только для сценария Б (drainer-подпись). Если атакующий знал seed, шаг бессмысленен.

1. Открой Tonkeeper → Settings → Connected apps.
2. Нажми “Disconnect” на каждом приложении подряд. Не разбирайся, какое из них drainer — режь все.
3. То же самое в MyTonWallet — раздел “Подключенные приложения” или “Connected apps”.
4. После отзыва сессий drainer-сайт больше не сможет инициировать новый запрос на подпись.

Это закрывает повторные атаки в течение следующих часов и дней. Особенно важно перед сном — drainer-ы любят инициировать второй заход ночью, рассчитывая на автоматическое подтверждение push-уведомления.

Шаг 3 (10-15 минут): зафиксировать улики

Вот что нужно собрать прямо сейчас, пока память свежая и доступы рабочие.

Технические данные

• Адрес атакующего. Открой tonscan, зайди на свой кошелёк, найди исходящую транзакцию кражи. Скопируй адрес получателя (To).
• Hash транзакции — буквенно-цифровой ID в tonscan. Скопируй для каждой транзакции, которая была частью атаки.
• Точное время и дата транзакций (UTC).
• Список украденных активов с приблизительной оценкой в USD (используй CoinGecko на момент кражи).
• Скриншот страницы tonscan с историей транзакций — на случай, если потом адрес как-то “потеряется”.

Контекстуальные улики

• Сайт-фишинг или drainer. Скриншот страницы, URL целиком, ссылка на превью в urlscan.io или wayback machine.
• Переписка с “поддержкой”, “продавцом”, “другом”. Скриншоты диалога, имя пользователя Telegram (включая @username), время сообщений.
• Реклама/пост в канале, через который попал на скам. Скриншот, ссылка на пост, дата публикации.
• Список подключённых TON Connect-сессий до того, как ты их отозвал.

Почему это важно

Без структурированных улик любое заявление в полицию или в exchange — макулатура. С ними — есть шанс, что биржа найдёт зачисление от твоего адреса в свой hot wallet и заморозит средства до выяснения.

Шаг 4 (15-25 минут): отследить путь средств

Это задача 5-10 минут, а отдача — иногда определяющая для возврата.

1. Зайди на адрес атакующего в tonscan.
2. Посмотри исходящие транзакции — куда мошенник переводит украденное.
3. Часто следующий шаг — на адрес посредника, потом на адрес централизованной биржи. У основных бирж (Bybit, OKX, MEXC, Binance) известные публичные hot-wallet адреса; tonscan и tonviewer часто их помечают.
4. Если средства попали на CEX — это твой главный шанс на возврат. Биржа может заморозить остаток баланса по запросу правоохранительных органов или иногда по обоснованному обращению с заявлением.
5. Если средства ушли в DEX (STON.fi, DeDust) или микшер вроде Tornado Cash — шансов почти нет. Запиши последний “след” и на этом останавливайся.

Шаг 5 (25-40 минут): официальные обращения

Параллельно — два направления.

А — заявление в полицию (Россия)

1. Госуслуги — раздел “Заявления”, категория “Преступления в сфере IT” или “Мошенничество”. Подаётся электронно, регистрируется автоматически.
2. МВД лично — отделение по месту жительства. Заявление по статье 159 УК РФ (“Мошенничество”) или 159.6 (“Мошенничество в сфере компьютерной информации”). Возьми распечатки всех улик.
3. Получи талон-уведомление или регистрационный номер заявления — он понадобится для дальнейших шагов.

Реально шанс расследования низкий — следователи редко имеют компетенции в крипте. Но без заявления нет легального основания для следующих шагов.

Б — обращение в биржу

Если средства попали на CEX, у каждой биржи есть security team и форма для legal/law-enforcement requests.

• Bybit — compliance@bybit.com, форма на сайте.
• OKX — раздел Help → Compliance → Law enforcement.
• MEXC — compliance@mexc.com.
• Binance — Law Enforcement Request System.

В обращении укажи:

• Свой адрес кошелька и адрес атакующего.
• Hash транзакций кражи и hash зачисления на адрес биржи (с указанием их адреса).
• Номер заявления в полицию.
• Точные суммы и время.

Биржи реагируют не всегда, но в случаях с явным сценарием drainer и быстрым обращением (1-3 часа после кражи) шанс заморозки реален.

Шаг 6 (после первого часа): что НЕ делать

Это часть отдельная, потому что ошибки на этом этапе создают вторую кражу поверх первой.

• Не плати “хакерам, которые помогут вернуть”. Это всегда повторное мошенничество.
• Не вводи seed ни на какие “сервисы восстановления”. Любой такой “сервис” — фишинг.
• Не давай удалённый доступ к компьютеру “помощникам” из техподдержки. Это сценарий ещё одной кражи через TeamViewer/AnyDesk.
• Не публикуй в публичных чатах свою seed-фразу или ключи “для проверки”. Никто не “проверяет” seed онлайн.
• Не возвращайся на скомпрометированный адрес после восстановления. Никогда.

Шаг 7 (на следующий день): аудит безопасности

После того как первоочередные действия выполнены, проведи холодный анализ.

• Поменяй пароли на email, Telegram, аккаунте биржи. Включи 2FA через приложение (не SMS).
• Проверь устройство на trojan-ы. Полное сканирование Bitdefender / ESET, проверка установленного браузерного расширения.
• Удали и переустанови браузерные расширения кошельков. Старые могут быть скомпрометированы расширением-malware.
• Создай новую seed на чистом устройстве. Никогда не используй старую — она утекла навсегда.
• Прочитай разбор причины кражи — топ-10 скам-схем в Telegram, анатомию фишинга и гайд по seed-фразам.

Реалистичные ожидания

Будем честны.

• При сценарии “drainer и быстрое обращение в CEX в течение часа” — шанс возврата 10-20%, обычно не всех средств.
• При сценарии “слита seed, средства уже на DEX” — шанс возврата близок к нулю.
• Среднее время рассмотрения заявления — 2-6 месяцев. Готовься к долгому процессу.
• Заявление в полицию — обязательный шаг, без него ничего нельзя сделать с биржей. Даже если расследование не доведут до конца, это твой единственный легальный инструмент.

После восстановления — что менять

Кража обычно случается из-за конкретной слабости в сетапе. Не повторяй ту же ошибку.

1. Сегментируй кошельки. Холодный с Ledger для накоплений, отдельный hot для DeFi, минимальный для рисковых dApp.
2. Включи Two-Step Verification на Telegram-аккаунте. Подробнее — в гайде по защите Telegram.
3. Никогда не вводи seed нигде, кроме первой настройки кошелька. Это финальное правило.
4. Подпиши все будущие транзакции через Ledger — drainer не сможет подменить детали незаметно.

Источники

• Chainabuse — Ultimate Guide to Recover Stolen Crypto
• The Cyber Helpline — Hacked virtual currency recovery
• SlowMist — 2025 Q2 MistTrack Stolen Funds Analysis
• Britannica Money — Crypto Security and Recovery
• tonscan.org — обозреватель TON для отслеживания транзакций