С кошелька списались токены без вашего перевода: что делать

Открыть кошелёк и увидеть, что токенов стало меньше — или их нет вовсе, — один из самых жутких моментов для любого владельца криптовалюты. Вы ничего не отправляли. Вы не нажимали никаких кнопок. Но транзакция есть, деньги ушли — и непонятно ни куда, ни почему, ни как это произошло. Именно в такие моменты крайне важно не паниковать и не делать хаотичных движений, потому что неверные действия могут усугубить ситуацию: вы рискуете потерять не только то, что уже ушло, но и то, что ещё осталось.
Короткий ответ. Если с кошелька списались токены без вашего участия — первым делом не подписывайте ничего нового и не подключайте кошелёк к каким-либо сайтам. Найдите TxID списания в истории операций, проверьте транзакцию в блокчейн-обозревателе, определите причину и отзовите подозрительные разрешения. Если на кошельке ещё остались активы — переведите их на новый безопасный кошелёк немедленно.

Почему токены могут списаться без вашего перевода

Большинство пользователей думают, что крипта может уйти с кошелька только если они сами нажали «Отправить» и подтвердили перевод. Это заблуждение. Существует несколько механизмов, при которых токены списываются без явного ручного перевода:
Ранее выданный approve. Если вы когда-либо подключали кошелёк к DeFi-сервису, DEX-бирже, NFT-площадке или любому DApp — вы, скорее всего, выдавали approve. Это разрешение смарт-контракту тратить определённый токен от вашего имени. Если среди выданных разрешений оказалось вредоносное — контракт в любой момент может воспользоваться им и перевести токены на свой адрес. Причём вы можете давно забыть о том подключении.
Crypto drainer. Это специализированный вредоносный смарт-контракт, созданный для автоматического опустошения кошельков. Пользователь попадает на фишинговый сайт, подписывает что-то «безобидное» — верификацию, получение наград, mint — и drainer мгновенно списывает токены через выданное разрешение.
Скомпрометированная seed-фраза. Если кто-то узнал вашу seed-фразу — он получил полный контроль над кошельком. Он может переводить средства в любое время, в любом количестве, и вы увидите это только в истории транзакций.
Вредная подпись сообщения. Некоторые типы подписей (Permit, Permit2, SignTypedData) создают разрешение без видимой транзакции approve. Пользователь подписывает строку текста — и незаметно выдаёт доступ к токенам.
Вредоносное ПО на устройстве. Программы-перехватчики, расширения браузера с вредоносным кодом или keylogger могут перехватывать данные кошелька и инициировать переводы в фоновом режиме.
Атака через буфер обмена. Вредоносное ПО отслеживает буфер обмена и подменяет адреса. Вы думаете, что отправляете на один адрес — а уходит на другой. Но в этом случае у вас будет воспоминание об отправке.
Понимание механизма — первый шаг к правильным действиям. Прежде чем паниковать, нужно выяснить, что именно произошло.

Первые минуты после обнаружения: действуйте по порядку

Паника — враг. Именно в состоянии паники люди вводят seed-фразу на «сервисе возврата», отправляют деньги «помощникам» и теряют всё оставшееся. Остановитесь. Глубокий вдох. Теперь по шагам:
Шаг 1. Не подписывайте ничего нового.
Если в этот момент в кошельке висит запрос на транзакцию или approve — отклоните его. Любой запрос, появившийся сейчас, с высокой вероятностью продолжает атаку.
Шаг 2. Не подключайте кошелёк к новым сайтам.
Сайты «проверки кошелька», «диагностики баланса», «сканеров взлома» — это второй эшелон мошенничества. Они появляются именно в момент, когда вы уязвимы и ищете помощь.
Шаг 3. Откройте историю операций.
В любом кошельке — MetaMask, Trust Wallet, Tonkeeper — есть история транзакций. Найдите подозрительную операцию: исходящий перевод, который вы не делали.
Шаг 4. Найдите TxID.
TxID (хеш транзакции) — это уникальный идентификатор каждой операции в блокчейне. Он выглядит как длинная строка символов рядом с транзакцией. Скопируйте его и сохраните.
Шаг 5. Зафиксируйте все детали.
Запишите или сохраните скриншот: токен, сумму, сеть, адрес получателя, дату и время операции. Это доказательная база — не удаляйте.
Шаг 6. Оцените остаток активов.
Посмотрите, что ещё есть на кошельке. Если активы остались — это приоритет: их нужно защитить немедленно.
Шаг 7. Решите, нужен ли срочный перевод оставшихся средств.
Если причина списания неясна, на кошельке есть ценные активы и вы не знаете, насколько кошелёк скомпрометирован — переводите на новый адрес немедленно, не дожидаясь полного расследования.

Как проверить списание по TxID

TxID — ваш главный инструмент расследования. По нему можно узнать абсолютно всё о конкретной транзакции: что ушло, куда ушло, в какой сети, в какое время, подтверждена ли операция и каким контрактом она инициирована.
Каждая блокчейн-сеть имеет публичный обозреватель транзакций. Принцип везде одинаков: введите TxID в поисковую строку и получите полную картину.
Что искать в обозревателе:
Status / Статус. Success (подтверждена) или Failed (не прошла). Если Failed — токены не ушли, несмотря на то что транзакция была.
From / To — Откуда / Куда. Адрес отправителя (ваш) и адрес получателя. Запишите адрес получателя — он понадобится.
Token Transfer / Перевод токена. Если это не обычный перевод монеты, а вызов смарт-контракта — в этой секции будет видно, какой токен и в каком количестве был переведён.
Interacted with Contract / Взаимодействие с контрактом. Если транзакция инициирована не напрямую вами, а через смарт-контракт — здесь будет адрес этого контракта. Это прямое указание на то, что сработал approve или drainer.
Input Data / Данные вызова. Технически сложное поле, но иногда помогает понять, что именно было вызвано: Transfer, TransferFrom, Approve.
Метод TransferFrom в данных транзакции — ключевой признак. Это значит, что токены были переведены не вами лично, а третьей стороной на основании ранее выданного approve. Именно так работают drainer и вредоносные контракты.
Как понять, была ли атака через approve:
Откройте обозреватель. Найдите транзакцию по TxID. Если в поле «Method» или «Input Data» стоит transferFrom — это списание через выданное разрешение. Если метод transfer — это был прямой перевод с вашего адреса (значит, у атакующего был доступ к кошельку через seed-фразу или приватный ключ).
О том, как правильно проверять транзакции до отправки, читайте в статье как проверить риски криптоперевода перед сделкой.

Что такое approve и как он может списать токены без вашего ведома

Этот механизм понимают немногие, хотя именно он стоит за большинством случаев, когда с кошелька списались токены. Разберём детально.
Approve — это разрешение. Когда вы взаимодействуете с DEX-биржей, DeFi-протоколом или любым другим DApp, кошелёк запрашивает approve: «Разрешить этому контракту тратить ваш USDT в количестве X». Вы нажимаете подтвердить, платите небольшую комиссию — и разрешение записывается в блокчейн.
Approve не имеет срока. Оно не исчезает само по себе через день, неделю или год. Контракт, получивший approve полгода назад, сохраняет право воспользоваться им сегодня.
Approve может быть безлимитным. Многие DApp запрашивают approve на максимальную сумму — «Unlimited» — чтобы пользователю не приходилось подтверждать каждую операцию. Это удобно, но опасно: если контракт вредоносный, он может забрать все токены.
Approve может быть выдан через подпись. Механизм Permit позволяет создать approve через обычную подпись сообщения — без видимой транзакции. Пользователь видит строку текста в кошельке, нажимает «Подписать» — и разрешение выдано. В истории транзакций это не отображается как approve, что делает атаку незаметной.
Именно поэтому проверка активных разрешений — первый технический шаг при любом подозрительном событии с кошельком. Не «поменять пароль», не «переустановить кошелёк» — а проверить список approve и отозвать лишние.

Как проверить активные разрешения кошелька

Разрешения хранятся в блокчейне, а не в приложении кошелька. Поэтому удаление или переустановка MetaMask или Trust Wallet не удаляет approve — они остаются в сети.
Для проверки и управления разрешениями используются специализированные сервисы — revoke-инструменты. Они считывают все активные approve для вашего адреса и позволяют их отозвать.
Общий алгоритм проверки разрешений:
1. Определите сеть. Approve выдаются в конкретной сети. Если вы используете несколько сетей (Ethereum, BNB Chain, Polygon, Tron), каждую нужно проверять отдельно. Начните с той, в которой произошло списание.
2. Найдите проверенный revoke-сервис для нужной сети. Домен ищите через официальные источники, которым доверяете. Не переходите по ссылкам из Telegram, рекламы или чужих комментариев.
3. Подключите кошелёк. Сервис запросит подключение — это стандартно. Убедитесь, что домен правильный, прежде чем подключать.
4. Просмотрите список разрешений. Вы увидите таблицу: токен, адрес контракта, которому выдан approve, и лимит. Обратите внимание на:

• Разрешения с лимитом Unlimited или очень большими суммами
• Контракты с незнакомыми адресами
• Разрешения, дата которых совпадает с датой подозрительного списания
• Разрешения, которые вы не помните как выдавали
  5. Отзовите подозрительные approve. Нажмите Revoke рядом с каждым подозрительным или ненужным разрешением. Кошелёк запросит подтверждение транзакции — это обычная операция в блокчейне, за неё нужно заплатить комиссию сети.
  6. Убедитесь в результате. После подтверждения транзакции обновите страницу и убедитесь, что разрешение исчезло из списка.
  Важное уточнение про сеть Tron (TRC-20). В отличие от EVM-сетей, в Tron механизм approve устроен иначе. Основной риск там связан с прямым компромиссом seed-фразы или вредоносными транзакциями. Если USDT в TRC-20 списались без вашего перевода — скорее всего, речь идёт о компрометации приватного ключа, а не об approve. Действие в таком случае одно: немедленно перевести оставшиеся активы на новый кошелёк.
  Про TON. В сети TON нет стандартного ERC-20 approve. Основные векторы — это подписанные транзакции, автоматические платежи через смарт-контракты и компрометация seed-фразы. Если токены TON или USDT в TON-сети ушли без вашего ведома — действуйте сразу: переводите оставшиеся активы.
  О том, как обнаружить взлом кошелька на раннем этапе и выстроить системную защиту — в статье как защитить криптокошелёк от взлома и ошибок.

Как проверить разрешения в конкретных кошельках

MetaMask

MetaMask отображает некоторые разрешения внутри интерфейса, но полная картина доступна только через revoke-сервис. Внутри MetaMask: Настройки → Подключённые сайты — это не approve, а лишь список сайтов, которые видят ваш адрес. Для отзыва approve нужен внешний сервис.

Trust Wallet

Trust Wallet не имеет встроенного интерфейса для просмотра approve. Для BNB Smart Chain используйте revoke-сервисы, поддерживающие BEP-20 токены. Подключите кошелёк через WalletConnect.

Tonkeeper

В Tonkeeper нет механизма approve, аналогичного ERC-20. Если с кошелька в TON-сети ушли токены — проверяйте историю транзакций вручную в блокчейн-обозревателе TON, ищите исходящие транзакции, которые вы не инициировали.

Общее правило

Для любого кошелька: найдите revoke-сервис для нужной сети (Ethereum → одни сервисы, BNB Chain → те же или аналогичные, Polygon → поддерживаемые сети). Подключайтесь только через официальные адреса из проверенных источников.

Когда нужно немедленно переводить активы на новый кошелёк

Отзыв approve закрывает будущие риски — но только если кошелёк не скомпрометирован глубже. Есть ситуации, когда единственное правильное решение — покинуть скомпрометированный адрес полностью.
Немедленно переводите активы, если:
Вы вводили seed-фразу на каком-либо сайте — даже на «официальном на вид». Это абсолютный признак компрометации. Кто-то уже знает ваши ключи.
Видны транзакции с методом transfer (не transferFrom) от вашего адреса — это значит, атакующий использует ваш приватный ключ напрямую.
Произошло несколько необъяснимых списаний с разными токенами.
Вы не понимаете, что именно подписывали в последний раз, но знаете, что подписывали что-то на незнакомом сайте.
На кошельке есть значимые суммы, а причина списания не установлена.
Как переводить активы безопасно:
Сначала отзовите approve — иначе при переводе drainer может попытаться воспользоваться оставшимся разрешением прямо в процессе вывода.
Создайте новый кошелёк в том же приложении или в другом. Новая seed-фраза генерируется автоматически. Запишите её на бумаге, не в облаке и не в телефоне.
Переведите активы с поскомпрометированного адреса на новый. Делайте последовательно: сначала токены, затем нативную монету сети (ETH, BNB, TRX — в зависимости от сети).
Не используйте старый кошелёк для хранения — только как «наблюдательный», чтобы видеть, что происходит с адресом.
О том, как безопасно перевести крипту на новый адрес без ошибок, читайте в статье как отправить крипту на кошелёк и не потерять перевод.

Можно ли вернуть списанные токены

Честный ответ: в большинстве случаев — нет. Но давайте разберём по сценариям.
Транзакция подтверждена в блокчейне. Если токены уже переведены и транзакция имеет статус Success — технически отменить её невозможно. Блокчейн необратим по своей природе. Это касается всех сетей: ERC-20, TRC-20, TON, BEP-20 и других.
Если адрес получателя принадлежит централизованной бирже. Иногда drainer-адреса используют биржи как промежуточный пункт для вывода в фиат. Если вы установили, что токены пришли на адрес биржи — немедленно обратитесь в официальную поддержку этой биржи с TxID, суммой, адресом и временем. В исключительных случаях биржа может заморозить средства до их вывода.
Если адрес принадлежит обменнику. Аналогично: обратитесь в официальную поддержку как можно скорее. Чем быстрее — тем выше шанс, что транзакция ещё не обработана.
Если токены ушли напрямую на кошелёк мошенника. Без участия получателя вернуть ничего нельзя. Средства будут находиться на том адресе до тех пор, пока владелец не решит их переместить. Заблокировать адрес в децентрализованной сети невозможно.
Исключение: USDT и заморозка Tether. Компания Tether (эмитент USDT) имеет техническую возможность заморозить конкретный адрес на уровне смарт-контракта. В практике такие заморозки применяются в случаях подтверждённого мошенничества и при обращении правоохранительных органов. Это длительный процесс, но он существует. О том, что означает попасть в AML-реестр и как работает заморозка токенов, читайте в статье грязные USDT пришли на кошелёк.
Сохраните все данные. Даже если сейчас вернуть ничего нельзя — зафиксированные TxID, адреса и доказательства могут пригодиться при правоохранительном расследовании или при обращении в биржу в будущем.

Как отличить настоящую помощь от мошенников

После того как стало известно о списании, начинается второй этап атаки. Мошенники знают, что в этот момент пользователь напуган, ищет помощи и готов сделать что угодно, лишь бы вернуть деньги. Именно сейчас появляются «спасители».
Признаки мошеннического «сервиса возврата»:
Вам написали первыми — в Telegram, Discord, в комментариях к посту о взломе, в личку на форуме. Легитимные сервисы не ищут жертв активно.
Обещают вернуть украденную крипту за комиссию — процент от суммы, фиксированная плата, «разблокировочный взнос». Никакой сервис не может вернуть токены из чужого кошелька. Это физически невозможно.
Просят seed-фразу или приватный ключ «для проверки» или «для восстановления доступа». Передача seed-фразы означает передачу полного контроля над кошельком. Это не помощь — это финальная кража.
Просят установить приложение, расширение или дать удалённый доступ к компьютеру. Это инструменты для прямого хищения.
Ссылаются на «блокчейн-юриста», «крипто-следователя», «специалиста по возврату активов». Таких специалистов не существует в том смысле, в каком они себя подают.
Торопят: «У вас есть 24 часа, иначе средства будут утеряны навсегда». Это создание искусственного давления.
Что такое crypto recovery scam. Это отдельный вид мошенничества, направленный именно на жертв кражи крипты. Работает по простой схеме: вы теряете 1000 USDT, мошенники предлагают вернуть за комиссию 100 USDT, вы теряете ещё 100 и не получаете ничего. Иногда схема сложнее: «специалисты» имитируют работу — показывают «прогресс», просят ещё одну «обязательную транзакцию» — и в итоге вытягивают значительно больше первоначальных потерь.
Настоящие каналы помощи:
Официальная поддержка биржи — только через официальный сайт или приложение.
Официальная поддержка разработчиков кошелька — через официальный сайт.
Правоохранительные органы — при сумме, которая это оправдывает.
AML-сервисы — для анализа маршрута средств и поиска централизованных точек на пути.
Никаких других «посредников» не существует.
Если перед этим инцидентом вы подключали кошелёк к подозрительным сайтам и хотите разобраться в механизме атаки, читайте статью подключили криптокошелёк к подозрительному сайту: что делать.

Типичные сценарии: почему именно у вас списались токены

Разберём конкретные ситуации, которые приводят к тому, что с криптокошелька уходят деньги без явного перевода пользователя:

Сценарий 1: Подписали approve на DeFi-платформе месяц назад

Вы пользовались легитимным DEX-сервисом, выдали approve на USDT. Сервис был настоящим. Но позже через уязвимость или компрометацию контракта сервиса — атакующий получил возможность использовать ваш approve. Всё прошло по правилам блокчейна: разрешение было, операция законна технически. Решение: регулярный revoke разрешений даже на легитимных платформах.

Сценарий 2: Кликнули на «airdrop» в Telegram

В Telegram пришло сообщение от «знакомого» аккаунта: «Смотри, раздают токены нового проекта». Сайт выглядит профессионально. Вы подключили кошелёк, нажали «Claim» и подтвердили транзакцию. Это был drainer: вы выдали approve и токены списались немедленно. Аккаунт в Telegram был взломан или был клоном.

Сценарий 3: Ввели seed-фразу в «поддержку»

При проблеме с другим переводом вы нашли «поддержку» через поиск или Telegram. Они попросили seed-фразу «для верификации». Вы ввели. С этого момента у атакующего полный контроль над кошельком. Он ждёт удобного момента и списывает всё.

Сценарий 4: Расширение браузера с вредоносным кодом

Вы установили расширение для «улучшения» работы с криптой — агрегатор цен, конвертер, читалка блокчейна. Расширение в фоне перехватывало данные кошелька. Через некоторое время атакующий воспользовался полученными данными. Решение: минимум расширений, только от проверенных издателей с большим количеством пользователей.

Сценарий 5: Подписали сообщение типа Permit

Сайт попросил «подписать сообщение для верификации кошелька». Это выглядело как обычная строка текста, не транзакция. Вы нажали «Подписать». Но в этой строке был Permit — разрешение через подпись. Drainer тут же воспользовался им. В истории транзакций метода approve нет — только списание.

Как защитить кошелёк после инцидента

После того как острая ситуация разрешена — или принята как неразрешимая — нужно выстроить систему, которая исключит повторение. Несколько конкретных мер:
Разделите «рабочий» и «хранительный» кошелёк. Рабочий — небольшая сумма для DApp, DeFi, тестов. Хранительный — адрес, который никогда не подключается к DApp, не взаимодействует с контрактами и известен только вам. Можно использовать аппаратный кошелёк для хранительного адреса.
Регулярно проверяйте и отзывайте разрешения. Раз в месяц просматривайте список активных approve через revoke-сервис. Отзывайте все, которые больше не нужны — особенно безлимитные.
Не храните seed-фразу в цифровом виде. Никаких фотографий, никаких облачных хранилищ, никаких заметок на телефоне. Только бумага, в защищённом месте. Можно сделать несколько физических копий.
Проверяйте домен перед подключением. Каждый раз. Даже если вы «уже были здесь». Фишинговые клоны меняются, иногда появляются в поиске выше оригинала благодаря рекламе.
Не подписывайте непонятных сообщений. Если в кошельке появился запрос на подпись, и вы не понимаете, что именно подписываете — отклоните. Любой легитимный сервис объяснит, что именно требует подписи.
Минимизируйте расширения браузера. Каждое расширение — потенциальный вектор атаки. Оставьте только необходимые от проверенных издателей.
Используйте отдельный браузер для крипты. Выделите один браузер исключительно для работы с кошельками и DApp. Не используйте его для обычного серфинга, просмотра рекламы, скачивания файлов.
Подробный материал о комплексной защите криптовалютного кошелька — в статье как защитить криптокошелёк от взлома и ошибок.

Чек-лист: полный план действий при обнаружении списания

Связанные ситуации и полезные статьи

Если вы изучаете эту статью и понимаете, что ваша ситуация немного иная — вот материалы, которые помогут точнее:
Если вы сами подключали кошелёк к подозрительному сайту до инцидента — алгоритм превентивных действий и отзыва разрешений описан в статье подключили криптокошелёк к подозрительному сайту: что делать.
Если проблема в том, что вы отправили крипту не на тот адрес сами — это другая ситуация, не взлом. Подробнее в статье отправили крипту не на тот адрес: что делать.
Если перевод завис или не поступил получателю, хотя вы всё сделали правильно — смотрите статью что делать, если криптоперевод завис или деньги не пришли.
Если хотите выстроить защиту кошелька системно, а не только реагировать на инциденты — читайте как защитить криптокошелёк от взлома и ошибок.

FAQ: Ответы на популярные вопросы

Почему с кошелька списались токены без моего перевода?

Причины: ранее выданный approve вредоносному контракту, drainer через фишинговый сайт, компрометация seed-фразы, вредоносное ПО на устройстве, подпись типа Permit. Для точного ответа нужно проверить TxID в блокчейн-обозревателе и посмотреть метод транзакции.

Что значит, если в транзакции метод TransferFrom?

Это значит, что токены были переведены не напрямую вами, а через выданное ранее разрешение (approve). Контракт воспользовался правом, которое вы ему дали. Нужно немедленно проверить и отозвать активные разрешения.

Как проверить, где списались мои USDT?

Найдите TxID в истории кошелька. Введите его в блокчейн-обозреватель нужной сети. Там будет видно: на какой адрес ушли токены, через какой контракт, в какое время.

Можно ли вернуть списанные токены?

В большинстве случаев — нет. Если транзакция подтверждена в блокчейне, технически её нельзя отменить. Шанс на возврат есть, только если токены пришли на адрес централизованной биржи и поддержка успеет заморозить их до вывода.

Что такое approve в крипте и почему он опасен?

Approve — разрешение смарт-контракту расходовать ваш токен. Оно выдаётся при взаимодействии с DeFi, DEX и DApp. Если контракт вредоносный, безлимитный approve даёт ему право списать все токены в любое время. Разрешение не исчезает само — его нужно отзывать вручную.

Нужно ли создавать новый кошелёк?

Да, если вы вводили seed-фразу на любом сайте, видите транзакции с методом transfer от вашего адреса (не transferFrom), или причина списания неясна, а на кошельке есть ценные активы.

Как отозвать разрешения кошелька?

Используйте revoke-сервис для нужной сети. Подключите кошелёк, просмотрите список approve, нажмите Revoke рядом с подозрительными разрешениями и подтвердите транзакцию в кошельке. За каждый отзыв платится небольшая комиссия сети.

Как понять, что кошелёк взломали?

Признаки: исходящие транзакции, которые вы не делали; незнакомые approve в истории; токены исчезли без видимых действий; на новом устройстве кошелёк с той же seed-фразой уже «пустой».

Что делать, если ввёл seed-фразу на сайте?

Немедленно переводите все активы на новый кошелёк с новой seed-фразой. Старый кошелёк скомпрометирован полностью. Смена пароля не поможет — seed-фраза даёт абсолютный доступ, независимо от паролей.

Можно ли узнать, кто украл крипту?

По адресу получателя можно проследить движение средств в блокчейне. Иногда токены попадают на биржу — тогда теоретически можно обратиться в поддержку с TxID. Установить личность владельца самостоятельно по адресу не получится.

Почему нельзя вводить seed-фразу для возврата крипты?

Потому что никакой сервис не может вернуть токены, зная вашу seed-фразу. Seed-фраза — это ваш приватный ключ. Кто знает её — тот контролирует весь кошелёк. «Специалисты по возврату» — мошенники, которые собирают seed-фразы для кражи оставшихся средств.

Как не попасть на crypto recovery scam?

Запомните правило: никто не может вернуть украденную крипту за комиссию. Любое предложение «помочь вернуть» — мошенничество. Не платите, не делитесь seed-фразой, не устанавливайте ПО по просьбе незнакомцев. Единственные легитимные каналы — официальная поддержка биржи и правоохранительные органы.