Украли криптовалюту с кошелька. Что делать?

⏱ Время чтения: 10 минут

Материал подготовила Ирина Коржова, главный юрисконсульт юридического департамента Банка России, специально для MDS Media.

Анализ новостных лент в перспективе 2019–2025 гг. показывает, что криптопреступность быстро меняется. В прошлое ушли времена, когда под видом «цифрового золота» начинающие криптоэнтузиасты покупали сувенирные монетки с символикой монет Bitcoin или при личной встрече приобретали фальшивые «бумажные криптокошельки». Так, в декабре 2017 года краснодарский бизнесмен купил криптовалюту Bitcoin у трейдера, с которым познакомился через социальную сеть за 1,5 млн.руб. Сделка состоялась в аэропорту Пулково. За свои деньги мужчина получил две монеты Bitcoin в виде набора цифр на листке бумаги. Последовавшие поиски преступника, передавшего «бумажный кошелек», оказались безуспешными. 

В 2025 году нарушения, связанные с обращением криптовалюты в интернете, становятся более разнообразными, практически полностью совершаются в киберпространстве.  Несмотря на меры противодействия, которые государство предпринимает против Darknet, последний становится только более устойчивым, а хакеры и мошенники быстро перемещаются на другие рынки, разрабатывают новые методы общения, используя преимущества распределенных технологий и приложений, таких как Telegram и WhatsApp, для отправки зашифрованных сообщений.

Международная организация уголовной полиции (Интерпол) предупреждает об использовании искусственного интеллекта и технологии дипфейков, позволяющей преступникам скрывать свою личность и выдавать себя за членов семьи жертв или их друзей. Отмечались случаи подделки мошенниками голосов людей, знакомых жертвам.

Меняются виды криптоактивов, предпочитаемых преступниками в целях совершения правонарушений. Так, если, согласно «отчету международной организации Chainalysis[1], в течение 2021 г. Биткойн безраздельно оставался криптовалютой, которую выбирают киберпреступники, то в 2025 большая часть всего объема незаконных транзакций приходится на стейблкоины. Это изменение также сопровождается ростом доли стейблкоинов во всей криптоактивности в целом, включая законную деятельность. Однако доминирование стейблкоинов характерно не для всех форм преступлений, связанных с криптовалютами.

Преступники и хакеры меняют тактику отмывания денег и применяют более сложные «межсетевые способы совершения преступлений», которые подразумевают использование нескольких криптовалютных сетей для совершения преступных действий. Это может включать использование различных криптовалют для совершения сделок, перемещения средств или уклонения от отслеживания[2].

В мире создаются специальные подразделения в целях борьбы с киберпреступностью. Так, специализированное подразделение для борьбы с преступлениями, связанными с криптовалютой и другими виртуальными активами, было создано Интерполом в октябре 2022 г. Команда, сформированная в Сингапуре, помогает бороться с преступлениями в этой сфере правоохранительным органам в различных странах[3]. Комиссия по ценным бумагам и фьючерсам Гонконга (Securities & Futures Commission of Hong Kong, SFC) и Управление полиции Гонконга (НКРF) сообщили о формировании рабочей группы для развития сотрудничества в сфере мониторинга и расследования незаконной деятельности, связанной с платформами по торговле криптоактивами. Несмотря на меры противодействия, которые государство принимает против DarkNet, последний становится только более устойчивым, а хакеры и мошенники быстро перемещаются на другие рынки, разрабатывают новые методы общения, используя преимущества распределенных технологий и приложений[4].

В этих условиях важно наличие комплексного пошагового механизма действий в случае, если криптовалюту украли с кошелька.

Цель этой статьи — дать понятный алгоритм, если вы стали жертвой кражи. Материал полезен держателям Bitcoin, Ethereum и других токенов и юристам, IT-специалистам, которые сталкиваются с такими кейсами.

---

• ^[1] 2024 Crypto Crime Trends: Illicit Activity Down as Scamming and Stolen Funds Fall, But Ransomware and Darknet Markets See Growth. URL: https://www.chainalysis.com/blog/2024-crypto-crime-report-introduction/
• ^[2] The State of Cross-chain Crime 2023. URL: https://www.elliptic.co/resources/state-of-cross-chain-crime-2023
• ^[3] USD 300 million seized and 3,500 suspects arrested in international financial crime operation. URL: https://www.interpol.int/en/News-and-Events/News/2023/USD-300-million-seized-and-3-500-suspects-arrested-in-international-financial-crime-operation https://www.rbc.ru/crypto/news/6582db1c9a794748b0d2b43f?from=copy, Интерпол конфисковал $300 млн у киберпреступников и криптомошенников. URL: https://www.rbc.ru/crypto/news/6582db1c9a794748b0d2b43f?from=copy.
• ^[4] Chainalysis Crypto Crime Report: Decoding hacks, darknet markets, and scams January 2019. URL:// https://blog.chainalysis.com/2019-cryptocrime-review.

Как понять, что криптовалюта украдена?

Понять, что криптовалюта могла быть украдена, можно по ряду тревожных признаков. Первым сигналом становятся неожиданные транзакции в истории кошелька — вывод средств или переводы, которые вы не инициировали. Часто вместе с этим исчезает доступ к аккаунту: пароль меняется без вашего ведома, отключается двухфакторная аутентификация или приходят уведомления о входах с незнакомых устройств. Нередко краже предшествуют подозрительные письма или смс, замаскированные под сообщения от биржи или сервиса кошелька, которые побуждают перейти по ссылке и ввести данные. Если такие признаки совпадают, высока вероятность, что ваши ключи или учетные данные оказались у злоумышленников, и нужно немедленно предпринимать меры.

Первые 3 шага после кражи

Если вы столкнулись с кражей криптовалюты, важно действовать быстро, но не стихийно.

1. Зафиксируйте факт кражи

Каждое действие должно быть задокументировано, поэтому цель этого шага — собрать доказательную базу. Чем быстрее и детальнее вы зафиксируете информацию, тем выше шанс, что биржи или правоохранительные органы смогут вам помочь. 

• Скриншоты транзакций. Сразу откройте блокчейн-эксплорер (например, Etherscan для Ethereum, BscScan для BNB Chain и т. д.) и найдите все транзакции, связанные с выводом средств. Сделайте скриншоты с указанием хэша транзакции (ID), точной суммы перевода, адреса отправителя и получателя, времени отправки.
• Логи входа. Если доступ к кошельку или бирже еще не полностью утрачен, скачайте или сделайте скриншоты логов авторизаций: IP-адреса, номер телефона, устройства, время последней активности. 
• Резервная копия данных. Сохраните все материалы в нескольких местах (облачное хранилище, внешний диск). Доказательства могут понадобиться и спустя месяцы.
  
  
  
• Заблокируйте остатки

После фиксации важно максимально сократить ущерб. 

• Если часть крипты осталась, срочно переведите ее на новый, заранее подготовленный кошелек с надежными ключами. Используйте другое устройство или браузерный профиль, чтобы исключить повторное заражение.
• Отзовите разрешения (approve). В случае с токенами на Ethereum или EVM-совместимых сетях, злоумышленник мог получить право распоряжаться активами через ранее выданные разрешения dApps. Проверить и отозвать их можно через Etherscan Token Approvals для Ethereum или аналоги для других сетей (BscScan, PolygonScan и т. д.). Отзыв разрешений не вернет украденное, но поможет защитить оставшиеся токены.
  
  
  
• Оповестите биржи и сервисы
• Срочный запрос в поддержку.Обратитесь в службу поддержки биржи, указав всю собранную информацию:

1. хэши подозрительных транзакций;
2. адреса отправителя и получателя;
3. точное время транзакций;
4. сумму и время перевода;
5. сопутствующие доказательства (логи входа, скриншоты).

• Шанс заморозки — один из немногих реальных способов остановить движение украденных средств. Это сработает, если средства еще не успели конвертировать или вывести. Тогда биржа сможет заблокировать их на счете злоумышленника до выяснения обстоятельств.
• Оповещение других сервисов. Если ваши активы касались сторонних приложений (DeFi-протоколы, NFT-маркеты и т. п.), тоже стоит сообщить об инциденте. Иногда они публикуют «черные списки» адресов и помогают предупредить другие проекты.

Куда обращаться?

Кража криптовалюты в России рассматривается в рамках уголовного законодательства и подлежит расследованию правоохранительными органами. 

Подача заявления в правоохранительные органы

Полиция (МВД РФ) — можно подать заявление лично или через онлайн-форму на сайте МВД России.

Следственный комитет РФ (СК РФ) — если сумма ущерба значительная или преступление имеет особую сложность.

В законе не прописан строгий перечень документов, поэтому приложите любые материалы, которые смогут помочь в поиске правонарушителей и привлечении их к ответственности:

• все известные данные о транзакции (TxHash, адреса отправителя и получателя, суммы, даты, время);
• скриншоты из блокчейн-эксплореров;
• сохраненные логи входов;
• переписка с биржами и сервисами (если успели написать им до обращения);
• информацию о кошельках, которые использовались ранее.

Работа следственных органов 

После принятия заявления начинается стадия проверки и расследования:

• специализированные подразделения МВД и СК проводят анализ транзакций в блокчейне;
• запрашивается информация у бирж, платежных операторов и сервисов (чаще всего по официальному запросу, без него компании не сотрудничают);
• устанавливается путь движения средств и возможная идентификация злоумышленника.

Расследование может быть затруднено, если средства переводились через анонимные криптовалюты или современные миксеры, которые скрывают происхождение активов.

Судебное разбирательство

После завершения расследования материалы передаются в суд. Он рассматривает доказательства, заслушивает стороны и выносит решение о наказании и возможной компенсации ущерба.

Помимо полиции и СК, можно задействовать государственную структуру Росфинмониторинг (РФМ). Орган занимается контролем операций с цифровыми активами и уже использует инструменты блокчейн-аналитики. РФМ может передать данные в МВД и ускорить реагирование.

Также уведомите об инциденте криптосообщество. Опишите свой кейс, укажите адреса кошельков криптомошенников и опубликуйте информацию в соцсетях (X, Telegram), на форумах (Reddit, Bitcointalk). Вы не вернете потерянные деньги, но за счет распространения информации привлечете к делу больше внимания и защитите криптовалюту других пользователей. 

Можно ли вернуть украденную крипту?

В 2025 году в России вернуть украденную криптовалюту по-прежнему крайне сложно, хотя отдельные случаи возврата возможны. Реальная перспектива зависит от нескольких факторов. Прежде всего важен тип криптовалюты. Если речь идет о биткоине, эфире или других открытых блокчейнах, то технически возможно отследить путь транзакций и попытаться заморозить средства на бирже. В случае с анонимными монетами вроде Monero или Zcash и при использовании новых поколений миксеров и децентрализованных обменников, шанс возврата практически равен нулю.

Ключевое значение в выявлении, отслеживании и предотвращении незаконной деятельности, связанной с инновационными инфраструктурами, играют инструменты анализа цифровых данных. Благодаря влиянию технологий эти инструменты представляют возможности использования методов кластеризации, эвристического анализа, машинного обучения, обеспечивающих эффективность идентификации подозрительных транзакций, выявления связей между анонимными кошельками и прогнозирования новых схем противоправного поведения[1].

Детальный анализ данных блокчейна позволяет ответить на ключевые вопросы:

– как расходуются криптовалютные средства;

– как создаются новые кошельки;

– какие существуют механизмы отслеживания потоков перемещения криптовалюты[2].

Помимо экономических индикаторов и рыночных тенденций, анализ данных блокчейна может включать дополнительные параметры, такие как встроенные метаданные и их связь со смарт-контрактами, что расширяет область применения за пределами обычных криптовалют[3].

В отличие от структурированных баз данных, данные блокчейна не только массивны, но и крайне неоднородны, поскольку охватывают различные типы транзакций в различных сетях блокчейнов[4]. Основным компонентом информационной среды, сочетающим различные типы транзакций и используемым для криминалистического анализа операций, совершенных в информационной системе, является результирующая информация, которая характеризуется следующими признаками:

– появляется в информационной системе распределенного реестра как результат достижения консенсуса между пользователями, обеспечивающими тождественность информации об операциях с криптоактивом, в момент выпуска криптоактива или совершения операций с ним;

– отображается одновременно у всех пользователей информационной системы распределенного реестра;

– меняет цифровую форму при совершении каждой новой операции, обновляясь и создавая неизменяемую историю движения криптоактива в информационной системе распределенного реестра;

– обеспечивает прозрачность и прослеживаемость операций с криптоактивом, достоверность и неизменность данных о владении криптоактивом ее обладателем в определенный момент времени.

С точки зрения расследования преступлений результирующая информация может быть, как доказательством, приобщаемым к уголовному делу, так и средством адресации к нему. Неизменность такой информации в распределенных реестрах означает, что сотрудники уполномоченных органов могут продолжать анализировать данные в течение многих лет[5].

С точки зрения мер ПОД/ФТ[6] результирующая информация является инновационным компонентом мониторинга транзакций в распределенном реестре (по принципу «знай свою транзакцию», KYT). Мониторинг транзакций позволяет выявлять уполномоченному субъекту транзакции, которые могут быть связаны с отмыванием денежных средств или финансированием терроризма, отслеживать движение криптовалют и идентифицировать связи между разными кошельками, определять риски, связанные с клиентами и их финансовыми операциями. 

Не менее важна скорость реагирования. Если владелец заметил кражу сразу и подал заявление в полицию или Следственный комитет, параллельно уведомив биржи, существует вероятность, что средства не успели вывести. В таких случаях биржи иногда замораживают активы и ждут официального запроса от правоохранительных органов.

Здесь существенен маршрут похищенных средств. Если они быстро ушли через DeFi и были смешаны с помощью миксеров, то найти их крайне трудно. Если же перевод прошел на централизованную площадку вроде Binance, OKX или Bybit, то при наличии запроса от МВД есть шанс на блокировку.

Правоохранительные органы и Росфинмониторинг действительно используют системы блокчейн-аналитики и умеют отслеживать транзакции в «классических» сетях, но на практике их приоритетом остаются крупные дела, связанные с отмыванием денег, терроризмом и нарушением санкционного режима. Частные кражи на небольшие суммы редко получают внимание.

Как защититься в будущем

Чек-лист безопасности

1. Холодные кошельки

• Приобретите аппаратный кошелек (Ledger, Trezor, SafePal) только у официального производителя.
• Проверьте целостность упаковки при получении.
• Создайте seed-фразу и запишите ее вручную (бумага или металл, а лучше сразу металлическая пластина).
• Храните резервные копии seed-фразы в нескольких местах (сейф, банковская ячейка, у доверенного лица).
• Не храните seed-фразу в телефоне, компьютере или облаке.
• Используйте дополнительный пароль (passphrase) для усиленной защиты.
• Регулярно обновляйте прошивку устройства.

2. Стратегии хранения

• Разделите активы между несколькими холодными кошельками.
• Для крупных сумм используйте мультиподпись (multisig).
• Держите «дежурный» кошелек с небольшой суммой для ежедневных операций.
• Храните долгосрочные инвестиции только в холодных кошельках.

3. Отказ от хранения на биржах

• Не держите все деньги на бирже, выводите их на свои кошельки.
• Для торговли оставляйте минимальную сумму.
• Включите двухфакторную аутентификацию через приложение (Google Authenticator/Authy), а не через SMS.
• Используйте длинные и уникальные пароли для каждой биржи.

4. Фишинг и защита от обмана

• Проверяйте адрес сайта вручную или через закладки.
• Никогда не вводите seed-фразу на сайтах и в приложениях.
• Не открывайте подозрительные ссылки в письмах и мессенджерах.
• Устанавливайте только проверенные расширения и приложения.
• Используйте менеджер паролей для генерации и хранения сложных паролей.

5. Ваша готовность

• Проведите «репетицию» восстановления кошелька с помощью seed-фразы.
• Проверяйте актуальность и сохранность резервных копий.
• Храните скриншоты транзакций и контакты бирж в отдельной папке «на всякий случай».

Частые ошибки

На чем жертвы мошенничества обычно «‎попадают»:‎ 

• Платят «восстановителям», которые обещают вернуть средства за %, особенно в Telegram.
• Удаляют транзакции и историю.
  Ни в коем случае не делайте так. Сохраняйте любую информацию, какую возможно.
• Ждут несколько дней, откладывая решение вопроса.
  За это время злоумышленники успевают вывести средства через миксеры и анонимные обменники, сделав возврат невозможным.

Если у вас украли крипту — действуйте строго по алгоритму:

1. Зафиксировать факт. 
2. Защитить остатки. 
3. Обратиться за помощью.

Крипта действительно обладает высокой степенью анонимности, но это не значит, что злоумышленника невозможно вычислить. Чем быстрее вы начнете предпринимать шаги, тем выше шанс хотя бы частичного возврата средств.

Как хакеры перемещают средства

Знание того, как хакеры перемещают средства, может помочь как добропорядочным участникам, так и правоохранительным органам выявить необычные всплески транзакций, которые могут быть связаны с преступной деятельностью, и является первым шагом к их прекращению, отслеживанию и возврату похищенных средств.

По данным аналитической компании Chainalysis обычно хакеры перемещают украденные средства через сложную систему кошельков и обменников в попытке скрыть преступное происхождение активов. В среднем злоумышленники перемещают средства не менее 5000 раз, затем   выжидают время, в течение которых они не переводят средства. Как только интерес к похищению угасает, хакеры начинают   чувствовать себя в безопасности и похищенные средства быстро обналичиваются.

Поскольку технологической основой криптовалюты является технология Blockchain, можно говорить о наличии специфического следообразования при хищении криптовалют[7], при котором любая транзакция образует след в виде электронной записи (необходимо уточнение – происходит «журнализация изменений»), что облегчает задачу по установлению обстоятельств совершенного правонарушения[8].

В этой связи важно уметь анализировать эти следы в информационной системе блокчейна. Так, обладая всего лишь реквизитами криптокошелька злоумышленника можно получить большой массив информации. Для ознакомления с этой информацией достаточно лишь обратиться к соответствующей записи в цепи блоков транзакций той альтернативной платежной системы, посредством которой осуществлен перевод[9].

Наиболее сложным этапам в процессе доказывания является установление конкретных лиц, осуществивших ту или иную транзакцию. Типичное поведение, которого придерживается криптопреступник – использование кластера адресов, для того, чтобы скрыть движение криптовалюты. Органы предварительного расследования, прослеживая всю цепочку переводов, в итоге смогут выйти на конечного бенефициара, которого необходимо при возможности идентифицировать.

Но как это сделать? Это можно сделать посредством интерпретации ранее собранных доказательств, которая требует от «интерпретатора» не только опыта, но и интуиции, а также глубокой проработки открытых источников, таких как: пользовательский поиск в различных поисковых системах, новостные статьи от ведущих криптографических СМИ, социальные сети[10].

Здесь становится понятно, почему специалисты по блокчейн-праву так востребованы. Они помогают компаниям и стартапам выстраивать безопасные системы, соблюдать законы и снижать риски потерь, будь то кража криптовалюты, ошибки в смарт-контрактах или вопросы комплаенса.

Блокчейн — новая сложная область права, поэтому мы создали программу, где помогаем слушателям разобраться, как она устроена. Курс «Blockchain Lawyer» от Moscow Digital School дает возможность узнать о блокчейн-технологиях и последних российских и зарубежных трендах, понять внутреннее устройство проектов, способы безопасного хранения токенов и криптовалют, актуальные юридические решения для смарт-контрактов, токенизации и работы с криптобиржами. 

Программа курса разработана совместно с сооснователем MixBytes и регулярно обновляется, чтобы отражать реальные кейсы рынка. После обучения вы сможете стать экспертом, востребованным на рынке, который способен строить безопасные и законные криптопроекты. 

---

^[1] Kumari A. Blockchain Analytics on Cryptocurrency Exchanges: A Law Enforcement and Data Protection Techniques //Tenerife (Canary Islands), Spain, Edited by Sergey Y. Yurish.

^[2] J. Sammons. “Digital Forensics: Threatscape and Best Practices”. Waltham: Sygress, 2015, pp. 12-13.

^[3] Balaskas A., Franqueira V. N. L. Analytical tools for blockchain: Review, taxonomy and open challenges //2018 International Conference on Cyber Security and Protection of Digital Services (Cyber Security). – IEEE, 2018. – P. 1.

^[4] Mafrur R. Blockchain Data Analytics: Review and Challenges //arXiv preprint arXiv:2503.09165. – 2025. P.2.

^[5] Rettig R., Mosier M., Gilman K. Genuine DeFi as critical infrastructure: a conceptual framework for combating illicit finance activity in decentralized finance //Journal of Financial Regulation. – 2025. – С. fjaf005. P. 28.

^[6] Противодействие отмыванию доходов и финансированию терроризма (англоязычный аналог AML/CFT – Anti-Money Laundering / Combating the Financing of Terrorism).

^[7] Кучеров И.И. К вопросу о методике расследования преступлений, совершенных с использованием криптовалюты // Российский следователь. 2018.  № 12.

^[8] Борисов М.Б., Заводцев И.В. Проблемы совершенствования допуска и доступа субъектов в информационные системы в условиях цифровой экономики // Проблемы экономики и юридической практики. 2019. № 2.

^[9] Галушин П.В., Карлов А.Л. Сведения об операциях с криптовалютами (на примере биткойна) как доказательство по уголовному делу // Ученые записки Казанского юридического института МВД России. 2017. Т. 2(4). С. 91.

^[10] How to Investigate a Crypto Crime: a Simple Step-by-Step Guide URL: https://cryptodigestnews.com/how-to-investigate-a-crypto-crime-a-simple-step-by-step-guide-5a9baf5112ad (дата обращения 10.11.2019).