Командой КоинКит выявлено P2P-мошенничество, в котором злоумышленники использовали фейковый сайт, замаскированный под биржу Bybit, для кражи криптовалюты USDT в сети Tron. Жертва, привлеченная выгодным курсом, потеряла средства после создания кошелька на поддельном сайте, где мошенники получили доступ к seed-фразе.
Украденные активы на сумму 6836 USDT были переведены через платежную систему на биржу X, а часть средств ушла через кросс-чейн мост на Binance Smart Chain.
Изветно, что Bybit ранее запускала кампанию «Mastering P2P Trading Safety», предупреждая о фишинговых сайтах и необходимости проверки URL. Однако, это не мешает мошенникам пользоваться иными ресурсами, например, Telegram или Reddit, где ссылки на фейковые сайты Bybit используются для кражи seed-фраз.
О проведении крипторасследования
Мы сразу хотим предупредить наших пользователей, что подобные расследования наши AML-офицеры теперь проводят для всех пострадавших от кражи криптовалюты, любого мошенничества с выводом средств из кошелька и других преступлений, где необходима глубокая аналитика блокчейна.
Начните свое крипторасследование вместе с КоинКит по ссылке
Что произошло?
4 апреля 2025 года пользователь, желавший продать криптовалюту через P2P-трейдинг, стал жертвой мошенничества. Он нашел объявление на платформе Bybit с выгодным курсом за наличные и перешел в Telegram для обсуждения сделки. В Telegram мошенники направили его на фейковый сайт, имитирующий Bybit, где жертву попросили создать кошелек для «проверки AML». После пополнения кошелька мошенники, имея доступ к seed-фразе, вывели 6836 USDT через адреса в сети Tron. Средства прошли через платежную систем и были зачислены на биржу Х, а часть активов ушла на Binance Smart Chain через кросс-чейн мост Bridgers.
«Схема использовала социальную инженерию, заманивая жертву выгодным курсом и поддельным сайтом, что привело к полной потере средств. Это дело иллюстрирует растущие риски P2P-трейдинга, где фишинг и фейковые платформы становятся основным инструментом мошенников»
— говорит AML-специалист КоинКит
Рис.1. Фальшивый сайт, имитирующий Bybit
Как работала схема?
Мошенничество было организовано поэтапно, с использованием социальной инженерии и фальшивого сайта:
- Заманивание выгодным курсом;
- Переход в Telegram;
- Фейковый сайт и создание кошелька;
- Кража средств;
- Сокрытие следов.
Движение украденных средств
В этом материале командой аналитиков КоинКит будут рассмотрены визуализации в сети Tron.
Адрес №1
Жертва пополнила этот кошелек на 6836 USDT. Мошенники профинансировали адрес 0.1 TRX для оплаты комиссии. Затем USDT прошли через Адрес №2 где злоумышленники раздробили их на три транзакции с различной суммой криптовалюты.
Адрес №2
На адрес поступила криптовалюта в размере 6836 USDT, затем средства разделены на три транзакции:
1. 100 USDT отправлены на адрес, принадлежащий платежной системе , а затем через нее криптовалюта была переведена на депозитный кошелек биржи X.
2. 6736 USDT отправлены на адрес, который также принадлежит платежной системе. Через нее криптовалюта уже попадает на депозитный кошелек биржи Х.
3. И перевод 1026,16 USDT на Кросс-чейн, о котором ниже.
Кросс-чейн перевод с адреса №2
С данного адреса была совершена транзакция в размере 1026.16 USDT через кросс-чейн мост Bridgers на адрес 0xFcfC98c12e43C85119a82F4996e5bE373b8D8904 в сети Binance Smart Chain. Этот адрес связан с депозитным адресом Binance 0x4732F4c01F024764830C0AA9A9c8949909104cd5. Дальнейшее движение средств неизвестно.
Полная картина движения криптовалюты, украденной у жертвы:
Итог
P2P-мошенничество с фейковым сайтом Bybit демонстрирует, как мошенники используют социальную инженерию и поддельные платформы для кражи криптовалюты. Оставайтесь в безопасности и проверяйте криптовалюту на связи с высокорискованными участниками рынка до/после совершения любой операции в сети
Статья несет исключительно информационный характер и представляет фактическую и аналитическую информацию о конкретном инциденте безопасности в сфере криптовалют.
