Центр вознаграждений 
Четыре правоохранительных органа из трёх стран в течение одной недели в конце марта 2026 года отслеживали похищенную криптовалюту в более чем 30 странах. В результате были заморожены $12 млн, выявлено более 20 000 скомпрометированных криптоадресов и закрыто 120 мошеннических сайтов. Операция под кодовым названием Atlantic была организована Секретной службой США, Национальным уголовным агентством Великобритании (NCA), полицией провинции Онтарио и Комиссией по ценным бумагам Онтарио. Общий выявленный объём мошенничества превысил $45 млн, из которых $33 млн всё ещё расследуются.
В большинстве случаев использовался фишинг через разрешения — вид социальной инженерии, при котором у жертвы не похищают приватные ключи или seed-фразу. Вместо этого пользователя обманывают, чтобы он подписал транзакцию, дающую злоумышленнику неограниченный доступ к токенам. Обычно это выглядит как стандартное уведомление кошелька с кнопкой "одобрить" — и после нажатия все активы становятся доступны для вывода в любой момент.
В этом материале разобраны выводы операции Atlantic, технические особенности фишинга через разрешения и рекомендации по защите.
Как проходила операция Atlantic
Операция длилась одну неделю в конце марта и начале апреля 2026 года. Секретная служба США объявила результаты 9 апреля, назвав это первой скоординированной многонациональной операцией против массового фишинга через разрешения.
Данные говорят сами за себя: более 20 000 адресов кошельков, связанных с жертвами мошенничества в более чем 30 странах (включая США, Великобританию и Канаду). Более 3 000 жертв были предупреждены лично, некоторым удалось заблокировать средства до их вывода. Один пользователь из Великобритании потерял около 52 000 GBP через одну транзакцию фишинга разрешений.
Помимо заморозки $12 млн, команда закрыла 120 веб-доменов, имитировавших DeFi-сервисы, страницы для фейковых airdrop и поддельные окна подключения кошелька. The Block сообщил, что расследование $33 млн продолжается — операция ещё не завершена.
Chainalysis предоставила аналитическую базу, включая отслеживание on-chain, идентификацию кошельков жертв и связь мошеннической инфраструктуры в разных сетях. Присутствие частной аналитической компании в совместной операции отражает важность on-chain-аналитики в современном криптоконтроле.
Как работает фишинг через разрешения: техническая сторона
Фишинг через разрешения эксплуатирует не уязвимость, а стандартную функцию DeFi. Каждый раз, когда вы меняете токены на DEX, используете протокол типа Aave или минтите NFT, сначала необходимо одобрить смарт-контракт на работу с вашими токенами. Стандарт ERC-20 включает функцию approve(), принимающую два параметра: адрес получателя разрешения (смарт-контракт) и сумму токенов.
Легитимные протоколы запрашивают только сумму, которую вы собираетесь использовать. Например, обмен 500 USDC требует разрешения на 500 USDC. Но функция не ограничена потолком: злоумышленник может запросить неограниченное разрешение — доступ ко всем токенам этого типа в кошельке без срока действия.
Вот и вся суть атаки: не нужен ни seed-фраза, ни приватный ключ, ни пароль. Достаточно одной подписи под одной транзакцией, а всплывающее окно выглядит обычно.
Типовой сценарий атаки включает три шага: мошенник создаёт сайт, копирующий известный DeFi-протокол или страницу airdrop. При подключении кошелька инициируется транзакция на одобрение. Если пользователь не проверяет детали и подписывает, злоумышленник получает неограниченный доступ к токенам. Кошелёк могут опустошить как сразу, так и спустя недели, используя функцию transferFrom().
Более новый вариант — фишинг через permit-подпись: жертва подписывает off-chain сообщение, разрешающее перевод. Такая подпись не отражается в истории транзакций, и когда злоумышленник использует её позднее, токены исчезают без видимых следов.
Почему фишинг через разрешения стал доминирующей схемой
По данным Chainalysis, Crypto Crime Report 2026, совокупные потери от фишинга через разрешения в 2024–2025 годах превысили $1 млрд. Эксперты по безопасности криптоотрасли сообщают о $300 млн, похищенных только в январе 2026 года, большая часть — именно через такие схемы.
Источник: Chainalysis
Причина — экономическая: взлом смарт-контрактов, flash loan-атаки и уязвимости мостов требуют высокой квалификации и времени. А чтобы реализовать фишинг через разрешения, достаточно создать сайт-имитатор и продвигать его в соцсетях или через поддельные airdrop. Каждое одобренное разрешение — потенциальная уязвимость, которую можно использовать спустя недели.
Разрешения не имеют срока действия. Если пользователь (например, в 2023 году) дал неограниченное разрешение сомнительному протоколу, это разрешение действует до ручной отмены. Злоумышленники активно используют базы данных адресов с действующими разрешениями.
Тип атаки | Что нужно злоумышленнику | Действия жертвы | Можно ли отменить? |
Кража приватного ключа | Seed-фраза или приватный ключ | Нет действий после компрометации | Нет |
Фишинг через разрешения | Одна транзакция на одобрение | Нажать "одобрить" на поддельном окне | Да, если успеть отменить до вывода |
Permit-подпись (фишинг) | Одна off-chain подпись | Подписать сообщение (транзакцию не видно) | Да, если успеть отменить до вывода |
Эксплойт смарт-контракта | Баг в коде протокола | Нет (страдают пользователи протокола) | Зависит от реакции протокола |
Как проверить и отозвать разрешения токенов прямо сейчас
Преимущество фишинга через разрешения по сравнению с кражей приватных ключей — возможность отмены разрешения до вывода средств злоумышленником. Если вы вовремя отзовёте разрешение, оно становится бесполезным для атакующего.
Перейдите на Revoke.cash и подключите свой кошелёк. Сервис проверяет все одобренные вами разрешения на Ethereum, Polygon, BSC, Arbitrum и других EVM-сетях, показывая, какие контракты имеют доступ к вашим токенам.
Обратите внимание на разрешения для неизвестных вам контрактов, разрешения с неограниченной суммой, а также на даты одобрения, совпадающие с использованием подозрительных сайтов. Любое разрешение, выданное не доверенному протоколу, лучше немедленно отозвать.
Нажмите "revoke" напротив подозрительных записей: это отправит транзакцию в блокчейн с обнулением allowance (возможен небольшой gas fee). После этого контракт теряет доступ к вашим токенам.
Проводите эту процедуру ежемесячно: со временем разрешения накапливаются. Кошелёк с двухлетней историей использования DeFi может иметь десятки активных разрешений, и каждое из них — потенциальная уязвимость.
Для кошельков с существенными суммами наилучшая защита — использовать аппаратный кошелёк для холодного хранения, не подключая его к DeFi. Для DeFi-операций заведите отдельный "горячий" кошелёк с минимальным остатком и проявляйте осторожность при каждом одобрении — как если бы это был запрос банковского пароля.
Значение операции Atlantic для будущего регулирования
Операция Atlantic — это новый стандарт, а не единичный случай. Структура с участием федеральных, национальных и региональных органов, а также аналитической компании, отражает тенденцию: аналитика блокчейна становится частью расследований.
Факт прямого контакта с 3 000 жертвами — значимый: в традиционном мире жертвы часто выявляются спустя годы, тогда как публичность блокчейна позволила предупредить пользователей до вывода $33 млн. Это преимущество именно крипторынка, и органы начинают его использовать.
Однако из $45 млн идентифицированных средств заморожено лишь $12 млн, то есть около 73% похищенного ещё в обороте. И это лишь часть глобального ущерба от фишинга через разрешения. Модель операции доказала свою эффективность, но её масштабирование — следующий вызов. В 2026–2027 годах стоит ожидать аналогичных совместных операций с участием Europol, INTERPOL и регуляторов Азии.
Часто задаваемые вопросы
Что такое фишинг через разрешения в крипто?
Это схема, когда пользователя убеждают подписать транзакцию, дающую мошеннику разрешение тратить токены. Приватный ключ или seed-фраза не похищаются — используется стандартная функция ERC-20 approve, превращая обычную операцию в уязвимость.
Можно ли вернуть средства после атаки фишингом через разрешения?
Если разрешение ещё не использовано, его немедленный отзыв защищает оставшиеся токены. Если средства уже выведены, возможно их возврат только при вмешательстве правоохранительных органов (как в операции Atlantic, где $12 млн были заморожены). Вероятность возврата возрастает при оперативном обращении в местные органы и IC3 (центр компьютерных преступлений ФБР).
Как узнать, был ли мой кошелёк скомпрометирован через фишинг разрешений?
Подключите кошелёк к Revoke.cash и проверьте разрешения. Неограниченное разрешение для незнакомого контракта — тревожный знак. Также оцените разрешения, выданные во время посещения подозрительных сайтов или получения неожиданных airdrop.
Защищает ли хранение крипто на бирже от фишинга разрешений?
Да, фишинг через разрешения нацелен только на кошельки с самостоятельным хранением, где пользователь сам подписывает транзакции. Активы, размещённые на регулируемой бирже вроде Phemex, не подвержены данной угрозе, так как биржа осуществляет хранение и не взаимодействует с внешними смарт-контрактами от имени клиента. Важно учитывать: безопасность в этом случае зависит от инфраструктуры биржи.
Итоги
Операция Atlantic подтвердила: фишинг через разрешения — основной вектор крипто-мошенничества, на который правоохранительные органы фокусируют усилия. Операция заморозила $12 млн и выявила ущерб в $45 млн, но только за январь 2026 года фишинг принёс преступникам $300 млн. Практический вывод: каждое активное разрешение — действующий доступ к токенам до его отмены. Если вы давно используете DeFi и не проверяли свои разрешения — вы подвергаетесь риску. Проверка Revoke.cash займёт 5 минут — это наиболее эффективное действие для повышения безопасности вашего кошелька.
Данный материал носит исключительно информационный характер и не является инвестиционной или финансовой рекомендацией. Торговля криптовалютой сопряжена с высокими рисками. Перед принятием инвестиционных решений всегда проводите собственный анализ.
