Steam, YouTube и украденная крипта: анатомия современного скама

За последние годы криптомошенничество эволюционировало от простых схем обмана до сложных многоуровневых операций, где безобидные инструменты для генерации адресов теперь используются для кражи средств, YouTube стал площадкой для распространения мошеннических схем, а Steam удобным инструментом для отмывания украденной криптовалюты. В этой статье на простых примерах рассмотрим, как разные технологии и платформы тесно связаны между собой в мире скама.

Превращение математических алгоритмов для генерации криптографических ключей в инструменты скама было лишь вопросом времени: те же программы, которые энтузиасты используют для решения биткоин-пазлов, скаммеры адаптировали для кражи криптовалюты, ведь каждая новая технология рано или поздно находит свое темное применение.

Одним из ярких примеров такой адаптации стала схема Address Poisoning Attack:
регулярно совершая переводы на один и тот же кошелек, вы рано или поздно столкнетесь со схемой, которую в криптосообществе называют Address Poisoning Attack (атака отравления адреса), я называю её проще: атака поддельных адресов. Выглядит это примерно так:

Скаммеры создают поддельный адрес так, чтобы первые и последние 3–7 символов совпадали с тем, на который вы регулярно отправляете средства. Для этого используются те же методы генерации приватных ключей, которые мы разбирали в статье про биткоин-пазлы: программы вроде VanitySearch, KeyHunt и им подобные, а когда подходящий адрес найден, начинается вторая фаза атаки: скаммеры отправляют на ваш кошелек небольшую сумму или пустую транзакцию с поддельного адреса.

Цель проста: поддельный адрес должен попасть в историю ваших операций, где вы его случайно заметите и по невнимательности используете для следующего перевода.

Для этого скаммерам не нужно тратить серьезные ресурсы: достаточно лишь парсить последние блоки в сети. Тот же Etherscan / BSCScan предоставляет бесплатный API-ключ, позволяющий делать до 100 тысяч запросов в сутки. Платные тарифы и альтернативные API предлагают еще более выгодные условия.

Экономика Address Poisoning

Современные GPU / CPU способны генерировать от нескольких сотен тысяч до сотен миллионов vanity-адресов в секунду. Основная статья расходов — это комиссии за транзакции, поэтому скаммеры предпочитают сети с низкими fees: BSC, Polygon и другие. В BSC через некоторых RPC-провайдеров, например встроенного в криптокошелек SafePal, первые три транзакции в день проходят бесплатно.

Защитные меры от Address Poisoning Attack

Современные кошельки внедрили anti-poisoning фильтры. MetaMask, Trust Wallet, SafePal и другие автоматически помечают подозрительные транзакции и скрывают их из истории или выделяют предупреждениями.

Блокчейн-сканеры также начали фильтровать zero-value переводы по умолчанию.

Рассмотренный выше случай — лишь капля в море. По данным исследования Carnegie Mellon University, опубликованного в январе 2025 года, зафиксировано более 270 миллионов попыток address poisoning атак, нацеленных на 17 миллионов жертв в сетях Ethereum и BNB Chain. Из них 6,633 случая принесли скаммерам более $83.8 миллиона, что делает address poisoning одной из крупнейших схем криптофишинга. Интересно, что скаммеры часто конкурируют между собой: в 79% успешных атак на одну жертву претендовали сразу несколько групп. Обычно выигрывают те, чьи поддельные адреса максимально похожи на оригинал или первыми попадают в историю транзакций.

Но мошенники не ограничиваются только схемами внутри блокчейна. Куда более масштабные операции разворачиваются в социальных сетях, для примера рассмотрим рекламу YouTube.

На YouTube развернулась масштабная индустрия мошеннических роликов, например, видео про MEV-ботов, которые были особенно популярны во время бума мем-токенов, а также другие «темы с кнопкой бабло».

MEV (Maximum Extractable Value) — это технический термин из мира блокчейна, который звучит очень сложно, но для обычного пользователя означает просто «бот / программа, которая автоматически зарабатывает деньги».

Как устроена схема?

Мошенники покупают YouTube-канал с просмотрами и подписчиками примерно за $5-40 на том же Funpay или аналогичных сайтах, после чего делают привлекательное оформление:

Создают плейлисты из популярных видео на криптотематику, чтобы создать видимость активности на канале:

Воруют оформление чужих каналов, после чего заливают «обучающий ролик» о создании MEV-бота или другой гайд в том же духе. Чаще всего используют сгенерированного нейросетью аватара или клон голоса известного криптоблогера, что позволяет быстро штамповать десятки таких видео.
Ролики загружают с настройкой unlisted (доступ только по ссылке), чтобы обойти модерацию, а затем запускают рекламу.

Со стороны жертвы это выглядит примерно так:

Кликнув по рекламе, жертва попадает на ролик с пошаговой инструкцией: «перейдите на сайт, вставьте этот код, задеплойте контракт и ваш баланс начнет расти автоматически». Код выглядит сложно и внушительно, но в нем спрятаны функции, которые переводят все средства жертвы на адрес мошенника. Дополнительно, в описании ролика указывается, что нужен минимальный баланс, например 0.2 ETH, якобы для «избежания негативного проскальзывания» или «обеспечения боту достаточного газа», а также под видео накручиваются положительные отзывы для создания иллюзии успешности метода.

Технические детали скама:

Скаммеры используют платформу Remix IDE для деплоя поддельных смарт-контрактов. На первый взгляд код выглядит как настоящий MEV-бот с функциями мониторинга мемпула и арбитража, но в нем спрятаны зловредные функции, которые перенаправляют все средства с кошелька жертвы на адрес мошенника.

Этот адрес не указывается прямо в коде, а разбивается на части и тщательно скрывается в сложной структуре вызовов функций. Дополнительно код содержит множество комментариев и пояснений, создающих иллюзию профессиональной разработки.

Примеры адресов скаммера:

1. 0×4871aea143361292f8d97CC633Cad226a6eB59f5
2. 0xaaEff41699B03c488446D4186231aF1CB4423bDd
Данные адреса были извлечены из кода, прикрепленного в описании видео. Для этого достаточно отправить код любому чат-боту и попросить найти адрес скаммера, который спрятан в нем. Более обширный список можно посмотреть тут: dune.com/scam-sniffer/mevbot-scams

Масштабы проблемы:

По данным блокчейн-компании ScamSniffer, только за первые три месяца 2024 года на MEV-скамах было потеряно почти $2 миллиона примерно тысячей жертв. Схема кажется абсурдной, но репутация YouTube и качественное оформление каналов делают свое дело. Такие видео часто имеют статус unlisted, то есть доступны только по прямой ссылке и не выдаются в поиске YouTube, что затрудняет их обнаружение и блокировку.

Возникает логичный вопрос: как мошенники оплачивают рекламу на YouTube, если там нельзя расплачиваться криптовалютой? И что происходит с деньгами, украденными через Address Poisoning Attack и YouTube-скамы? Ответ кроется в сложных схемах конвертации и отмывания средств, где ключевую роль играет Steam.

Для начала разберемся, как скаммеры оплачивают рекламу, ведь YouTube не принимает криптовалюту напрямую.

Чтобы оплачивать рекламу, скаммерам нужен криптокошелек с балансом, который не связан с их основными скам-адресами. Здесь на помощь приходят сайты по продаже игровых скинов — идеальный способ получить «чистый» баланс без лишних переводов с бирж, так как на таких площадках зачастую отсутствует KYC (процедура верификации личности).

Справедливости ради стоит отметить, что крупные площадки начали ужесточать контроль. Новым пользователям TM Market (CS2 / Dota 2) в течение первого месяца недоступен вывод на криптовалюту. На DMarket требуется обязательная верификация. На остальных платформах действует либо жесткий контроль при выводе в крипту, либо он попросту отсутствует, например, как на китайских сайтах вроде Buff163.

Сайты типа LisSkins, AvanMarket, Skins Cash и прочие площадки «быстрой продажи скинов» полностью игнорируют данные процедуры, что упрощает скаммерам реализацию мошеннических схем.

Получив «белую» / «чистую» криптовалюту, скаммеры конвертируют ее в платежные инструменты, которые принимает YouTube. Один из таких методов — регистрация GoPay на поддельные данные и случайный номер телефона. Как уже упоминалось в первой статье, для переводов до $1250 не требуется проходить KYC-верификацию. Баланс GoPay пополняется через криптовалюту или подарочные карты, после чего оплачивается реклама на YouTube через систему QRIS.

Причем этот способ не ограничивается только YouTube, поскольку в Индонезии такая система фактически заменила наличные расчеты, ее используют для оплаты рекламы и в других социальных сетях.

Также там настраивается таргетинг на аудиторию из богатых стран или регионов с высоким интересом к криптовалюте.

И вот мы подошли к моменту, где мошенники реализуют украденные средства из вышеупомянутых схем Address Poisoning и YouTube-скамов через Steam. Превращение криптовалюты в легальные деньги, минуя системы финансового мониторинга — ключевая задача любого скаммера. Экосистема Steam оказывается для этого идеальным инструментом благодаря множеству промежуточных шагов, которые запутывают следы и усложняют отслеживание средств.

После кражи запускается этап легализации: украденные средства сначала пересылают через несколько кошельков и сетей для сокрытия следов, а затем на них приобретают Steam Gift Cards различными способами. Например, один из таких способов — это покупка через Razer Gold из первой статьи, которая позволяет пополнять баланс через криптовалюту, либо подарочные карты Razer Gold можно купить за криптовалюту на сторонних сайтах, а затем использовать их для покупки Steam Gift Cards.

Далее возможны два варианта развития событий:

1. Полный цикл: пополнение Steam подарочными кодами → покупка ликвидных скинов → продажа через сторонние сайты «быстрой продажи скинов» за «чистую» криптовалюту
2. Прямые продажи: перепродажа Steam Gift Cards с хорошей скидкой ничего не подозревающим пользователям, что позволяет терять еще меньше средств

Такая многоступенчатая схема через разные платформы и сервисы существенно усложняет отслеживание денежных потоков для правоохранительных органов. Судя по статистике продаж, подарочные коды Steam пользуются высоким спросом, но что произойдет с аккаунтами, которые активировали эти коды и фактически участвовали в схемах по отмыванию средств, остается открытым вопросом.

⚠️ Это не означает, что все продавцы кодов, например, на buysellvouchers занимаются отмыванием средств. Однако факт продажи подарочных карт номиналом $5.10 по цене ниже их стоимости, особенно китайскими продавцами, вызывает закономерные вопросы о происхождении этих кодов.

Подобная схема: криптовалюта → различные блокчейн-сети → Razer Gold → Steam Gift Cards → множество аккаунтов Steam → вывод через сторонние сайты обратно в криптовалюту — создает крайне сложную для отслеживания цепочку транзакций. В отличие от прямой покупки скинов за украденные средства, такая многоуровневая схема через подарочные карты и различные промежуточные сервисы создает дополнительные препятствия для отслеживания. Правоохранительные органы, пытающиеся проследить путь украденных средств, сталкиваются с многослойной системой, где каждый этап размывает следы и усложняет расследование.

Это лишь один из примеров использования Steam для отмывания — экосистема предоставляет куда больше возможностей для легализации средств. По данным открытых источников и сообщений на форумах при полном цикле отмывания теряется примерно 30-60% от первоначальной суммы, но учитывая, что средства украдены, схема остается привлекательной для скаммеров.

Но стоит не забывать, что «успешный» скам — это чья-то финансовая катастрофа и разрушенные планы. Какими бы изощренными ни были технологии обмана, они не меняют главного: это обычное воровство, которое разрушает жизни реальных людей. Рано или поздно любого скаммера ждет наказание, правоохранительные органы постоянно совершенствуют методы расследований, а блокчейн, как ни парадоксально, оставляет неизгладимые цифровые следы. И это послание особенно актуально для наших 🇨🇳 азиатских «друзей» трейдеров, которые зачастую стоят за подобными схемами.