Если вы подозреваете фишинговый клон криптопроекта, действуйте по схеме: сначала только read-only проверки (домен, TLS‑сертификат, DNS, заголовки, исходники), затем изоляция рисков (не подключать кошелёк, не вводить seed/подписи), после подтверждения - блокировка, уведомления и откат секретов. Любые изменения в проде делайте только после фиксации доказательств.
Краткий план действий при обнаружении клонированного сайта
- Перейдите в режим "безопасной проверки": отдельный профиль браузера, без расширений кошелька, без авторизаций и подписей.
- Сверьте домен/поддомены, редиректы, TLS‑сертификат, DNS и HTTP‑заголовки с эталоном (официальные каналы проекта).
- Соберите артефакты: URL, цепочку редиректов, скриншоты, HAR, HTML/JS, хэши файлов, данные WHOIS/CT‑логов.
- Проверьте точки кражи: кнопки Connect Wallet, подписи, формы, "импорт" сид‑фразы, фальшивые саппорт‑чаты.
- Если были действия пользователями: запускайте откат (rotation) секретов и отзыв сессий, затем эскалируйте инцидент.
- Подайте жалобы хостеру/регистратору/Cloudflare (если есть), в браузерные Safe Browsing‑каналы и в сообщества проекта.
Как распознать клонированный сайт криптопроекта
Типовые симптомы, которые видит пользователь:
- Домен "почти как настоящий": лишний символ, другой TLD, поддомен вида project-login.example, или Punycode (IDN) с похожими буквами.
- Страница настойчиво просит "подключить кошелёк" и сразу требует подпись/Approve/Unlimited approval без понятной причины.
- Появляется предложение "восстановить кошелёк" через ввод seed phrase/приватного ключа/JSON‑файла.
- Не совпадают сеть/chainId, адреса контрактов, ссылки на explorer, либо адреса "подставлены" только в модалке подтверждения.
- Нестабильная верстка: часть ссылок ведёт на 404/другие домены, тексты не из глоссария проекта, смешаны языки.
- Сразу открывается окно "Support / Live chat" с просьбой предоставить сид или установить "обновление".
Технические индикаторы: домены, сертификаты, DNS и заголовки
Быстрая диагностика, не трогающая прод (read-only):
- Цепочка редиректов: проверьте, куда реально ведёт URL (HTTP→HTTPS, www, трекеры, промежуточные домены). Команда:
curl -sS -D- -o /dev/null -L https://example.tld. - Точный FQDN: сравните домен с тем, что указан в официальном GitHub/Docs/Twitter/Discord (не из рекламы и не из DM).
- IDN/Punycode: если видите странные "похожие" символы, проверьте Punycode в адресной строке (копировать домен и посмотреть, есть ли
xn--). - TLS‑сертификат: издатель, CN/SAN, срок, совпадение домена; заодно сравните с эталонным доменом. Команда:
echo | openssl s_client -servername example.tld -connect example.tld:443 2>/dev/null | openssl x509 -noout -subject -issuer -dates -ext subjectAltName. - Certificate Transparency: поищите неожиданные сертификаты на похожие домены (быстрый признак массовой кампании).
- DNS‑ответы: A/AAAA/CNAME, наличие неожиданного CNAME на "быстрые" хостинги/трекинг. Команды:
dig +short A example.tld,dig +short CNAME www.example.tld. - HTTP‑заголовки:
server,via,x-cache,content-security-policy,strict-transport-security. Команда:curl -sS -I https://example.tld. - Отпечаток фронтенда: сравните хэши основных JS‑бандлов с эталоном (если вы контролируете официальный сайт и у вас есть known-good артефакты).
- Robots/sitemap: странные пути, автогенерированные sitemap, несвойственные разделы "airdrop/claim". Команды:
curl -sS https://example.tld/robots.txt,curl -sS https://example.tld/sitemap.xml. - Наличие сторонних инжектов: подозрительные домены аналитики/чатов/пикселей, которых нет в официальной сборке.
Визуальный анализ интерфейса и скрытые триггеры фишинга
Клоны часто выглядят "идеально", поэтому ищите не дизайн, а поведение: куда ведут клики, что именно подписывается, какие адреса подставляются, что отправляется на бекенд. Проверяйте в DevTools: Network (запросы), Sources (подключенные скрипты), Application (storage), Security (сертификат).
| Симптом | Возможные причины | Как проверить | Как исправить |
|---|---|---|---|
| Модалка Connect Wallet появляется сразу при заходе | Приманка для подписей/approve; авто‑триггер на таймере | DevTools → Sources: поиск connect/ethereum.request; Network: вызовы к неофициальным API |
На стороне пользователя: закрыть вкладку, перейти на официальный домен; на стороне проекта: предупредить, добавить антифишинг‑баннеры в официальные каналы |
| Требует seed phrase/приватный ключ/JSON для "восстановления" | Прямой фишинг ключей | Любой легитимный dApp не просит seed phrase на сайте; снимите скриншоты и сохраните HTML | Немедленно прекратить взаимодействие; если ввели - см. раздел про откат и ротацию |
| Подпись выглядит как "безобидная", но затем списания | Подмена типа подписи: eth_sign/personal_sign/permit; скрытая транзакция approve |
В кошельке открыть "data details", сравнить адрес контракта и метод; посмотреть в Network вызовы к RPC | Не подписывать; если подписали permit/approve - отозвать разрешения (revoke) и перевести активы на новый адрес |
| Адреса контрактов в UI отличаются от документации | Подмена адресов, поддельный роутер/сейл‑контракт | Сверить адреса с официальным репозиторием/доками и explorer; проверить chainId | Использовать только адреса из официальных источников; проекту - закрепить адреса и подписать релизы |
| Кнопки ведут на другие домены или короткие ссылки | Редирект на фишинг/установка расширений/загрузка "апдейта" | Навести курсор, копировать ссылку; Network: 3xx редиректы; curl -IL |
Не скачивать файлы; сообщить в поддержку проекта; заблокировать домены в корпоративных политиках |
| В DevTools видны неизвестные скрипты/iframe | Инжект через компрометированный CDN, тег‑менеджер, рекламную сеть | DevTools → Network: фильтр JS, сортировка по домену; проверить Content-Security-Policy |
Проекту - ужесточить CSP, SRI, убрать лишние third‑party, закрепить allowlist доменов |
Инструменты и чек-лист для немедленной проверки (таблица)
Ниже - последовательность шагов от безопасных к более рискованным (но всё ещё без вмешательства в прод). Если вы владелец проекта, на каждом шаге фиксируйте артефакты, чтобы затем корректно подать жалобы и запросы на блокировку.
- Изолируйте проверку: отдельный профиль/браузер без кошельков и расширений, лучше в VM/контейнере. Не логиньтесь и не подписывайте.
- Снимите цепочку редиректов и заголовки: сохраните вывод
curl -ILиcurl -I(как доказательство). - Проверьте TLS и домен:
openssl s_client, CT‑логи, Punycode/IDN. - Сравните DNS и инфраструктуру:
digпо A/AAAA/CNAME, проверьте совпадение с вашим эталоном (если есть). - Сохраните страницу для анализа: скачать HTML и основные ассеты (только чтение). Пример:
wget -p -k -E -H -D example.tld https://example.tld/. - Выявите фишинговые точки: DevTools → Network: фильтр по
rpc,api,wallet,signature; ищите отправку сидов/фраз/ключей. - Проверьте репутацию домена: в корпоративной среде - через ваши TI/прокси‑логи; для личной - через публичные репорт‑формы браузеров (без ввода персональных данных).
- Подготовьте пакет на блокировку: домены, IP (если релевантно), скриншоты, время, заголовки, WHOIS, хостинг, доказательства копирования бренда.
| Что проверить | Команда/инструмент |
|---|---|
| Редиректы и финальный URL | curl -sS -D- -o /dev/null -L https://domain.tld |
| HTTP‑заголовки и HSTS/CSP | curl -sS -I https://domain.tld |
| TLS‑сертификат (CN/SAN, issuer, даты) | openssl s_client -servername domain.tld -connect domain.tld:443 + openssl x509 -noout ... |
| DNS A/AAAA/CNAME | dig +short A domain.tld, dig +short AAAA domain.tld, dig +short CNAME www.domain.tld |
| WHOIS/регистратор (для жалобы) | WHOIS‑сервис регистратора/ICANN lookup (сохранить результат) |
| Сохранение HTML/ассетов (read-only) | wget -p -k -E -H -D domain.tld https://domain.tld/ |
| Анализ подключенных скриптов и запросов | Chrome DevTools → Network/Sources/Application, экспорт HAR |
| Проверка подозрительных доменов/трекеров | DevTools: группировка по Domain; сопоставление с allowlist вашего проекта |
Пошаговый алгоритм реагирования и отката после утечки секретов
Если кто-то уже ввёл seed phrase/приватный ключ, подписал подозрительную транзакцию или выдал unlimited approval, действуйте как при инциденте. Вначале - откат (rollback) и минимизация ущерба, затем - уведомления и блокировки.
Rollback-план: последовательность отката с контрольными точками
- Стоп-условие: прекратить любые действия на подозрительном сайте, закрыть вкладки, отключить расширения кошелька в этом профиле.
- Зафиксировать факт: время, URL, что именно сделано (ввод фразы, подпись, approve), какие адреса/сети. Контрольная точка: есть записанный таймлайн событий.
- Если введён seed/приватный ключ: считать адрес скомпрометированным навсегда. Контрольная точка: принято решение "миграция на новый кошелёк".
- Создать новый кошелёк (на чистом устройстве/профиле) и подготовить новые адреса для миграции активов. Контрольная точка: новый seed хранится офлайн, не в буфере/облаке.
- Перевести активы: приоритизировать самые ликвидные/уязвимые токены, затем NFT/позиции, затем остатки. Контрольная точка: активы на новом адресе, старый - пуст или "неопасен".
- Отозвать разрешения (revoke) там, где это возможно и целесообразно, либо просто не использовать старый адрес. Контрольная точка: проверены approvals/permits, риск снижен.
- Сбросить сессии и ключи Web2: если где-то использовались API‑ключи, токены, админ‑доступы (для команды проекта) - немедленная ротация. Контрольная точка: старые ключи отозваны, новые выданы.
Когда эскалировать в поддержку/к специалистам
- Утечка seed phrase/приватного ключа или подозрение на неё (нужен быстрый план миграции, иногда с участием on-chain аналитиков).
- Были подписаны транзакции, но вы не понимаете их тип (permit/approve/доверенность) и адреса контрактов.
- Клон массово рекламируется, есть признаки компрометации ваших официальных каналов/доменов/аналитики/Tag Manager.
- Есть риск юридических последствий: использование бренда, вред пользователям, масштабная рассылка.
Процедуры уведомления, блокировки и правового преследования
- Оповестите пользователей через официальные каналы (сайт, X, Discord, Telegram): укажите точный официальный домен, список известных клонов, запрет на ввод seed phrase и подозрительные подписи.
- Заявки на takedown: регистратор домена, хостинг/провайдер, CDN/WAF (если используется), площадки рекламы, где крутится объявление.
- Репорт в браузерные экосистемы: отправьте домен на блокировку в механизмы Safe Browsing/антифишинг (прикрепляйте доказательства и точные URL).
- Блокировки на корпоративном периметре: добавьте домены/поддомены/IP (если оправдано) в DNS‑фильтрацию, прокси, EDR/secure web gateway.
- Укрепление официального фронтенда: CSP (строже), Subresource Integrity для критичных скриптов, минимизация third‑party, защита от инжектов, мониторинг изменения бандлов.
- Мониторинг доменов‑двойников: алерты на регистрации похожих доменов (typosquatting), новые сертификаты в CT‑логах, появление новых рекламных связок.
- Подтверждаемость подлинности: закрепите в документации проверяемые признаки (официальные адреса контрактов, публичные ключи, PGP/подписи релизов, список доменов).
- Юридический трек: сохраняйте доказательства (скриншоты, HAR, HTML, WHOIS, даты), фиксируйте ущерб и обращайтесь к юристам/комплаенсу для правильной коммуникации и запросов.
Практичные ответы на типичные сценарии и ошибки
Можно ли "просто проверить", подключив кошелёк без транзакций?
Не стоит: даже "безобидное" подключение может привести к подписи сообщений или открытию approve/permit. Делайте проверку в профиле без кошелька или на отдельном тестовом кошельке без средств.
Если сайт использует HTTPS, это значит, что он легитимный?
Нет. TLS защищает канал, но не подтверждает, что домен принадлежит вашему проекту. Всегда сверяйте домен и данные сертификата (SAN/issuer) с официальным источником.
Я ввёл seed phrase. Достаточно сменить пароль на компьютере?
Нет. Seed phrase компрометирует кошелёк навсегда. Единственный практичный путь - создать новый кошелёк и мигрировать активы как можно быстрее.
Я подписал approve/permit. Что делать в первую очередь?
Сразу переместите ценные активы на новый адрес и затем отзовите разрешения (revoke), если это применимо. Не продолжайте взаимодействовать с тем же доменом/контрактом.
Клон копирует наш интерфейс 1:1. Как быстро доказать, что это не мы?
Соберите технические отличия: домен, цепочку редиректов, TLS‑сертификат, DNS, список подключенных скриптов и HAR. Этого обычно достаточно для takedown‑заявок и публичного предупреждения.
Можно ли безопасно скачать страницу клона для анализа?
Да, если это read-only: сохранить HTML/ассеты, HAR и заголовки без запуска кошелька и без ввода данных. Делайте это в изолированной среде и фиксируйте хэши файлов.
