Письмо для фишинга с Ledger обманом вывело 600 000 USDT, американские федеральные прокуроры вернули все средства

Окружной суд США по округу Коннектикут вынес решение 31 марта, постановив конфисковать более 600 тысяч долларов США в USDT (Tether). Средства были получены в результате офлайн-киберпреступления в форме фишинговой атаки с использованием бумажной корреспонденции против пользователей аппаратных кошельков Ledger: пострадавший «TM» в сентябре 2025 года получил письмо, выдававшее себя за «отдел безопасности и соответствия» Ledger. После выполнения инструкций у злоумышленников произошла утечка сид-фразы (seed phrase), а затем они сразу опустошили кошелёк.

Механизм мошенничества с фишинговыми письмами: как одно письмо опустошает аппаратный кошелёк

Это дело демонстрирует «фишинг через обычную почту (Physical Mail Phishing)» — способ атаки, который распознать сложнее, чем цифровой фишинг. Злоумышленники использовали утечку клиентской базы Ledger 2020 года, чтобы получить имена пользователей и домашние адреса, и отправляли целевым пользователям письма, выглядевшие профессионально. Обычно в них требовалось: ввести 24-символьную восстановительную сид-фразу на поддельном официальном сайте или перейти на вредоносную страницу через QR-код, прикреплённый к письму.

После того как пострадавший «TM» выполнил указания из письма, злоумышленники полностью завладели его кошельком, получив сид-фразу, и вывели все активы. Официальный сайт Ledger в течение длительного времени однозначно заявляет: компания никогда не станет сама по себе отправлять какие-либо письма с просьбой предоставить сид-фразу или пройти проверку безопасности — любые подобные запросы, как бы профессионально они ни выглядели, являются мошенничеством.

Федеральная трассировка: прозрачность блокчейна обрывает попытку отмывания

После кражи средств мошенники применили различные приёмы для сокрытия, пытаясь прервать цепочку отслеживания:

Многоуровневые переводы между промежуточными кошельками: средства многократно перетекали между разными адресами, чтобы размыть источник средств

Обмен на USDT стейблкоин: похищенные активы конвертировали в USDT; поскольку у стейблкоина высокая ликвидность, считается, что это благоприятствует дальнейшему выводу

Разработка сложного маршрута отмывания: весь маршрут был направлен на то, чтобы сотрудникам правоохранительных органов было трудно отследить похищенные средства от их исходного адреса до конечного адреса хранения

Однако все транзакции в блокчейне являются публичными и неизменяемыми записями. Следователи с помощью инструментов анализа блокчейна полностью отследили весь маршрут движения средств и подтвердили, что участвующие активы превышают 600 тысяч долларов США. Прокуратура подала гражданский иск о конфискации по делу с номером 3:26-cv-28 в Окружной суд США по округу Коннектикут, обвиняя, что эта партия USDT является доходом от мошенничества с банковским переводом и связана с незаконными действиями по отмыванию.

Ключевое содействие Tether и правовой смысл гражданской конфискации

Главным технологическим прорывом в этом деле стало активное содействие Tether: после того как правоохранительные органы подтвердили местонахождение средств, Tether самостоятельно заморозил USDT по соответствующим адресам. Затем он перевёл эти токены в кошелёк, находящийся под контролем правительства. Это сыграло решающую роль в завершении возврата активов.

Юридический смысл гражданской процедуры конфискации заключается в том, что она не требует идентификации, ареста или предъявления обвинений подозреваемому. Учитывая, что подозреваемые в этом деле, как полагают, находятся за рубежом, традиционные уголовные процедуры почти невозможно выполнить. Но гражданская конфискация всё равно позволила пострадавшим успешно вернуть свои потери. Заместитель генерального прокурора США Дэвид X. Салливан (David X. Sullivan) прямо заявил: «Преступникам не следует рассчитывать на то, что они смогут продолжать владеть похищенным имуществом». Возвращенные USDT будут официально переданы пострадавшим «TM» через процесс управления активами Министерства юстиции.

Часто задаваемые вопросы

Как распознать фишинговое письмо, выдающее себя за Ledger?

Ledger никогда не рассылает самостоятельно письма с просьбой предоставить сид-фразу или пройти проверку безопасности. Любая корреспонденция с требованием передать восстановительную фразу из 24 символов — независимо от того, насколько профессионально она выглядит, и независимо от того, известны ли вам ваше имя и адрес, — является мошенничеством. Все уведомления Ledger о безопасности отправляются через официальный приложения или уже проверенные каналы электронной почты, а не через обычную бумажную почту.

Как анализ блокчейна помогает отслеживать украденные USDT?

Все записи транзакций в блокчейне являются публичными и неизменяемыми. Правоохранительные органы могут с помощью специализированных ончейн-инструментов анализа проследить полный маршрут движения средств — от украденного кошелька до конечного адреса хранения. Даже если средства прошли через несколько промежуточных кошельков и были конвертированы между разными видами монет, при подтверждении конечного адреса хранения можно обосновать достаточные правовые основания для гражданского иска о конфискации.

Как работает гражданская конфискация в делах о криптомошенничестве, если подозреваемый находится за рубежом?

Гражданская конфискация направлена непосредственно на подлежащие делу активы, а не на конкретного подозреваемого, поэтому не требуется арест или процедура экстрадиции. Это означает, что даже если подозреваемый находится в юрисдикции, куда невозможно провести экстрадицию, правоохранительные органы всё равно могут, при содействии эмитентов стейблкоинов, таких как Tether, законно заморозить средства и вернуть пострадавшим их потери. Это один из наиболее эффективных правовых инструментов в трансграничных делах о криптомошенничестве.