Перевёл не туда: как MEMO стало ловушкой для криптовалют

Представьте, что вы переводите криптовалюту на адрес биржи, как делали это десятки раз. Вводите сумму, копируете реквизиты, подтверждаете транзакцию. Всё выглядит как обычно — но деньги не приходят. Техподдержка отвечает, что средства ушли, но не к вам. Что пошло не так?

Оказывается, не все блокчейны работают одинаково. В некоторых из них — например, EOS, TLOS и WAX — помимо адреса получателя необходимо указать ещё один параметр: MEMO. Это строка, которая определяет, кто именно получит деньги внутри платформы. Ошибитесь — и средства попадут к другому пользователю. А если этот MEMO подсказал мошенник — то прямо в его кошелёк.

Именно это стало основой для множества схем обмана, в которых деньги уходят не через взлом или фишинг, а по инициативе самого пользователя — просто из-за того, что он следовал ложной инструкции. В этой статье мы объясним, как работает технология MEMO, почему она стала уязвимостью, и покажем реальные случаи из практики, когда средства уходили не туда — и как мы помогли это доказать.

Как работает MEMO в блокчейне и почему это важно для безопасности криптовалютных переводов

В блокчейн-сетях с аккаунтной моделью, таких как EOS, TLOS и WAX, переводы криптовалют осуществляются не на уникальные адреса, как в Bitcoin или Ethereum, а между аккаунтами с читаемыми именами. Это означает, что одна и та же платформа, например криптобиржа, может использовать один адрес для получения переводов от всех пользователей. Чтобы система правильно распределила средства, в транзакции необходимо указать дополнительный параметр — MEMO.

Ниже вы можете увидеть, чем отличается форма вывода средств на бирже Bybit при переводе в сеть Bitcoin и в сеть EOS — в последнем случае требуется дополнительное поле MEMO.

Что такое MEMO в криптовалютных транзакциях?

MEMO — это текстовая строка, встроенная в протокол транзакции, которая служит идентификатором получателя внутри платформы. Представьте себе офис, в который каждый день приходят сотни посылок на один и тот же адрес. Чтобы сотрудники поняли, кому именно предназначена каждая из них, на коробке указывается номер кабинета или имя сотрудника. В блокчейн-переводах этот «номер» и есть MEMO. Если его не указать или перепутать — посылка попадёт не туда. Точно так же и в криптовалютах: при отсутствии или неправильном MEMO средства могут быть зачислены не тому пользователю или вовсе потеряны.

Например, если вы переводите токены на биржу, MEMO — это ваш уникальный код пользователя. Без него платформа просто не узнает, что перевод предназначался вам, и средства могут быть утеряны или зависнуть на общем счёте.

На уровне технологии MEMO — это просто открытая строка текста, которую можно вписать вручную при отправке транзакции. Блокчейн не проверяет, что именно вы туда ввели, не подсказывает, правильно ли заполнено поле, и не исправляет ошибки. Всё ложится на пользователя. Именно по этой причине MEMO становится инструментом в руках мошенников: они пользуются тем, что многие не до конца понимают, как работает механизм, и легко вводятся в заблуждение. Уязвимость здесь — не в технологии, а в нехватке информации и опыта.

Как MEMO используется в мошеннических схемах

Одной из причин, по которой многие пользователи теряют свои токены, является непонимание того, как работает технология MEMO в блокчейне. Визуально перевод выглядит привычно: адрес, сумма, кнопка отправки. Но особенность таких сетей в том, что адрес получателя может быть один и тот же для большого количества пользователей. Чтобы различить, кому именно предназначается перевод, используется дополнительный параметр — MEMO. Он является частью самой транзакции и служит как идентификатор получателя внутри одной системы.

Этим механизмом активно пользуются мошенники. Как правило, они связываются с жертвой от имени поддержки криптобиржи, инвестиционной платформы или сервиса по восстановлению средств. Предлог может быть разный: проверка личности, возврат средств, разблокировка аккаунта или участие в акции. Общий сценарий всегда одинаков: человеку предлагают перевести криптовалюту на указанный адрес, сопровождая это обязательным MEMO-кодом.

Важно понимать, что зачастую сам адрес получателя не вызывает подозрений — это может быть аккаунт известной биржи или сервиса. Однако указанный MEMO ведёт не к аккаунту пользователя, а напрямую к мошеннику. В результате пользователь сам, без какого-либо внешнего взлома, отправляет свои средства третьему лицу.

Особенность этой схемы в том, что транзакция проходит успешно, технических ошибок нет. С точки зрения блокчейна, перевод выполнен корректно. Поэтому, обратившись в поддержку кошелька или биржи, пользователь получает стандартный ответ: «Средства были отправлены, возврат невозможен».

Такие схемы остаются популярными именно потому, что внешне они не выглядят как мошенничество. Пользователь сам подтверждает перевод, сам вводит MEMO, а система лишь выполняет инструкцию. Возврат средств в таких случаях крайне затруднён, особенно без технической и юридической поддержки.

✅ Пример 1. Как это должно работать: правильный перевод с MEMO

Ситуация: пользователь хочет пополнить свой баланс на бирже с помощью криптовалюты TLOS.

1.Пользователь заходит в личный кабинет на бирже и выбирает «Пополнить TLOS».

2.Биржа показывает:

• Адрес: binancetelos
• MEMO: 7628391

3.Пользователь копирует и вставляет оба параметра в свой кошелёк.

4.Отправляет, например, 20 TLOS на указанный адрес с указанным MEMO.

5.Биржа автоматически распознаёт перевод и зачисляет средства на аккаунт пользователя.

📌 Результат: перевод прошёл успешно, средства дошли. MEMO позволило системе понять, что именно этот перевод принадлежит конкретному пользователю.

⛔️ Пример 2. Как выглядит мошенническая схема: перевод с «подставным» MEMO

Ситуация: человеку в Telegram пишет якобы служба поддержки криптокошелька.

1.Мошенник сообщает, что аккаунт пользователя «заблокирован» и для разблокировки нужно перевести 20 EOS на «безопасный» адрес.

2.Он отправляет:

• Адрес: coinbaseeos1 (реальный адрес крупной биржи)
• MEMO: client_874562 (на самом деле — идентификатор аккаунта мошенника)

3.Пользователь, доверяя «поддержке», отправляет средства без подозрений.

4.Транзакция проходит — система считает её корректной.

5.Пользователь ожидает результат, но ничего не происходит. Поддержка настоящей платформы отвечает, что средства были отправлены не тому MEMO и вернуть их невозможно.

📌 Результат: перевод ушёл мошеннику. Всё выглядело легально, но MEMO указан не на аккаунт жертвы, а на аккаунт злоумышленника.

Реальный кейс: схема с фальшивой торговой платформой и использованием MEMO

В нашу компанию обратился человек, который впоследствии стал нашим клиентом. На первом этапе мы провели детальное интервьюирование, в ходе которого удалось установить, что он оказался втянут в мошенническую схему через личное общение с неизвестным ранее человеком. Новый «знакомый» активно предлагал поучаствовать в якобы надёжной и выгодной инвестиционной платформе для торговли криптовалютой.

Платформа предлагала привлекательные условия: простой интерфейс, якобы гарантированная доходность и «персональное сопровождение» со стороны специалистов, которые давали советы по каждой сделке. Всё выглядело убедительно. Увидев активность и «результаты», наш клиент решил попробовать.

Для участия в торговле ему было предложено создать блокчейн-кошелёк в сети TLOS (Telos), на который он перевёл средства со своей биржи (в данном случае — Bybit). Все переводы сопровождались указанием MEMO — это якобы было необходимо для привязки средств к его профилю на платформе. После пополнения счёта на «торговой площадке», началась активная «торговля», которая показывала положительную динамику и прибыль.

Через несколько дней клиент решил вывести часть средств. Вывод был осуществлён успешно — средства поступили на тот же кошелёк в сети TLOS. Это ещё больше укрепило его уверенность в том, что площадка реальна.

Проблемы начались позже, когда он попытался вернуть заработанные средства обратно на биржу для конвертации в фиат. Все попытки пополнения счёта на Bybit оказывались безуспешными. Средства не зачислялись с сообщением об ошибке. Постепенно клиент осознал, что оказался в ловушке: он переводил настоящие токены, а в ответ получал фальшивые — такие, которые не принимают настоящие биржи.

Поняв, что столкнулся с обманом, клиент обратился за помощью в компанию AML Crypto.

Пример мошенничества: использование поддельного MEMO под видом адреса из другой сети.

После получения обращения специалисты AML Crypto провели технический анализ всех транзакций и действий, связанных с данной схемой. Установлено, что в момент, когда клиент пополнял счёт на так называемой «торговой платформе», ему был предоставлен конкретный MEMO для перевода. Этот MEMO был сформирован таким образом, что фактически направлял средства не на площадку, а напрямую на аккаунт, контролируемый мошенниками.

Именно благодаря использованию правильно сформированного MEMO перевод выглядел корректным на уровне блокчейна, но реальным получателем стал злоумышленник.

Дальнейшие действия клиента — торговля на платформе, фиксация прибыли, вывод средств — происходили уже вне реального блокчейна. Все «транзакции» внутри этой платформы осуществлялись с использованием фальшивых токенов, не существующих в блокчейне. Эти токены были созданы мошенниками исключительно в интерфейсе сайта и не имели никакой реальной ценности. Они лишь имитировали движение и баланс, создавая полное впечатление настоящей торговли.

В то же время настоящие токены клиента были получены мошенниками и впоследствии обналичены.

Итог: в результате проведённого расследования специалистами AML Crypto было подтверждено наличие мошеннической схемы и восстановлена полная цепочка движения средств. Нам удалось установить, что криптовалюта клиента была обналичена через конкретную криптобиржу, а средства прошли через идентифицируемые аккаунты. Анализ транзакций и сопоставление цифровых следов позволили не только отследить путь токенов, но и определить конечного получателя.

Особенно важно отметить, что в ходе работы удалось установить — злоумышленник находился на территории той же страны, что и пострадавший. Это существенно упростило юридическую перспективу и позволило перейти от технического расследования к полноценному правовому процессу. Все собранные материалы были задокументированы и переданы в соответствующие государственные органы для последующего судебного рассмотрения.

Пример мошенничества: использование поддельного MEMO под видом адреса из другой сети.

Во втором примере мошенничества с использованием MEMO, наш клиент столкнулся с обманом при попытке вывести криптовалюту EOS со своего аккаунта на бирже Bybit. Он планировал перевести активы в сеть BNB Smart Chain, чтобы в дальнейшем использовать их через децентрализованный кошелёк. Однако он не до конца понимал, как технически устроен межсетевой перевод, и решил найти инструкцию в интернете. Поисковый запрос привёл его на форум, внешне схожий с официальной страницей Bybit, где обсуждалась якобы «правильная» последовательность действий. Практически сразу после этого с ним связались через Telegram — злоумышленник представился сотрудником технической поддержки и предложил помощь.

Мошенник уверенно заявил, что для перевода EOS с биржи на внешний BNB-кошелёк нужно использовать «официальный системный адрес приёма средств» — bybitdeposit, пояснив, что именно на этот адрес принимаются все межсетевые переводы с последующей автоматической переадресацией по MEMO. Такой аргумент звучал правдоподобно, поскольку клиент и ранее видел в интерфейсе Bybit адрес bybitdeposit, а сам процесс с MEMO был ему не совсем ясен. Таким образом, у клиента сформировалась полная иллюзия, что он использует стандартный путь вывода средств.

Он перешёл к оформлению транзакции: выбрал монету EOS, указал адрес bybitdeposit, как ему рекомендовали, и вставил в поле MEMO тот самый BNB-адрес, который, по словам «специалиста», должен был идентифицировать его кошелёк для получения средств в другой сети. В действительности же этот адрес (0x...) был заранее зарегистрирован мошенниками в системе Bybit как идентификатор их собственного аккаунта.

После подтверждения транзакции средства были действительно отправлены на указанный адрес, и с точки зрения блокчейна всё выглядело корректно. Однако система Bybit зачислила активы не на аккаунт клиента, а на другой счёт — тот, который был заранее зарегистрирован мошенниками с таким же MEMO (в формате BNB-адреса). Таким образом, пользователь сам отправил средства злоумышленникам, при этом не нарушив ни одного технического условия вывода.

Когда клиент понял, что средства не поступили на его BNB-кошелёк, он обратился в службу поддержки биржи. Ему сообщили, что транзакция завершена успешно, а возврат невозможен. Осознав, что стал жертвой мошенничества, пользователь обратился в AML Crypto — с целью проведения технического анализа, сбора доказательной базы и помощи в расследовании инцидента.

На графе показано, как клиент биржи Bybit, следуя ложной инструкции, вводит корректный адрес получателя (bybitdeposit), но ошибочный MEMO — в виде внешнего BNB-адреса, предоставленного мошенником. В результате средства направляются не на предполагаемый внешний кошелёк в сети BNB, а на внутренний аккаунт злоумышленника, зарегистрированный под этим MEMO.

Граф демонстрирует расхождение между ожидаемым маршрутом перевода (Bybit → BNB-кошелёк жертвы) и фактическим (Bybit → аккаунт мошенника внутри биржи).

Как защититься от подобных схем

Мошеннические схемы с использованием MEMO становятся всё более изощрёнными, и их основная сила — не в технических трюках, а в том, что многие пользователи просто не знают, как работает система. Чтобы не стать жертвой, важно не только быть внимательным, но и разбираться в базовых принципах криптопереводов. Ниже — несколько правил, которые помогут защититься:

• Понимайте, как работают переводы и что такое MEMO. Если вы используете биржи, блокчейн-кошельки или отправляете криптовалюту, важно понимать, какие параметры влияют на перевод. MEMO — это не случайное поле, а критически важный элемент. Потратьте 10 минут, чтобы разобраться, как именно работает ваша сеть — это уже в разы снизит риски.
• Проверяйте источник информации. Не доверяйте сообщениям в Telegram, WhatsApp или соцсетях, даже если они выглядят как служба поддержки. Настоящие представители бирж не будут писать вам первыми в мессенджерах.
• Всегда перепроверяйте адрес и MEMO вручную. Копируйте их только с официального интерфейса биржи или кошелька. Не используйте данные из писем, чатов или сторонних сайтов.
• Не переводите средства на платформы без прозрачной информации. Если у проекта нет юридических данных, понятных условий и внятной поддержки — это красный флаг. Настоящие компании не скрывают свою идентичность.
• Будьте особенно осторожны с инвестиционными предложениями. Если вам обещают стабильный доход, бонусы за «вход» или гарантии возврата — скорее всего, это ловушка. В криптомире нет легких и безопасных денег.

❗️Если вы уже подозреваете, что стали жертвой мошенничества, не теряйте время. Если вы уже подозреваете, что столкнулись с мошенничеством, важно не тянуть. Пока транзакции ещё можно отследить, есть шанс разобраться и принять меры.

Обратитесь к специалистам AML Crypto — наша команда профессионально мы помогаем разобраться, куда ушли ваши средства, находим следы транзакций и готовим материалы, которые можно использовать в юридических процедурах.

Написать нам можно:

• в Telegram:https://t.me/AMLCrypto
• на email: info@amlcrypto.io

Заключение

Технология MEMO — это всего лишь строка в транзакции, но именно она определяет, кому будут зачислены средства. В блокчейнах с аккаунтной моделью, таких как EOS, TLOS и WAX, это обязательный элемент. Незнание его назначения, доверие к «поддержке» в мессенджерах или копирование инструкций с сомнительных источников — всё это может привести к полной потере криптоактивов.

Мошенники не взламывают кошельки и не подменяют адреса — они просто используют незнание пользователя. А поскольку технически такие переводы считаются корректными, биржи и кошельки не несут ответственности за их последствия.

Если вы уже оказались в подобной ситуации, важно не откладывать разбор инцидента. Чем раньше начнётся техническое расследование, тем выше шанс отследить путь активов, зафиксировать улики и вовремя передать информацию в компетентные органы.

AML Crypto оказывает помощь в таких случаях — от анализа блокчейн-транзакций до сбора доказательств и подготовки документов для обращения в правоохранительные органы.