Утечка private key: первые 24 часа

Что делать в первые 30 минут

Вы только что осознали, что ваш приватный ключ или seed-фраза скомпрометированы. Может быть, ввели в фейковый «Ledger update» инструмент. Может быть, сфотографировали для бэкапа, и фото синхронизировалось в теперь-скомпрометированный облачный аккаунт. Может быть, заметили мелкое несанкционированное списание.

Следующие 30 минут определяют, сколько вы восстановите и сколько потеряете.

Минута 0–5: Триаж

• Откройте чистое устройство — телефон или ноутбук, на котором никогда не было скомпрометированного кошелька.
• Сгенерируйте новый seed на свежем аппаратном кошельке или импортируйте в известный чистый горячий. Запишите новый seed офлайн.
• Запишите адреса нового кошелька. Сюда будете отправлять средства.

Минута 5–15: Сначала стейблкоины

Стейблкоины — приоритетная цель дрейна. Переместите первыми. По порядку:

• USDC, USDT, DAI, BUSD на цепи с наибольшими холдингами.
• Затем те же стейблкоины на других цепях (Polygon, Arbitrum, BSC).
• Отправляйте каждый перевод на новый кошелёк. Используйте умеренный газ.

Минута 15–25: Ликвидные majors

ETH, BTC, SOL, BNB, MATIC. Имеют ликвидность, но атакующий может сбросить их с малым slippage, потому вторая по приоритету цель.

Если есть NFT — переместите самые ценные сейчас.

Минута 25–30: Long-tail и прощание

Переместите всё, что осталось — long-tail токены, vested позиции, staked активы, если можете быстро анстейкнуть.

Кошелёк должен быть пустым или почти пустым. Не «сохраняйте» его как малоценный — он навсегда в очереди атакующего.

Первый час после спасения

• Отзовите все одобрения. На revoke.cash. Стоит газа, но останавливает любые pending Permit-подписи.
• Аудитуйте все связанные сервисы. Имел ли скомпрометированный кошелёк одобрения на Uniswap, Aave, Compound? Связаны ли CEX депозитные адреса?
• Проверьте связанные утечки. Если seed утёк через фишинговый сайт, что ещё вы дали тому сайту? Email? Телефон? CEX-логин?

Жёсткая правда

Большинство компрометаций теряют всё в пострадавшем кошельке. 30-минутный спасательный протокол — для случаев, когда заметили рано. Для случаев, когда заметили поздно, средства ушли. Постройте следующий кастоди-сетап с предположением, что вас снова атакуют — и спроектируйте так, чтобы одна компрометация не теряла всё.