Новини криптоміра

24.06.2026
12:08

Купівля BTC через Trust Wallet та MoonPay: монети безслідно зникли — розбір інциденту

Користувач Reddit під ніком Smart-Rip5467 зіткнувся з тривожною ситуацією, яка знову порушує питання безпеки некастодіальних рішень. Після придбання біткоїна через вбудований сервіс MoonPay у додатку Trust Wallet монети не надійшли на його гаманець, а пішли на абсолютно невідому адресу. Сума не критична — 0,00387670 BTC, але сам прецедент викликає серйозне занепокоєння.

Згідно з даними блокчейну, транзакція була зафіксована 19 червня 2026 року. Вже 21 червня вся сума була переміщена на другу адресу. Примітно, що оглядач блокчейну позначив цю операцію як «можливий переказ самому собі». Однак, як я неодноразово зазначаю у своєму аналізі, такі позначки — це лише алгоритмічне припущення, а не доказ. Вони можуть однаково коректно відображати як легітимне переміщення коштів між власними гаманцями, так і роботу скомпрометованого гаманця або дії зловмисника.

У чому справжня проблема?

Головне питання, яке мучить користувача: кому насправді належать ці адреси? Він стверджує, що не вводив адресу отримувача вручну. Це критичний момент. У некастодіальних гаманцях, таких як Trust Wallet, відповідальність за контроль над адресами повністю лежить на користувачеві. Якщо кошти пішли «наліво», можливі два основні сценарії:

  • Компрометація seed-фрази або приватного ключа, що дало зловмиснику доступ до керування гаманцем.
  • Збій або підміна адреси на стороні інтеграції з MoonPay, що малоймовірно, але технічно можливо.

Спільнота Reddit, зокрема користувач Critical-Ad6184, запропонувала чіткий алгоритм перевірки: відновіть гаманець із резервної фрази в ізольованому, безпечному середовищі та перевірте, чи відображається там «втрачена» сума. Якщо ні — кошти поза вашим контролем. Також варто запросити у MoonPay або Trust Wallet підтвердження адреси виплати за номером замовлення. І найголовніше: ніколи й нікому не повідомляйте свою seed-фразу, приватний ключ або розширений публічний ключ (xpub), особливо в блокчейн-оглядачах або чатах підтримки.

Висновки та рекомендації

Цей інцидент — не просто поодинокий випадок, а потужне нагадування про фундаментальні принципи безпеки в DeFi. Навіть найпопулярніші гаманці не захищають вас від помилок введення або компрометації ключів. Моя професійна порада: завжди перевіряйте адресу отримувача перед підтвердженням транзакції, використовуйте апаратні гаманці для великих сум і зберігайте seed-фразу в офлайн-режимі, у надійному місці. Технологія блокчейну не прощає неуважності.