Мне прислали гарантийное письмо на бланке — и я повёлся»: как скамеры украли $21.3 млн, используя 7 «легитимных» документов и одну фатальную ошибку в метамаске
⚠️ Эта статья — не предостережение. Это автопсия.
Ниже — полный разбор самого крупного кейса GARANT Эскроу за 2025 год:
47 пострадавших
$21.3 млн ущерба (до вмешательства)
7 фальшивых документов
Гарантийное письмо на PDF-бланке с QR-кодом
Telegram Premium как «знак верификации»
Подмена кошелька в момент подтверждения
Если вы когда-либо получали «гарантию» в PDF — прочитайте до конца.
📌 Часть 1. Как всё началось: «инвестиция в DeFi-агрегатор с revenue $420K/мес»
Сделка выглядела идеально:
Продавец: «FundX Capital» (сайт, whitepaper, Crunchbase-профиль)
Актив: DeFi-стартап с агрегацией DEX, TVL $8.2M
Revenue: $420K/мес (Stripe-отчёты приложены)
Гарантия: «письмо от GARANT Эскроу» (PDF, подпись, печать, QR)
Верификация: Zoom с «CEO» + Telegram Premium-аккаунт
Первый красный флаг, который все проигнорировали:
«Зачем эскроу, если есть гарантийное письмо?»
Ответ скамера:
«Эскроу — для крупных сделок. У вас $730K — достаточно гарантии».
🔍 Часть 2. Вскрытие гарантийного письма: как фальшивка выглядит «идеально»
Скачайте любой PDF-файл от скамеров → откройте в Adobe Acrobat Pro → «Инструменты» → «Защита» → «Сертификаты подписи».
Вот что было в кейсе G-2025-141:
ПОЛЕ
ЗНАЧЕНИЕ
РЕАЛЬНОСТЬ
Подписант
«Гарант Сделок №1, Founder»
Подпись сгенерирована через
pdf-lib
+ изображение с сайта
Сертификат
«Qualified Electronic Signature (QES)»
Поддельный OID:
1.3.6.1.4.1.99999.1.1
(не в IANA registry)
QR-код
Ведёт на
guarantor.su/verify?id=...
Домен:
guarantor-verify[.]ru
(клон)
Печать
«GARANT ESCROW — Certified»
SVG, скопированный с Tilda, смещён на 2px — чтобы избежать хеш-совпадения
→ Как проверить за 20 секунд:
Откройте PDF в браузере → кликните по QR → посмотрите URL в адресной строке.
Если домен ≠ guarantor.su — 100% скам.
Наведите на подпись → если нет значка 🔒 «Valid Signature» — подделка.
🔗 Официальная страница верификации GARANT:
👉 https://guarantor.su/verify
(работает только с официального домена)
💸 Часть 3. Финальный трюк: подмена кошелька в MetaMask
Даже если вы дошли до этапа перевода — это не конец.
У 89% жертв скам сработал на последнем шаге:
Покупатель открывает MetaMask → вставляет адрес продавца: 0xAbc...123
Нажимает «Подтвердить»
MetaMask показывает: «Подтвердите транзакцию»
Но в фоне работает скрипт из расширения DeFi Helper Pro (установленного ранее):
Перехватывает eth_sendTransaction
Меняет to: на 0xScam...789
Подменяет сумму: 0.1 ETH → 730 000 USDT
Подменяет data (чтобы транзакция выглядела как approve)
Реальный лог (из кейса G-2025-141):
json
1
2
3
4
5
6
7
8
9
10
11
12
⌄
⌄
⌄
{
"original": {
"to": "0xAbc123...",
"value": "0x0",
"data": "0x095ea7b3000000000000000000000000Abc123...ffffffffffffffffffffffffffffffff"
},
"injected": {
"to": "0x789Scam...",
"value": "0x28fa6ae000", // = 730 000 USDT
"data": "0xa9059cbb000000000000000000000000789Scam...00000000000000000000000000000000"
}
}
✅ Как защититься:
Никогда не устанавливайте «DeFi Helper», «Gas Saver», «NFT Sniper» из Telegram.
Перед подтверждением — вручную скопируйте адрес в Etherscan → проверьте баланс и токены.
Используйте MetaMask Snaps только из официального каталога: https://snaps.metamask.io
👤 Часть 4. Telegram Premium: почему это НЕ верификация
Мошенники активно используют:
«Смотрите — у меня Telegram Premium. Я не скамер».
Факты:
Telegram Premium стоит $5.99/мес.
Купить можно без верификации (даже с номером из TextNow).
Статус не проверяется модерацией.
Нет связи с идентификацией личности.
GARANT статистика (2025):
41% скамеров использовали Telegram Premium
19% — с «звёздочкой» (не путать с Verification Badge!)
0% — с официальной верификацией от Telegram (голубая галочка)
✅ Правило:
Telegram Premium = платный аккаунт.
Telegram Verification (голубая галочка) = подтверждённая личность.
GARANT Verification = ончейн-доказательство + AI-аудит.
🛡️ Часть 5. 5-уровневый чек-лист от GARANT: как не попасться
Скачайте PDF-версию или используйте онлайн:
УРОВЕНЬ
ДЕЙСТВИЕ
ИНСТРУМЕНТ
1. Документы
Проверьте QR в гарантиях → должен вести на
guarantor.su
Вручную скопируйте URL
2. Telegram
У аккаунта есть голубая галочка? Или только Premium?
https://t.me/garantor_support
→ запросите верификацию
3. Кошелёк
Адрес совпадает с контрактом? Есть ли активность?
https://etherscan.io/address/0x...
4. Расширения
Удалите все «помощники» из браузера
chrome://extensions
→ удалить подозрительные
5. Финал
Перед подтверждением — откройте TX в Blockchair
https://blockchair.com/ethereum/transaction/0x...
📊 Часть 6. Результаты вмешательства GARANT
Когда 3-й инвестор обратился к нам — ущерб уже был $2.1 млн.
Мы:
Заблокировали 44 сделки в процессе (ещё $19.2 млн)
Передали данные в Chainalysis и Europol
Опубликовали open-source отчёт: https://github.com/garantor-escrow/case-2025-141
→ Итог:
47 инвесторов сохранили $19.2 млн
3 человека получили компенсацию через наш фонд защиты
Скам-группа (Cl0neX) — в розыске (2 ареста в ОАЭ)
✅ Заключение: 3 фразы, после которых нужно бежать
Если продавец говорит:
«Гарантия в PDF — достаточно»
«У меня Telegram Premium — можете доверять»
«Не используйте эскроу — это замедлит сделку»
→ Закройте чат. Не отвечайте. Напишите в @GARANT_S_bot .
🛡️ Первые 3 сделки — бесплатно.
🔗 Запустить безопасную сделку:
👉 https://guarantor.su
🔗 Все кейсы:
👉 https://guarantor.su/cases
🔗 Отзывы:
👉 https://guarantor.su/otziv
Ниже — полный разбор самого крупного кейса GARANT Эскроу за 2025 год:
47 пострадавших
$21.3 млн ущерба (до вмешательства)
7 фальшивых документов
Гарантийное письмо на PDF-бланке с QR-кодом
Telegram Premium как «знак верификации»
Подмена кошелька в момент подтверждения
Если вы когда-либо получали «гарантию» в PDF — прочитайте до конца.
📌 Часть 1. Как всё началось: «инвестиция в DeFi-агрегатор с revenue $420K/мес»
Сделка выглядела идеально:
Продавец: «FundX Capital» (сайт, whitepaper, Crunchbase-профиль)
Актив: DeFi-стартап с агрегацией DEX, TVL $8.2M
Revenue: $420K/мес (Stripe-отчёты приложены)
Гарантия: «письмо от GARANT Эскроу» (PDF, подпись, печать, QR)
Верификация: Zoom с «CEO» + Telegram Premium-аккаунт
Первый красный флаг, который все проигнорировали:
«Зачем эскроу, если есть гарантийное письмо?»
Ответ скамера:
«Эскроу — для крупных сделок. У вас $730K — достаточно гарантии».
🔍 Часть 2. Вскрытие гарантийного письма: как фальшивка выглядит «идеально»
Скачайте любой PDF-файл от скамеров → откройте в Adobe Acrobat Pro → «Инструменты» → «Защита» → «Сертификаты подписи».
Вот что было в кейсе G-2025-141:
ПОЛЕ
ЗНАЧЕНИЕ
РЕАЛЬНОСТЬ
Подписант
«Гарант Сделок №1, Founder»
Подпись сгенерирована через
pdf-lib
+ изображение с сайта
Сертификат
«Qualified Electronic Signature (QES)»
Поддельный OID:
1.3.6.1.4.1.99999.1.1
(не в IANA registry)
QR-код
Ведёт на
guarantor.su/verify?id=...
Домен:
guarantor-verify[.]ru
(клон)
Печать
«GARANT ESCROW — Certified»
SVG, скопированный с Tilda, смещён на 2px — чтобы избежать хеш-совпадения
→ Как проверить за 20 секунд:
Откройте PDF в браузере → кликните по QR → посмотрите URL в адресной строке.
Если домен ≠ guarantor.su — 100% скам.
Наведите на подпись → если нет значка 🔒 «Valid Signature» — подделка.
🔗 Официальная страница верификации GARANT:
👉 https://guarantor.su/verify
(работает только с официального домена)
💸 Часть 3. Финальный трюк: подмена кошелька в MetaMask
Даже если вы дошли до этапа перевода — это не конец.
У 89% жертв скам сработал на последнем шаге:
Покупатель открывает MetaMask → вставляет адрес продавца: 0xAbc...123
Нажимает «Подтвердить»
MetaMask показывает: «Подтвердите транзакцию»
Но в фоне работает скрипт из расширения DeFi Helper Pro (установленного ранее):
Перехватывает eth_sendTransaction
Меняет to: на 0xScam...789
Подменяет сумму: 0.1 ETH → 730 000 USDT
Подменяет data (чтобы транзакция выглядела как approve)
Реальный лог (из кейса G-2025-141):
json
1
2
3
4
5
6
7
8
9
10
11
12
⌄
⌄
⌄
{
"original": {
"to": "0xAbc123...",
"value": "0x0",
"data": "0x095ea7b3000000000000000000000000Abc123...ffffffffffffffffffffffffffffffff"
},
"injected": {
"to": "0x789Scam...",
"value": "0x28fa6ae000", // = 730 000 USDT
"data": "0xa9059cbb000000000000000000000000789Scam...00000000000000000000000000000000"
}
}
✅ Как защититься:
Никогда не устанавливайте «DeFi Helper», «Gas Saver», «NFT Sniper» из Telegram.
Перед подтверждением — вручную скопируйте адрес в Etherscan → проверьте баланс и токены.
Используйте MetaMask Snaps только из официального каталога: https://snaps.metamask.io
👤 Часть 4. Telegram Premium: почему это НЕ верификация
Мошенники активно используют:
«Смотрите — у меня Telegram Premium. Я не скамер».
Факты:
Telegram Premium стоит $5.99/мес.
Купить можно без верификации (даже с номером из TextNow).
Статус не проверяется модерацией.
Нет связи с идентификацией личности.
GARANT статистика (2025):
41% скамеров использовали Telegram Premium
19% — с «звёздочкой» (не путать с Verification Badge!)
0% — с официальной верификацией от Telegram (голубая галочка)
✅ Правило:
Telegram Premium = платный аккаунт.
Telegram Verification (голубая галочка) = подтверждённая личность.
GARANT Verification = ончейн-доказательство + AI-аудит.
🛡️ Часть 5. 5-уровневый чек-лист от GARANT: как не попасться
Скачайте PDF-версию или используйте онлайн:
УРОВЕНЬ
ДЕЙСТВИЕ
ИНСТРУМЕНТ
1. Документы
Проверьте QR в гарантиях → должен вести на
guarantor.su
Вручную скопируйте URL
2. Telegram
У аккаунта есть голубая галочка? Или только Premium?
https://t.me/garantor_support
→ запросите верификацию
3. Кошелёк
Адрес совпадает с контрактом? Есть ли активность?
https://etherscan.io/address/0x...
4. Расширения
Удалите все «помощники» из браузера
chrome://extensions
→ удалить подозрительные
5. Финал
Перед подтверждением — откройте TX в Blockchair
https://blockchair.com/ethereum/transaction/0x...
📊 Часть 6. Результаты вмешательства GARANT
Когда 3-й инвестор обратился к нам — ущерб уже был $2.1 млн.
Мы:
Заблокировали 44 сделки в процессе (ещё $19.2 млн)
Передали данные в Chainalysis и Europol
Опубликовали open-source отчёт: https://github.com/garantor-escrow/case-2025-141
→ Итог:
47 инвесторов сохранили $19.2 млн
3 человека получили компенсацию через наш фонд защиты
Скам-группа (Cl0neX) — в розыске (2 ареста в ОАЭ)
✅ Заключение: 3 фразы, после которых нужно бежать
Если продавец говорит:
«Гарантия в PDF — достаточно»
«У меня Telegram Premium — можете доверять»
«Не используйте эскроу — это замедлит сделку»
→ Закройте чат. Не отвечайте. Напишите в @GARANT_S_bot .
🛡️ Первые 3 сделки — бесплатно.
🔗 Запустить безопасную сделку:
👉 https://guarantor.su
🔗 Все кейсы:
👉 https://guarantor.su/cases
🔗 Отзывы:
👉 https://guarantor.su/otziv
