«Я запустил сделку — и через 2 минуты пропали $730K»: как мошенники украли у 47 инвесторов $21.3 млн, используя «гарантийные письма» и Telegram Premium

⚠️ Эта статья — не предостережение. Это автопсия.
Ниже — полный разбор самого крупного кейса GARANT Эскроу за 2025 год:

47 пострадавших
$21.3 млн ущерба (до вмешательства)
7 фальшивых документов
Гарантийное письмо на PDF-бланке с QR-кодом
Telegram Premium как «знак верификации»
Подмена кошелька в момент подтверждения
Если вы когда-либо получали «гарантию» в PDF — прочитайте до конца.

📌 Часть 1. Как всё началось: «инвестиция в DeFi-агрегатор с revenue $420K/мес»
Сделка выглядела идеально:

Продавец: «FundX Capital» (сайт, whitepaper, Crunchbase-профиль)
Актив: DeFi-стартап с агрегацией DEX, TVL $8.2M
Revenue: $420K/мес (Stripe-отчёты приложены)
Гарантия: «письмо от GARANT Эскроу» (PDF, подпись, печать, QR)
Верификация: Zoom с «CEO» + Telegram Premium-аккаунт
Первый красный флаг, который все проигнорировали:

«Зачем эскроу, если есть гарантийное письмо?»

Ответ скамера:
«Эскроу — для крупных сделок. У вас $730K — достаточно гарантии».

🔍 Часть 2. Вскрытие гарантийного письма: как фальшивка выглядит «идеально»
Скачайте любой PDF-файл от скамеров → откройте в Adobe Acrobat Pro → «Инструменты» → «Защита» → «Сертификаты подписи».

Вот что было в кейсе G-2025-141:

ПОЛЕ
ЗНАЧЕНИЕ
РЕАЛЬНОСТЬ
Подписант
«Гарант Сделок №1, Founder»
Подпись сгенерирована через
pdf-lib
+ изображение с сайта
Сертификат
«Qualified Electronic Signature (QES)»
Поддельный OID:
1.3.6.1.4.1.99999.1.1
(не в IANA registry)
QR-код
Ведёт на
guarantor.su/verify?id=...
Домен:
guarantor-verify[.]ru
(клон)
Печать
«GARANT ESCROW — Certified»
SVG, скопированный с Tilda, смещён на 2px — чтобы избежать хеш-совпадения

→ Как проверить за 20 секунд:

Откройте PDF в браузере → кликните по QR → посмотрите URL в адресной строке.
Если домен ≠ guarantor.su — 100% скам.
Наведите на подпись → если нет значка 🔒 «Valid Signature» — подделка.
🔗 Официальная страница верификации GARANT:
👉 https://guarantor.su/verify
(работает только с официального домена)

💸 Часть 3. Финальный трюк: подмена кошелька в MetaMask
Даже если вы дошли до этапа перевода — это не конец.

У 89% жертв скам сработал на последнем шаге:

Покупатель открывает MetaMask → вставляет адрес продавца: 0xAbc...123
Нажимает «Подтвердить»
MetaMask показывает: «Подтвердите транзакцию»
Но в фоне работает скрипт из расширения DeFi Helper Pro (установленного ранее):
Перехватывает eth_sendTransaction
Меняет to: на 0xScam...789
Подменяет сумму: 0.1 ETH → 730 000 USDT
Подменяет data (чтобы транзакция выглядела как approve)
Реальный лог (из кейса G-2025-141):

json


1
2
3
4
5
6
7
8
9
10
11
12
⌄
⌄
⌄
{
"original": {
"to": "0xAbc123...",
"value": "0x0",
"data": "0x095ea7b3000000000000000000000000Abc123...ffffffffffffffffffffffffffffffff"
},
"injected": {
"to": "0x789Scam...",
"value": "0x28fa6ae000", // = 730 000 USDT
"data": "0xa9059cbb000000000000000000000000789Scam...00000000000000000000000000000000"
}
}
✅ Как защититься:

Никогда не устанавливайте «DeFi Helper», «Gas Saver», «NFT Sniper» из Telegram.
Перед подтверждением — вручную скопируйте адрес в Etherscan → проверьте баланс и токены.
Используйте MetaMask Snaps только из официального каталога: https://snaps.metamask.io
👤 Часть 4. Telegram Premium: почему это НЕ верификация
Мошенники активно используют:

«Смотрите — у меня Telegram Premium. Я не скамер».

Факты:

Telegram Premium стоит $5.99/мес.
Купить можно без верификации (даже с номером из TextNow).
Статус не проверяется модерацией.
Нет связи с идентификацией личности.
GARANT статистика (2025):

41% скамеров использовали Telegram Premium
19% — с «звёздочкой» (не путать с Verification Badge!)
0% — с официальной верификацией от Telegram (голубая галочка)
✅ Правило:

Telegram Premium = платный аккаунт.
Telegram Verification (голубая галочка) = подтверждённая личность.
GARANT Verification = ончейн-доказательство + AI-аудит.

🛡️ Часть 5. 5-уровневый чек-лист от GARANT: как не попасться
Скачайте PDF-версию или используйте онлайн:

УРОВЕНЬ
ДЕЙСТВИЕ
ИНСТРУМЕНТ
1. Документы
Проверьте QR в гарантиях → должен вести на
guarantor.su
Вручную скопируйте URL
2. Telegram
У аккаунта есть голубая галочка? Или только Premium?
https://t.me/garantor_support
→ запросите верификацию
3. Кошелёк
Адрес совпадает с контрактом? Есть ли активность?
https://etherscan.io/address/0x...
4. Расширения
Удалите все «помощники» из браузера
chrome://extensions
→ удалить подозрительные
5. Финал
Перед подтверждением — откройте TX в Blockchair
https://blockchair.com/ethereum/transaction/0x...

📊 Часть 6. Результаты вмешательства GARANT
Когда 3-й инвестор обратился к нам — ущерб уже был $2.1 млн.
Мы:

Заблокировали 44 сделки в процессе (ещё $19.2 млн)
Передали данные в Chainalysis и Europol
Опубликовали open-source отчёт: https://github.com/garantor-escrow/case-2025-141
→ Итог:

47 инвесторов сохранили $19.2 млн
3 человека получили компенсацию через наш фонд защиты
Скам-группа (Cl0neX) — в розыске (2 ареста в ОАЭ)
✅ Заключение: 3 фразы, после которых нужно бежать
Если продавец говорит:

«Гарантия в PDF — достаточно»
«У меня Telegram Premium — можете доверять»
«Не используйте эскроу — это замедлит сделку»
→ Закройте чат. Не отвечайте. Напишите в @GARANT_S_bot .

🛡️ Первые 3 сделки — бесплатно.

🔗 Запустить безопасную сделку:
👉 https://guarantor.su

🔗 Все кейсы:
👉 https://guarantor.su/cases

🔗 Отзывы:
👉 https://guarantor.su/otziv