Мошенники запустили фальшивую "раздачу криптовалюты" от имени Илона Маска: два домена на одном IP и единый кошелёк

Кампания стартовала в конце мая 2026 года с регистрации домена xcoinwallet.net, а 12 июня появился elon2x.com. Уже 14 июня инфраструктура была полностью активна. Метод доставки первичной ссылки крайне характерен для современных социально-инженерных атак на базе социальных сетей. Оператор использовал три аккаунта на платформе X (бывший Twitter), причём каждый выполнял свою строгую роль.

Первый аккаунт (xofficial_n, возраст 13 лет, 21 тысяча подписчиков, галочка X Premium) опубликовал публичное сообщение о "триллионерской раздаче" от Илона Маска. Второй аккаунт (StellarVault1) был создан ещё в 2012 году, но в июне 2026 года его переименовали, а владелец купил верификацию (синюю галочку). Этот профиль притворялся самим Илоном Маском и начинал подписываться на потенциальных жертв - так жертва получала уведомление о подписке и видела фальшивую галочку. Третий аккаунт (MeganThomp9184), созданный в мае 2026 года и практически не имеющий подписчиков, выполнял автоматическую рассылку упоминаний (mention) с текстом "Внимание! Вы выбраны", цитируя пост аккаунта-имитатора. Такая ролевая структура позволяет обходить автоматические фильтры спама: старые аккаунты с галочками выглядят легитимно, а disposable-аккаунт жертвуют для первичного контакта.

Атака состоит из трёх этапов. На первом этапе жертва переходит по ссылке из публикации в X и попадает на страницу, стилизованную под статью на Medium. Страница содержит фальшивую заметку якобы от Илона Маска с заголовком "X Crypto Giveaway". Текст обещает раздать 5000 BTC и 10000 ETH всем, кто отправит криптовалюту с обещанием удвоения. Для создания иллюзии актуальности страница с помощью JavaScript динамически подставляет текущую дату.

На втором этапе посетитель нажимает одну из двух кнопок - "Получить BTC" или "Получить ETH" - и переходит на специализированный портал розыгрыша (elon2x.com/btc или elon2x[.]com/eth). Интерфейс порталов профессионально оформлен: там есть копия адреса кошелька, QR-код, счётчик "оставшихся монет" (например, 1589,56 BTC из 5000), а также лента фиктивных входящих транзакций, чтобы создать видимость активности других участников. На странице присутствует спиннер с надписью "Ожидание вашей транзакции…", что психологически подталкивает отправить средства немедленно. Критическая деталь: в исходном коде страницы жёстко прописана константа WALLET, которая одинакова для всех страниц, и никакого механизма возврата средств не существует. Это чистое мошенничество: отправив биткоины или эфир, жертва их теряет.

Третий этап - отслеживание посетителей. Серверная часть (файл track.php) записывает, на какую кнопку нажал пользователь, а также через внешний сервис geojs.io определяет страну жертвы. Таким образом оператор может сегментировать кампанию по географии и, возможно, адаптировать дальнейшие шаги.

Отдельного внимания заслуживает использование легитимного сервиса Smartsupp для живого чата. Во все три страницы встроен один и тот же API-ключ, что подтверждает управление кампанией одним человеком. Чат позволяет мошенникам в реальном времени отвечать на вопросы колеблющихся жертв, убеждая их отправить средства. Это типичная тактика в криптовалютных скамах высокого уровня.

Также на статье Medium сфабрикован раздел комментариев с 11 откликами, приписанными известным криптоинфлюенсерам (например, Watcher.Guru и Ivan on Tech). Все комментарии датированы 14 июня 2026 года, что доказывает их подложность. Такая поддельная социальная доказательность снижает психологический барьер жертвы.

Анализ инфраструктуры показал, что оба домена зарегистрированы через одного регистратора PDR Ltd. / PublicDomainRegistry.com и используют одинаковые DNS-серверы OrderBox. Отчёт исследователей подтверждает, что последовательность регистраций (сначала xcoinwallet[.]net, затем elon2x[.]com) характерна для серийного оператора, который переиспользует ядро инфраструктуры в новых кампаниях.

На момент исследования кошелёк BTC содержал некоторую сумму, а кошелёк ETH также имел остаток. Полный анализ истории транзакций может выявить реальные потери, но это выходит за рамки первоначального сбора данных.

Важно подчеркнуть, что никакой вредоносной загрузки или фишинга учётных данных в этой кампании не обнаружено. Схема полностью социально-инженерная. Злоумышленники не взламывают системы - они просто заставляют людей добровольно отправлять деньги. Поэтому традиционные технические средства защиты, такие как антивирусы, здесь бессильны. Единственный действенный метод - информирование пользователей.

Ключевой признак мошенничества: ни одна легитимная публичная личность никогда не попросит вас перевести криптовалюту для получения награды. Любая схема "удвоения крипты" является стопроцентным обманом. Фальшивые комментарии от известных блогеров - стандартный приём социальной инженерии. Также следует обращать внимание на то, что сайты кампании (согласно метаданным) блокируют индексацию всеми основными поисковыми системами (Googlebot, Bingbot, Yandex, Baidu и другими). Это делается намеренно, чтобы избежать обнаружения и сбора угроз - ещё один серьёзный красный флаг.

Организациям настоятельно рекомендуется заблокировать на DNS и межсетевом экранах указанные домены и IP-адрес, а также внедрить правила обнаружения запросов к track.php и соединений со Smartsupp для недавно зарегистрированных доменов. Особенно важно сообщить сотрудникам об этой схеме, чтобы предотвратить потерю личных средств. Для специалистов по блокчейн-анализу открывается возможность проследить цепочку транзакций по указанным кошелькам - возможно, удастся выявить другие связанные адреса и инфраструктуру вывода средств.

IPv4

• 185.72.8.90

Domains

• elon2x.com
• xcoinwallet.net

BTC

• bc1qv49d88zx3w9she99y7hpme6g8t8uer4fndx3wf