Безопасность крипто — как не потерять деньги

✍️ Доже ⏱ 10 мин 🏷 Безопасность · Гид · 2026

В крипто нет поддержки банка, нет страхования вкладов, нет "отмены транзакции". Отправил не туда — потерял. Подписал вредоносный контракт — потерял. Поверил скамеру — потерял. Без возврата.

Это статья про реальные атаки которые происходят каждый день, и конкретные меры защиты.

Атака #1: Фишинг

🎣 Как это работает

Вам приходит ссылка — "Uniswap обновление" или "Ваш кошелёк заблокирован". Сайт выглядит идентично настоящему. Вводите seed-фразу или подключаете кошелёк и подписываете транзакцию. Деньги уходят.

Масштаб: $300M+ потерь в 2024 только через фишинг. Самая частая атака.

🛡 Защита:
• Никогда не вводите seed-фразу на сайте. Ни на каком. Легитимный сервис НИКОГДА не попросит.
• Сохраняйте настоящие URL в закладках. Заходите только через закладки.
• Используйте Rabby — показывает что произойдёт ДО подписи.
• Проверяйте URL — отличие в одну букву (unìswap vs uniswap).

Атака #2: SIM-swap

📱 Как это работает

Злоумышленник переносит ваш номер телефона на свою SIM-карту (через подкуп сотрудника оператора или social engineering). Получает SMS-коды от бирж. Заходит в аккаунт. Выводит всё.

Масштаб: Тысячи случаев. Жертвы теряют от $10K до $10M+.

🛡 Защита:
• НЕ используйте SMS для 2FA. Никогда. Только Google Authenticator или Authy.
• Поставьте PIN-код на SIM у оператора.
• На критичных аккаунтах — аппаратный ключ (YubiKey).

Атака #3: Вредоносные approve

📝 Как это работает

Вы подключаете кошелёк к dApp и подписываете "approve" на токен. Если approve бесконечный (unlimited) — контракт может забрать все ваши токены этого типа в любой момент. Даже через год.

Масштаб: $500M+ украдено через exploit approvals в 2023-2024.

🛡 Защита:
• Проверяйте что подписываете. Rabby и MetaMask показывают approve details.
• Ставьте лимитированный approve (конкретная сумма, не unlimited).
• Регулярно проверяйте и отзывайте старые approvals: revoke.cash
• Используйте отдельный кошелёк для экспериментов с новыми dApps.

Атака #4: Скам-проекты

💀 Как это работает

Новый проект обещает 1000% APY или "гарантированный доход". Набирает ликвидность. Команда выводит все средства (rug pull). Токен = 0. Деньги = ушли.

Масштаб: 50,000+ rug pulls в 2024. Суммарно $5B+ потерь.

🛡 Защита:
• Если обещают больше 20% APY — почти наверняка скам или высокий риск.
• Проверяйте: ликвидность заблокирована? Код аудирован? Команда публична?
• "Друг заработал" — survivorship bias. Тысячи потеряли, один рассказал.
• Не вкладывать больше чем готов потерять.

Атака #5: Поддельные кошельки

📦 Как это работает

В App Store/Google Play появляется поддельное приложение "MetaMask" или "Trust Wallet" с похожей иконкой. Вы ставите, вводите seed-фразу — она уходит злоумышленникам.

Или: hardware кошелёк куплен б/у с "предзаполненной" seed-фразой на карточке. Продавец уже записал её.

🛡 Защита:
• Ставьте кошельки ТОЛЬКО с официальных сайтов (metamask.io, trustwallet.com).
• Hardware кошельки — ТОЛЬКО новые, с официального сайта. Никогда б/у.
• Если seed-фраза была "подготовлена" продавцом — это скам. Кошелёк генерирует её при первой настройке.

Чеклист безопасности

🔒 Базовый уровень

2FA на всех биржах (НЕ SMS — Google Auth/Authy)
Seed-фраза на бумаге в безопасном месте
Уникальный пароль для каждого сервиса (password manager)
Официальные приложения (проверять URL/publisher)
Не кликать ссылки из DM

🔐 Продвинутый уровень

Hardware кошелёк для основных средств
Отдельный кошелёк для DeFi-экспериментов
Регулярная проверка approvals (revoke.cash)
PIN на SIM-карте
Отдельный email для крипто (не основной)
Rabby или кошелёк с превью транзакций

🏰 Параноидальный уровень

Мультисиг (2 из 3 ключей для транзакции)
Seed-фраза разделена (3 части, каждые 2 восстанавливают)
YubiKey для критичных аккаунтов
Отдельный компьютер для крипто
Passphrase (25-е слово) поверх seed

Если уже потерял

Горькая правда: в 99% случаев — деньги не вернуть. Блокчейн необратим. Но:

Если украли с биржи (взлом аккаунта) — сразу в поддержку, есть шанс заморозки
Если подписали вредоносный контракт — немедленно переведите оставшиеся средства на новый кошелёк
Заявление в полицию — для статистики, но реальный возврат крайне редок
Не платите "специалистам по возврату крипто" — это второй скам на жертвах первого

⚠️ "Крипто-возврат" = СКАМ. Люди в DM предлагают "вернуть украденную крипту за комиссию" — это 100% мошенники, работающие на жертвах. Не существует способа вернуть крипто, отправленную на чужой адрес.

🇬🇧 English version

Crypto Security — How Not to Lose Your Money

In crypto there's no bank support, no deposit insurance, no "cancel transaction." Sent to wrong address — lost. Signed malicious contract — lost. Trusted a scammer — lost. No refunds.

Attack #1: Phishing ($300M+ lost in 2024). Fake websites mimicking Uniswap, MetaMask, etc. Solution: never enter seed phrase on any website, bookmark real URLs, use Rabby for transaction previews.

Attack #2: SIM-swap. Attacker ports your phone number to their SIM, receives SMS 2FA codes, drains exchange accounts. Solution: NEVER use SMS for 2FA. Only Google Authenticator/Authy. Set carrier PIN.

Attack #3: Malicious approvals ($500M+ in 2023-2024). Unlimited token approvals allow contracts to drain your wallet anytime. Solution: limit approvals, check revoke.cash regularly, use separate wallet for experiments.

Attack #4: Rug pulls (50,000+ in 2024, $5B+ lost). Projects promising 1000% APY drain all funds. Solution: if it promises >20% APY, it's almost certainly a scam. Check if liquidity is locked, code is audited, team is public.

Attack #5: Fake wallets. Fake MetaMask/Trust Wallet apps in stores steal seed phrases. Solution: install ONLY from official websites. Never buy used hardware wallets.

If already stolen: In 99% of cases, funds are unrecoverable. Move remaining assets to new wallet immediately. Report to exchange support (if exchange theft). NEVER pay "crypto recovery specialists" — they're scammers targeting victims.

← Все статьи 👛 Кошельки 📖 Гид новичка 📊 Монеты