Захистіть свої криптоактиви: посібник із захисту від фішингу та шахрайства
У світі криптовалют безпека — це не просто рекомендація, а необхідність. Дізнайтеся, як захистити свої цифрові активи від загроз, що постійно еволюціонують, — фішингу, шахрайства та інших шахрайських схем.

Децентралізований світ криптовалют відкриває величезні можливості, але разом із ними з’являються й нові ризики. Фішинг, шахрайство, зловмисні смарт-контракти та інші види шахрайства постійно становлять загрозу для ваших цифрових активів. Щоб забезпечити свою безпеку, необхідно бути в курсі подій та вживати активних заходів безпеки.
Основні загрози для криптоактивів
1. Фішинг та підроблені веб-сайти
Шахраї створюють точні копії популярних криптобірж, гаманців або DeFi-платформ, щоб обманом змусити вас розкрити свої приватні ключі, посівні фрази або облікові дані. Завжди ретельно перевіряйте URL-адресу веб-сайту та користуйтеся закладками замість посилань з електронних листів або повідомлень.
2. Ті, хто спустошує гаманець
Це шкідливі скрипти, які під час підключення до вашого гаманця або підписання транзакції можуть повністю спустошити його, переказавши всі ваші активи на гаманець зловмисника. Вони часто маскуються під легітимні dApps, NFT-проєкти або айрдропи.
3. Шахрайство та соціальна інженерія
Сюди входять обіцянки легких грошей, фейкові розіграші, схеми типу «pump-and-dump», а також шахрайські дії під виглядом технічної підтримки, під час яких вас просять надати доступ до гаманця або особисті дані.
Практичні кроки для захисту ваших криптоактивів
1. Регулярно скасовуйте дозволи (Revoke.cash)
Кожного разу, коли ви взаємодієте зі смарт-контрактом (наприклад, затверджуючи токени для децентралізованої біржі чи ринку NFT), ви надаєте йому дозвіл на доступ до певної кількості ваших токенів. Якщо контракт виявиться шкідливим або його безпека буде порушена, ці дозволи можуть бути використані з метою спустошення вашого гаманця.
- Що робити: Користуйтеся такими сервісами, як Revoke.cash. Цей інструмент дозволяє переглядати та скасовувати всі дозволи, які ви надали смарт-контрактам. Регулярно перевіряйте та скасовуйте непотрібні або підозрілі дозволи. Це надзвичайно важливо для мінімізації ризиків.
2. Своєчасне оновлення систем та програм
Застаріле програмне забезпечення — це відкриті двері для зловмисників. Оновлення часто містять виправлення безпеки, які усувають відомі вразливості.
- Що робити:
- Операційна система: Переконайтеся, що ваша операційна система (Windows, macOS, Linux) завжди оновлена до останньої версії.
- Браузери: Користуйтеся найновішими версіями браузерів (Chrome, Firefox, Brave тощо), оскільки вони часто містять вбудовані функції захисту від фішингу.
- Криптовалютні гаманці та розширення: Регулярно оновлюйте свої програмні гаманці (наприклад, MetaMask) та всі пов’язані з ними розширення.
3. Диверсифікація портфеля: не кладіть усі яйця в один кошик
Зберігання всіх ваших криптоактивів в одному гаманці підвищує ризик втратити все в разі хакерської атаки або фішингової атаки.
- Що робити:
- Гарячі гаманці: Використовуйте їх лише для невеликих сум, призначених для щоденних транзакцій або взаємодії з dApp.
- Холодні гаманці / Апаратні гаманці: Для довгострокового зберігання значних сум використовуйте апаратні гаманці (Ledger, Trezor). Вони забезпечують максимальний рівень безпеки, зберігаючи ваші приватні ключі в автономному режимі.
- Розмежування активів: Розподіліть свої активи між кількома гаманцями та біржами, щоб мінімізувати потенційні збитки від однієї успішної атаки.
4. Завжди перевіряйте адреси та підписані транзакції
Шахраї можуть використовувати шкідливе програмне забезпечення, щоб змінити адресу одержувача у буфері обміну або підробити реквізити транзакції.
- Що робити:
- Перевірте ще раз: Перед переказом коштів завжди ретельно перевіряйте адресу одержувача, особливо перші та останні символи.
- Прочитати запити на підпис: Уважно читайте всі запити на підписання транзакцій у вашому гаманці. Переконайтеся, що ви точно розумієте, що саме ви затверджуєте. Підозрілі запити (наприклад, на «Встановити загальне схвалення» для невідомого контракту) можуть бути спробами викрадення коштів.
5. Використовуйте двофакторну автентифікацію (2FA)
Двофакторна аутентифікація (2FA) забезпечує додатковий рівень безпеки для ваших облікових записів на біржах та в сервісах.
- Що робити: У міру можливості вмикайте двофакторну автентифікацію (2FA), використовуючи додатки-автентифікатори (Google Authenticator, Authy) замість SMS, оскільки SMS-2FA є більш вразливою до перехоплення.
6. Остерігайтеся несподіваних пропозицій та повідомлень
Якщо пропозиція здається занадто гарною, щоб бути правдою, то, ймовірно, так і є.
- Що робити: Ігноруйте повідомлення від незнайомців, які обіцяють «безкоштовні» криптовалюти або легкий заробіток. Перевіряйте інформацію через офіційні канали проектів.
7. Апаратні гаманці та підписання з ізольованим доступом
«Гарячі» гаманці (браузерні/мобільні) є найбільшою площиною атаки у криптосфері. Перенесіть свої довгострокові активи до апаратний гаманець — Ledger, Trezor, Keystone або BitBox — де приватні ключі ніколи не залишають пристрій. Для транзакцій на великі суми варто розглянути ізольований від мережі підписання за допомогою QR-коду (Keystone, Coldcard, AirGap Vault), завдяки чому навіть зламаний комп’ютер не зможе викрасти ключі.
- Купити апаратні гаманці виключно безпосередньо від виробника канали — втручання в ланцюг постачання є реальною атакою.
- Встановіть пристрій у чистому приміщенні; перед першим використанням перевірте підписи прошивки.
- Запишіть фразу-посів на сталь резервні копії (Cryptotag, Billfodl) — папір згорає та вицвітає.
- Ніколи не вводьте, не фотографуйте та не зберігайте насіння в цифровому вигляді — ані в iCloud, ані в Google Drive, ані в менеджерах паролів, ані в додатках для нотаток.
8. Слід обережно затверджувати надбавки
Тим, хто викачує кошти з гаманців, не потрібні ваші насіння — їм потрібне лише одне підписане підтвердження, яке дозволить їм переказати ваші токени. Кожного разу, коли ви підписуєте транзакцію, уважно читайте:
- Перевірте роботу функції:
approve,setApprovalForAll,permit,increaseAllowance, іsignOrderнадавати права на переміщення токенів — а не на їх передачу. - Перевірте пристрій для видачі грошей: Адреса, яку ви затверджуєте, має бути відомим протокольним контрактом — ні в якому разі не EOA (зовнішнім обліковим записом) або неперевіреним контрактом.
- Перевірте суму: якщо вас попросять надати необмежений доступ (
2^256-1), вважають за краще встановлювати чітку верхню межу. - Перевірте ланцюг: Фішинговий сайт може перевести ваш гаманець на інший ланцюг, щоб обійти ваші фільтри.
- Використання Blockaid, ScamSniffer, або Захист гаманця розширення для виявлення шкідливих схвалень перед підписанням.
9. Упорядкування доменів та закладок
Найуспішніші фішингові атаки спрямовані саме на той момент, коли ви вводите URL-адресу або натискаєте на посилання. Заходи захисту:
- Додати до закладок усі гаманці, біржі та мости, якими ви користуєтеся — ніколи не вводьте домени конфіденційних сайтів вручну.
- Уникайте спонсорованих/рекламних результатів у Google — спонсоровані ключові слова, пов’язані з криптогаманцями, біржами та мостами, є найпоширенішим джерелом фішингу. Ми описуємо це в Реєстратори, які сприяють глобальним шахрайським схемам.
- Не довіряйте жодним URL-адресам, що містять зайві символи:
uniswap-app.org,metamask-extension.com,app-pancakeswap.io— офіційні домени — це просто. - Перевірка доменів за допомогою системи «Прозорість сертифікатів» (crt.sh) — щойно виданий сертифікат на товар, схожий на відомий бренд, є серйозним сигналом тривоги.
10. Остерігайтеся шахрайських схем під виглядом «реклами» та програм для перегляду на робочому місці
Криптокоманди дедалі частіше стають жертвами соціальної інженерії в діловому стилі, замаскованої під рекламу або пропозиції про партнерство. Зловмисник просить вас встановити «переглядач медіа-кітів», «менеджер реклами», «клієнт Zoom» або «захищений інструмент для укладення угоди про нерозголошення» — цей «інструмент» насправді є програмою для викрадення даних. Ми задокументували один випадок, коли такий підхід призвів до виведення коштів з проекту: $100K Returned — Adverting Scam Foiled.
- Ніколи не встановлюйте спеціальні клієнти, програми перегляду або «програми оновлення», що надаються неперевіреними сторонніми організаціями.
- Використовуйте лише офіційні версії Zoom, Telegram та Discord, які можна завантажити з сайтів розробників, — ніколи не користуйтеся спонсорованими результатами пошуку.
- Якщо робочий процес вимагає використання нестандартного клієнта, за замовчуванням слід ставитися до нього як до загрози.
11. Операційна гігієна для криптокоманд
- Спеціалізована машина для роботи з криптовалютами — свіжа версія ОС, апаратний гаманець, мінімум розширень, без електронної пошти та соцмереж.
- Багатопідписне для будь-якої скарбниці, розмір якої перевищує щомісячне спалювання (Safe, Squads тощо).
- Додати адреси для виведення коштів до білого списку на біржах; там, де це можливо, слід встановлювати часові обмеження.
- Резервне оперативне насіння у географічно розподіленому сховищі сталі з розподілом типу «M з N» (метод «Таємного розподілу Шаміра»).
- Посібник з реагування на інциденти: заздалегідь визначте, хто кому дзвонить, які гаманці потрібно заблокувати, де зберігаються журнали аудиту. Перша година після порушення безпеки має вирішальне значення.
12. Якщо ви вже стали жертвою хакерської атаки
- Переказати кошти негайно з будь-якого гаманця, який відвідував шкідливий сайт або підписував підозрілу транзакцію. Швидкість важливіша за бездоганний процес.
- Скасувати всі дозволи на використання токенів за адресою revoke.cash з чистого пристрою.
- Відключіть уражений пристрій від усіх мереж; змініть усі облікові дані, до яких було отримано доступ на цьому пристрої; переінсталюйте ОС з чистого носія.
- Збережіть докази: образ диска, історію браузера, хеші транзакцій — це знадобиться вам для складання звіту про інцидент та можливого відновлення даних.
- Звіт подати до @PhishDestroy_bot та зв’яжіться з SEAL 911 щоб отримати професійну допомогу фахівців з питань безпеки в екстрених ситуаціях.
- Ознайомтеся з нашим повним посібником з реагування на інциденти: Критичні дії — що робити після хакерської атаки.
Додаткові ресурси для підвищення рівня безпеки
Бути в курсі подій — це вже половина успіху. Рекомендовані джерела:
- Security Alliance — Шкідливе програмне забезпечення — ґрунтовний аналіз сімейств шкідливих програм, спрямованих проти користувачів криптовалют.
- PhishDestroy — список для знищення — Понад 130 тис. активних фішингових та шахрайських доменів — інтегруйте їх у свою систему DNS, брандмауер або браузер.
- @PhishDestroyAlerts — сповіщення в режимі реального часу про нові шахрайські інфраструктури.
- Анатомія прийому ліквідації — як PhishDestroy руйнує фішингову інфраструктуру.
- Інструменти з відкритим кодом для боротьби з кіберзлочинністю — повний набір інструментів OSINT.
- Розслідування щодо понад 150 підроблених розширень Mozilla — як шкідливі розширення збирають «насіння».
«У PhishDestroy ми прагнемо надати вам інструменти та знання, які допоможуть вам залишатися в безпеці у цифровому світі. Пам’ятайте: ваша пильність — це ваша перша і найкраща лінія захисту».
Захист ваших криптоактивів вимагає постійної уваги та активних заходів. Дотримуючись цих рекомендацій, ви значно зменшите ризик стати жертвою шахраїв і зможете з більшою впевненістю орієнтуватися у світі децентралізованих фінансів.

