Кому пригодится: новичкам и тем, кто уже делает первые покупки/переводы и хочет минимизировать бытовые риски. Ниже — простая система: что настроить в первый день, как не попасть на фишинг, как хранить seed-фразу, как безопасно выводить средства и что делать при ЧП. Без «магии», только процедуры.

Перед началом пройдите базовый «разогрев»: Старт для новичков (про дисциплину и базовые шаги) и Кошельки и хранение. Для терминов см. wiki: управление риском, безопасность мостов.

1. Три кита безопасности: люди, устройства, процессы

Потери чаще происходят не из-за «хака блокчейна», а из-за человеческих ошибок. Держим фокус на трёх вещах:

• Люди: ваши привычки, внимание к деталям, умение сказать «стоп» и перепроверить.
• Устройства: почта/смартфон/ПК — как «двери» в финансы. Их нужно укрепить.
• Процессы: чек-листы, тестовые переводы, учёт операций, регулярная «ревизия».

2. Базовая гигиена: то, что даёт +80% безопасности

2.1 Пароли и менеджер паролей

• Уникальные пароли для почты, биржи, кошельков (минимум 16 символов).
• Хранение — только в менеджере паролей. Никаких «файлов на рабочем столе» и «записок» в телефоне.
• Для особо критичных входов используйте длинные passphrase (несколько слов + символы).

2.2 Двухфакторная аутентификация (2FA)

• Включите TOTP-2FA везде, где это возможно (почта, биржа, кошельки/сервисы). Сохраните резервные коды офлайн.
• SMS-2FA — только запасной вариант. Лучше TOTP-приложение на отдельном устройстве.
• Анти-фишинговый код на CEX (если есть) и белый список адресов вывода — включаем.

2.3 Отдельный «крипто-профиль»

• Создайте отдельного пользователя в системе или профиль браузера «Crypto» без лишних расширений.
• Автообновления ОС/браузера/кошельков — включены. Обновляйтесь регулярно.

3. Seed-фраза и бэкапы: ноль компромиссов

Главное правило: кто владеет seed-фразой — владеет вашими средствами. Поэтому:

• Записывайте seed только вручную: бумага/металл. Фото, сканы, облака — строго запрещены.
• Два бэкапа в разных местах. Не храните рядом с документами/техникой.
• Сделайте тест восстановления на «учебном» кошельке, чтобы понимать процедуру.
• Отмечайте дату/версию бэкапа, чтобы не перепутать старый и новый.

4. Адрес, сеть, memo/tag: почему деньги «пропадают»

• Перед отправкой: сверка сети и адреса (EVM, BTC, TON, Solana и т. п.). Неверная сеть часто = невозврат.
• Поля memo/tag обязательны на ряде сетей и депозитов CEX. Если система требует — заполняйте точно.
• Любая крупная отправка — сначала тест $1–5, затем основная сумма.

5. Фишинг и социальная инженерия: как распознать за 10 секунд

• Письмо/сообщение «от поддержки» просит seed/коды/доступ к устройству — это фишинг.
• Ссылки «срочно подтвердить/получить подарок»: домен отличается на одну букву, странные поддомены.
• Просьба «перейти в личку/мессенджер» в P2P-сделке — стоп, работаем только в чате сделки.
• Не устанавливайте «непонятные» расширения/приложения для «ускорения»/«аудита» кошелька.

6. Биржи (CEX): безопасные настройки аккаунта

• 2FA (TOTP) + анти-фишинг код в письмах.
• Белый список адресов для вывода; отключение вывода на 24 ч при смене ключевых настроек.
• Проверяйте историю входов и активные сессии, отключайте лишние.
• API-ключи: включайте только если понимаете, зачем. Минимальные права, отдельный пароль, без вывода.

7. Кошельки: горячий, аппаратный и «корзины»

• Горячий кошелёк — для «операционки»: небольшие суммы, повседневные переводы.
• Аппаратный кошелёк — для «долгосрока»: основные средства, редкий доступ, подтверждения на экране устройства.
• Разделяйте адреса по задачам: «операционный», «долгосрок», «резерв». Ведите метки.

7.1 Разрешения токенов и Revoke

• После тестов в dApp проверяйте список разрешений и отзывайте лишние (revoke).
• Выдавайте минимальные права, избегайте «бесконечных» разрешений.

8. P2P: правила без споров

• Выбирайте контрагента по рейтингу/объёму/возрасту аккаунта/верификации.
• Все действия — только в чате сделки. Мессенджеры — запрет.
• Оплата строго по реквизитам и ФИО, которые указаны в объявлении. «Третьи лица» — нет.
• Релиз из эскроу — только после фактического зачисления по выписке.

9. DeFi и мосты: повышенная зона риска

• Протоколы: проверяйте апгрейдность/админ-ключи, наличие timelock, даты/качество аудитов, источники ликвидности.
• Мосты: всегда начинайте с микро-перевода; читайте репозиторий/документацию. Надпись «Do not use in production!!» — стоп.
• Иногда вывод через CEX и перевод в целевую сеть дешевле и безопаснее суммарно.

10. Приватность и публичные адреса

• Публичные адреса «сшиваются» с вашей активностью. Разделяйте адреса по задачам.
• Не публикуйте «долгосрочные» адреса. Следите за «круговыми» переводами.
• Для платежей третьим лицам используйте отдельные одноразовые адреса.

11. Еженедельная «ревизия» (5 минут)

• Проверка балансов и последних транзакций на всех кошельках/биржах.
• Revoke лишних разрешений токенов.
• Сверка таблицы учёта: дата/время МСК, комиссии, txid, комментарии.
• Проверка бэкапов: всё ли на месте, не перепутаны ли версии.

12. Безопасный перевод: канонический сценарий

1. Сверить сеть/адрес/мемо. Если сомневаетесь — остановитесь.
2. Сделать тестовый перевод $1–5 и найти его в блок-эксплорере.
3. Сделать основной перевод, оставив запас на комиссии.
4. Зафиксировать операцию в учёте (дата/время МСК, комиссия, txid, комментарий).

13. Учёт операций: почему это «секретное оружие»

Учёт дисциплинирует и спасает в спорах с поддержкой/контрагентами. Держим шаблон:

• Дата/время (МСК), операция, площадка/сеть.
• Актив, сумма, комиссия (разбивка), курс/спред (если есть).
• Txid/чек/скрин, ссылка на эксплорер.
• Комментарий (зачем делали и что улучшить).

14. Аварийный план: что делать при ЧП

14.1 Потеряли телефон/ПК с горячим кошельком

• Если есть доступ к seed — переведите средства на резервный/аппаратный адрес (сначала микро-тест).
• Сделайте revoke лишних разрешений, обновите пароли/2FA, проверьте устройства.

14.2 Потеряли/украли аппаратный кошелёк

• Если seed в безопасности — восстановите на новом устройстве и при необходимости перенесите средства.
• Если seed мог утечь — немедленно создайте новый кошелёк и мигрируйте частями.

14.3 Подозрение на утечку seed

• Считайте адреса скомпрометированными. Создайте новый кошелёк, переведите средства (микро-тест → основная сумма).
• Пересмотрите привычки: никаких фото/облаков, новые бэкапы в новых местах.

15. Семейный доступ и наследование

• Минимум: памятка «где искать» бэкапы и при каких условиях ими можно пользоваться.
• Продвинуто: мультисиг/пароль-фраза/хранение в разных юрисдикциях (если релевантно).
• Юридические аспекты зависят от страны. Действуйте в правовом поле вашей юрисдикции.

16. Частые ошибки и как их избежать

• Хранить seed в облаке/галерее — запрет.
• Отправлять «всё и сразу» — всегда сначала тестовый перевод.
• Выдавать бесконечные разрешения всем подряд — делайте revoke.
• Игнорировать memo/tag — внимательно читайте форму отправки/депозита.
• Доверять «поддержке» в личке — общайтесь только с официальными каналами.

17. План на неделю: внедрить без стресса

• День 1 
  Менеджер паролей, уникальные пароли, TOTP-2FA. Отдельный профиль «Crypto».
• День 2 
  Проверка кошелька: запись seed, второй бэкап, тест восстановления.
• День 3 
  Тестовый перевод $1–5, запись в журнал операций.
• День 4 
  Revoke лишних разрешений, белый список адресов на CEX.
• День 5 
  Памятка для семьи и черновик аварийного плана.
• День 6–7 
  Ревизия, подведение итогов, корректировки по чек-листам.

18. Итоговый чек-лист (распечатать)

• 2FA включена, пароли в менеджере.
• Seed: 2 офлайн-копии, проверено восстановление.
• Крупные переводы: тест $1–5 → основная сумма.
• Сеть/адрес/мемо сверены перед отправкой.
• Revoke после экспериментов с dApp.
• Белый список адресов на CEX включён.
• Еженедельно — «ревизия» и обновление журнала операций.

См. также

• Старт для новичков
• Кошельки и хранение
• Как купить и вывести криптовалюту
• DeFi и мосты

Источники и фактчек

• Официальные руководства кошельков/бирж: 2FA, анти-фишинг, белые списки адресов, выводы и memo/tag.
• Документация сетей и блок-эксплореров: форматы адресов, подтверждения и комиссии.
• Материалы по управлению риском и лучшим практикам OPSEC; см. wiki /wiki/terms/risk_management и /wiki/security/bridge_security.

Обновлено: 19.09.2025. Первая полноценная версия: добавлены чек-листы, сценарии безопасных переводов, аварийный план и «неделя внедрения».