Фишинг — это обманные практики, нацеленные на кражу ваших ключей, seed-фраз, токенов или прав на списание средств через подделку интерфейсов и сообщений. В крипте фишинг часто маскируется под «аэрдроп», поддержку биржи, популярный dApp или кошелёк. Цель статьи — дать понятные признаки атак и набор практик, которые реально снижают риск.
Базовые моменты
Цель атакующего. Получить вашу seed-фразу, приватный ключ, заставить подписать опасный approve/permit или перевести средства на адрес злоумышленника.
Где встречается. Поддельные сайты и расширения, «служба поддержки» в мессенджерах, фейковые анонсы аэрдропов, скам-боты «WalletConnect», фальшивые NFT-маркеты.
Механика. Социальная инженерия + техническая уловка: подмена домена, внезапный «аудит безопасности», «срочная разблокировка аккаунта», «мост нужно пересоздать — подпишите».
Модель хранения. При self-custody ключ защищён устройством, но ошибка подписи губительна; при хранении на бирже добавляется контрагентский риск (см. сравнение).
Типичные сценарии атак
| Вектор | Пример | Как защититься |
|---|---|---|
| Поддельный сайт (typosquat) | app-uniswap[.]io вместо легитимного | Букмаркируйте официальные URL; проверяйте сертификат/домен |
| Фейковый WalletConnect/подпись | «Подтвердите авторизацию», а внутри — permit на списание | Читайте, что подписываете; проверяйте адрес spender и лимит на экране устройства |
| Скам-аэрдроп/NFT-дроп | На кошелёк прилетают токены с линком «получить приз» | Игнорируйте такие токены; не переходите по ссылкам из метаданных |
| Поддельная поддержка | «Мы заметили подозрительный вход, пришлите seed/скрин» | Поддержка никогда не просит seed; общайтесь только через официальный сайт |
| Вредоносное расширение | «Апдейтер кошелька» из магазина, но от другого издателя | Скачивайте кошельки с официальных доменов; проверяйте издателя |
| «Approve на максимум» | DEX просит бесконечный лимит для редкого токена | Выдавайте минимальный лимит; после операции обнуляйте allowance (см. Approvals) |
| Фишинг в бриджах | Линк на «официальный мост» с фальшивым UI | Переходите к мостам из документации/официальных порталов; лимитируйте суммы (см. безопасность мостов) |
Признаки фишинга
Домен отличается одной буквой/символом, редиректы на странные URL.
Спешка/ультиматум: «аккаунт будет удалён через 30 минут».
Просьба «для верификации» отправить seed-фразу, приватный ключ, одноразовый код 2FA или «скрин сид-фразы».
Подпись «на авторизацию», которая на деле даёт право списывать токены (в тексте — permit, setApprovalForAll, огромные лимиты).
Расширение кошелька просит «дополнительные системные разрешения» без объяснения.
Практика / чек-лист
Всегда проверяйте адреса на экране устройства. Подтверждение перевода/свайпа — только после сверки суммы, сети и адреса на экране аппаратного кошелька.
Минимизируйте разрешения. Выдавайте ровно под операцию, затем ревокуйте. Регулярно проходите аудит allowance (см. Approvals).
Разделяйте кошельки. Отдельный «рабочий» для dApp и отдельный «резервный» для хранения.
Букмаркируйте официальные ссылки. DEX, мосты, NFT-маркеты — только по сохранённым закладкам/из документации проектов.
2FA и вайтлисты на биржах. Включите 2FA, лимиты на вывод, белые списки адресов (см. биржи).
Игнорируйте «подарочные» токены. Никогда не взаимодействуйте с непрошенными токенами, ведущими на сайт «для клейма».
Не сообщайте seed-фразу. Никому и никогда. Seed — это ключ к ключу (см. Seed-фраза).
Тестовый транш. Перед крупной суммой — маленькая пробная отправка, затем основная.
Обновления — только с оф. источников. Кошельки/драйверы — с официальных доменов и репозиториев.
Действия при инциденте
Срочно выводите остаток на новый адрес, созданный на чистом устройстве/кошельке (желательно аппаратном).
Отзовите разрешения (allowances) токенов для подозрительных spender’ов.
Смените пароли и revoke сессии в биржевых/сервисных аккаунтах; включите/обновите 2FA.
Проверьте устройства на вредоносное ПО; переустановите расширения из официальных магазинов.
Задокументируйте адреса злоумышленника. Это поможет поддержке площадок и, при необходимости, правоохранителям.
Пересоберите операционную схему. Разделение кошельков, лимиты, новые правила approvals.
Частые вопросы (FAQ)
Может ли сайт узнать мой приватный ключ при «подключении кошелька»? Нет. Опасность не в подключении, а в транзакциях approve/permit и в поддельных подписях. Как понять, что подпись безопасна? Читайте поля в кошельке: адрес spender, лимит, chainId, дедлайн. Подписывайте только на устройстве, сверяя экран. Если мне «накинули» неизвестные токены — это опасно? Да: их цель — заманить на сайт «клейма». Просто игнорируйте/скройте из интерфейса. Безопасен ли «бесконечный approve»? Удобен, но рискован. Лучше разовый лимит и регулярный отзыв. См. Approvals. Чем помогает аппаратный кошелёк? Защищает приватный ключ и показывает реквизиты на своём экране; ошибки подтверждения остаются вашей ответственностью (см. Аппаратный кошелёк).
Вывод
Фишинг эксплуатирует спешку и невнимательность. Лучшие защиты — букмарки официальных URL, минимальные approvals, подтверждение на устройстве, разделение кошельков и «тестовый транш». Если сомневаетесь — не подписывайте и не подключайтесь.