← NFT: что такое невзаимозаме…Web3 и будущее: трезвый взг… →

Скам и безопасность: как не потерять всё

Блокчейн взломать почти невозможно — зато людей обмануть легко. Большинство краж происходит из-за невнимательности владельца, а не дыр в технологии.

«Мошенники не ломают математику блокчейна. Они ломают тебя — спешку, жадность и доверчивость.»

Это, возможно, самый важный урок курса. Сам блокчейн надёжен, но вокруг него крутится индустрия обмана. По исследованиям, основная доля потерянных средств уходит не из-за взлома сети, а из-за фишинга, социальной инженерии и опасных разрешений. Разберём, как не стать жертвой.

Главные схемы обмана

  • Фишинг — поддельные сайты и письма, выманивающие сид-фразу или приватный ключ.
  • Опасные разрешения (approvals) — ты разрешаешь контракту тратить твои токены, а он опустошает кошелёк.
  • Раздачи и удвоения — «пришли 1 монету и получи 2 обратно». Это всегда обман.
  • Rug pull — авторы проекта собирают деньги и исчезают, обнулив токен.
  • Фейковая поддержка — «сотрудник» в личке просит сид-фразу «для восстановления».

Как работает под капотом

Особенно коварны разрешения. Чтобы DeFi-приложение работало с твоими токенами, ты подписываешь approval — разрешение тратить их. Вредоносный контракт может попросить неограниченное разрешение и потом вывести всё. Поэтому важно проверять и отзывать ненужные разрешения.

        Атака через approval

   1. Сайт просит: 'разреши тратить твои токены'
   2. Ты подписываешь approval (часто без лимита)
   3. Контракт вызывает transferFrom(твой_адрес, ...)
      -> выводит ВСЕ токены на адрес мошенника

   Защита: давай минимальные лимиты и регулярно
   отзывай (revoke) ненужные разрешения.

Смоделируем простой «детектор риска»: проверим транзакцию по красным флагам перед подписанием.

Попробуй сам ▶ Запусти код прямо здесь — он работает в браузере:

# Учебный 'детектор подозрительных запросов'
def check_request(req):
    flags = []
    if req.get('asks_seed_phrase'):
        flags.append('ПРОСЯТ СИД-ФРАЗУ — это всегда скам')
    if req.get('approval_unlimited'):
        flags.append('неограниченное разрешение на токены')
    if req.get('promises_free_money'):
        flags.append('обещают бесплатные деньги/удвоение')
    if req.get('urgent'):
        flags.append('давят срочностью — типичный приём')
    return flags

requests = [
    {'name': 'Раздача токенов', 'promises_free_money': True, 'urgent': True},
    {'name': 'Поддержка биржи', 'asks_seed_phrase': True},
    {'name': 'Обмен на DEX', 'approval_unlimited': True},
]
for r in requests:
    flags = check_request(r)
    print(r['name'], '->', 'ОПАСНО:' if flags else 'ок')
    for f in flags:
        print('   -', f)

Золотые правила безопасности

  1. Никогда и никому не сообщай сид-фразу и приватный ключ.
  2. Настоящая поддержка никогда не спрашивает сид-фразу.
  3. Проверяй адрес сайта по буквам — фишинговые копии отличаются на один символ.
  4. Бесплатных раздач и гарантированных удвоений не бывает.
  5. Регулярно отзывай ненужные разрешения; используй отдельный кошелёк для рискованных операций.
  6. Не спеши: давление срочностью — любимый приём мошенников.

Частые заблуждения

  • «Если блокчейн безопасен, то и я в безопасности». Нет: защищена сеть, но не твоя внимательность и не код приложений.
  • «Транзакцию можно отменить, если что». Нельзя: переводы необратимы, поэтому проверять надо до подписи.
  • «Меня не обманут, я осторожен». Современный фишинг очень убедителен и использует ИИ; уверенность тут опасна.

Важно понимать (риски)

Запомни главное: в крипте нет банка, который вернёт деньги, и нет кнопки отмены. Если ты подписал вредоносную транзакцию или выдал сид-фразу, средства уйдут безвозвратно. Поэтому в этом мире цена невнимательности максимальна. Лучшая защита — здоровый скепсис: останавливайся и перепроверяй каждый запрос, особенно если он сулит лёгкую выгоду или давит срочностью.

Разбор: анатомия типичной атаки на новичка

Чтобы правила безопасности стали не абстракцией, а рефлексом, разберём по шагам, как обычно разводят новичка. Сначала жертве показывают приманку: «эксклюзивная раздача токенов», «ваш кошелёк выбран для бонуса», «срочно подтвердите аккаунт». Приманка всегда бьёт в одно из двух — в жадность или в страх что-то потерять. Дальше создаётся ощущение срочности: «осталось 10 минут», «только сегодня» — чтобы человек действовал на эмоциях, не успев подумать.

Затем идёт сам захват. Жертву ведут на сайт, неотличимый от настоящего, где просят либо ввести сид-фразу (и тогда кошелёк сразу опустошают), либо подписать «безобидную» транзакцию, которая на деле выдаёт мошеннику неограниченное право тратить токены. Заметь: на каждом шаге работает не взлом, а психология. Лучшая защита — узнавать этот сценарий и обрывать его в самом начале. Любая срочность, любое обещание лёгкой выгоды, любая просьба о сид-фразе — это сигнал немедленно остановиться. В крипте право на паузу и перепроверку стоит больше любого пароля.

Итоги

  • Большинство краж — это обман людей, а не взлом блокчейна.
  • Главные угрозы: фишинг, опасные разрешения, фейковые раздачи и поддержка, rug pull.
  • Сид-фразу нельзя сообщать никому; настоящая поддержка её не спрашивает.
  • Транзакции необратимы — проверяй всё до подписи и не поддавайся спешке.
Проверьте себя
1. Откуда чаще всего происходят потери средств в крипте?
AИз-за взлома самого блокчейна
BИз-за фишинга, обмана и опасных разрешений
CИз-за сбоев интернета
DИз-за высоких комиссий
2. Что делать, если «поддержка» просит вашу сид-фразу?
AОтправить, чтобы решить проблему
BНикогда не отправлять — настоящая поддержка её не спрашивает
CОтправить только половину слов
DСначала сменить пароль