Основные тезисы:
- В первой половине 2025 года было украдено более 2,4 миллиарда долларов, что уже превысило показатели всего 2024 года.
- Обычные уловки, такие как фишинг, вредоносные подтверждения и поддельные «службы поддержки», наносят больше ущерба, чем сложные эксплойты.
- Надежная двухфакторная аутентификация (2FA), внимательное подписывание транзакций, разделение горячих и холодных кошельков, а также чистые устройства значительно снижают риски.
- Наличие плана восстановления — с инструментами отзыва, контактами службы поддержки и порталами для сообщений об инцидентах — может превратить ошибку в досадную неприятность, а не в катастрофу.
Взломы в криптомире продолжают расти. Только в первой половине 2025 года компании по кибербезопасности зафиксировали кражу более чем на 2,4 миллиарда долларов в результате более 300 инцидентов, что уже превысило общую сумму краж за весь 2024 год.
Один крупный взлом, кража с Bybit, приписываемая северокорейским группировкам, завысил цифры, но не стоит сосредотачиваться только на нем.
Большинство ежедневных потерь по-прежнему происходят из-за простых уловок: фишинговых ссылок, вредоносных подтверждений кошельков, подмены SIM-карт и поддельных учетных записей «службы поддержки».
Хорошая новость: вам не обязательно быть экспертом по кибербезопасности, чтобы повысить свою безопасность. Несколько основных привычек (которые можно настроить за считанные минуты) могут значительно снизить ваши риски.
Вот семь наиболее важных моментов в 2025 году.
1. Откажитесь от SMS: Используйте 2FA, устойчивую к фишингу, везде
Если вы по-прежнему полагаетесь на SMS-коды для защиты своих учетных записей, вы подвергаете себя опасности.
Атаки с подменой SIM-карт остаются одним из самых распространенных способов кражи средств, и правоохранительные органы продолжают изымать миллионы долларов, связанных с ними.
Более безопасным решением является двухфакторная аутентификация (2FA), устойчивая к фишингу (например, аппаратные ключи безопасности или платформенные passkeys).
Начните с защиты наиболее важных учетных записей: электронной почты, бирж и менеджера паролей.
Агентства кибербезопасности США, такие как Cybersecurity and Infrastructure Security Agency, подчеркивают это, поскольку это блокирует фишинговые уловки и мошенничества с «усталостью от push-уведомлений», обходящие более слабые формы многофакторной аутентификации (MFA).
Сочетайте это с длинными, уникальными парольными фразами (длина важнее сложности), храните резервные коды в автономном режиме, на биржах и включите allowlists для снятия средств, чтобы средства могли перемещаться только на контролируемые вами адреса.
Знаете ли вы? Атаки фишинга, направленные на пользователей криптовалют, выросли на 40% в первой половине 2025 года, причем поддельные биржевые сайты являются основным вектором атаки.
2. Соблюдайте правила подписания транзакций: Остановите drainers и вредоносные подтверждения
Большинство людей теряют средства не из-за передовых эксплойтов, а из-за одной неудачной подписи.
Drainers заставляют вас предоставить неограниченные разрешения или одобрить обманчивые транзакции. После подписания они могут неоднократно выкачивать ваши средства без повторного запроса.
Лучшая защита — замедлиться: внимательно читайте каждый запрос подписи, особенно когда видите «setApprovalForAll», «Permit/Permit2» или неограниченное «approve».
Если вы экспериментируете с новыми децентрализованными приложениями (DApps), используйте burner-кошелек для minting или рискованных взаимодействий и храните свои основные активы в отдельном хранилище. Периодически отзывайте неиспользуемые подтверждения с помощью таких инструментов, как Revoke.cash — это просто и стоит небольших затрат на газ.
Исследователи уже отслеживают резкий рост краж, вызванных drainers, особенно на мобильных устройствах. Хорошие привычки подписания транзакций прерывают эту цепочку в самом начале.
3. Разделение горячих и холодных кошельков: Отделите расходы от сбережений
Представьте кошельки как банковские счета.
- Горячий кошелек — это ваш расчетный счет — подходит для расходов и взаимодействия с приложениями.
- Аппаратный или мультисиг-кошелек — это ваше хранилище — предназначен для долгосрочного, безопасного хранения.
Хранение ваших приватных ключей в автономном режиме устраняет практически все риски, связанные с вредоносным программным обеспечением и вредоносными веб-сайтами.
Для долгосрочных сбережений запишите свою seed-фразу на бумаге или стали: Никогда не храните ее на телефоне, компьютере или в облачном сервисе.
Протестируйте свою систему восстановления с небольшой суммой, прежде чем переводить крупные средства. Если вы уверены в управлении дополнительной безопасностью, рассмотрите возможность добавления BIP-39 passphrase, но помните, что потеря ее означает безвозвратную потерю доступа.
Для больших сумм или общих казначейств мультисиг-кошельки могут требовать подписи от двух или трех отдельных устройств перед утверждением любой транзакции, что делает кражу или несанкционированный доступ гораздо более сложным.
Знаете ли вы? В 2024 году компрометация приватных ключей составляла 43,8% всех украденных криптовалютных средств.
4. Чистота устройств и браузеров
Настройка ваших устройств так же важна, как и настройка вашего кошелька.
Обновления исправляют эксплойты, на которые полагаются злоумышленники, поэтому включите автоматические обновления операционной системы, браузера и приложений кошелька и перезагружайте систему при необходимости.
Сведите к минимуму количество расширений браузера — несколько крупных краж произошли в результате взломанных или вредоносных дополнений. Использование выделенного браузера или профиля только для криптовалюты помогает предотвратить утечку файлов cookie, сеансов и учетных данных при обычном просмотре.
Пользователи аппаратных кошельков должны по умолчанию отключать слепую подпись: это скрывает детали транзакции и подвергает вас ненужному риску, если вас обманом заставят подписать транзакцию.
По возможности выполняйте конфиденциальные действия на чистом рабочем столе, а не на телефоне, заполненном приложениями. Стремитесь к минимальной, обновленной настройке с как можно меньшим количеством потенциальных точек атаки.
5. Проверяйте перед отправкой: Адреса, сети, контракты
Самый простой способ потерять криптовалюту — отправить ее не по адресу. Всегда дважды проверяйте как адрес получателя, так и сеть перед нажатием кнопки «Отправить».
Для первых переводов сделайте небольшую тестовую транзакцию (дополнительная комиссия стоит душевного спокойствия). При работе с токенами или невзаимозаменяемыми токенами (NFT) убедитесь, что у вас правильный контракт, проверив официальный сайт проекта, авторитетные агрегаторы, такие как CoinGecko, и обозреватели, такие как Etherscan.
Ищите проверенные коды или значки владения, прежде чем взаимодействовать с любым контрактом. Никогда не вводите адрес кошелька вручную — всегда копируйте и вставляйте его, а также подтверждайте первый и последний символы, чтобы избежать подмены в буфере обмена. Избегайте копирования адресов непосредственно из истории транзакций, поскольку dusting attacks или подделанные записи могут заставить вас повторно использовать скомпрометированный адрес.
Будьте особенно осторожны с веб-сайтами, предлагающими «забрать airdrop», особенно если они запрашивают необычные подтверждения или действия в разных сетях. Если вам что-то кажется подозрительным, остановитесь и проверьте ссылку через официальные каналы проекта. И если вы уже предоставили подозрительные подтверждения, немедленно отзовите их, прежде чем продолжить.
6. Защита от социальной инженерии: Романтика, «задачи», выдача себя за другого
Самые серьезные крипто-мошенничества редко полагаются на код — они полагаются на людей.
Романтические аферы и схемы «упаковки свиней» строят фальшивые отношения и используют фальшивые панели управления для торговли, чтобы показать выдуманную прибыль, а затем оказывают давление на жертв, чтобы они внесли больше денег или заплатили фальшивые «сборы за выпуск».
Мошенничество с работой часто начинается с дружеских сообщений в WhatsApp или Telegram, предлагающих выполнение небольших задач и выплату небольших сумм, прежде чем превратиться в схемы внесения депозита. Выдаватели себя за «сотрудников службы поддержки» могут затем попытаться поделиться вашим экраном или заставить вас раскрыть свою seed-фразу.
Признак всегда один и тот же: настоящая поддержка никогда не будет запрашивать ваши приватные ключи, перенаправлять вас на похожий сайт или просить оплату через банкоматы Bitcoin или подарочные карты. Как только вы заметите эти красные флаги, немедленно прекратите общение.
Знаете ли вы? Количество депозитов в схемы «упаковки свиней» выросло примерно на 210% год за годом в 2024 году, даже несмотря на то, что средняя сумма на депозит снизилась.
7. Готовность к восстановлению: Сделайте ошибки управляемыми
Даже самые осторожные люди совершают ошибки. Разница между катастрофой и восстановлением — это подготовка.
Храните короткую офлайн-карточку «разбить стекло» с вашими ключевыми ресурсами для восстановления: проверенными ссылками на службу поддержки, надежным инструментом отзыва и официальными порталами для сообщений об инцидентах, такими как Федеральная торговая комиссия и Центр киберпреступлений ФБР (IC3).
Если что-то пошло не так, включите хэши транзакций, адреса кошельков, суммы, временные метки и скриншоты в свой отчет. Следователи часто связывают несколько случаев, используя эти общие детали.
Вы можете и не вернуть средства сразу, но наличие плана превращает полную потерю в управляемую ошибку.
Если произойдет худшее: Что делать дальше
Если вы перешли по вредоносной ссылке или отправили средства по ошибке, действуйте быстро. Переведите все оставшиеся средства в новый кошелек, который вы полностью контролируете, а затем отзовите старые разрешения с помощью надежных инструментов, таких как Token Approval Checker от Etherscan или Revoke.cash.
Измените свои пароли, включите двухфакторную аутентификацию, устойчивую к фишингу, выйдите из всех остальных сеансов и проверьте настройки электронной почты на наличие правил пересылки или фильтрации, которые вы не создавали.
Затем эскалируйте проблему: свяжитесь со своей биржей, чтобы указать адреса назначения, и подайте отчет в IC3 или ваш местный регулирующий орган. Включите хэши транзакций, адреса кошельков, временные метки и скриншоты — эти детали помогают следователям связать случаи, даже если восстановление займет время.
Основной урок прост: Семь привычек (надежная MFA, тщательное подписывание, разделение горячих и холодных кошельков, поддержание чистоты устройств, проверка перед отправкой, внимательность к социальной инженерии и наличие плана восстановления) блокируют большинство повседневных угроз в криптомире.
Начните с малого: улучшите свою 2FA и усовершенствуйте свои привычки подписывания транзакций сегодня, а затем развивайтесь дальше. Небольшая подготовка сейчас может уберечь вас от катастрофических потерь в 2025 году.
В этой статье не содержится инвестиционных советов или рекомендаций. Каждая инвестиция и торговая операция сопряжена с риском, и читатели должны проводить собственные исследования, принимая решение.
