Security Lab

456 % рост криптоскамов: хватит спать спокойно с неподтверждённым кошельком

456 % рост криптоскамов: хватит спать спокойно с неподтверждённым кошельком

Статистика угоняет сон даже у бывалых hodl-еров: за последние 12 месяцев число криптоскамов выросло на 456 %. Причина проста — у мошенников теперь есть ИИ, который рисует поддельные сайты, озвучивает “дядю из техподдержки” и рассылает фишинговые письма быстрее, чем вы успеваете обновить браузер.

При этом привычная мантра «купи аппаратный кошелёк — и спи спокойно» больше не гарантирует спокойствия: хакеры научились вскрывать упаковку, клонировать микроконтроллеры и запечатывать девайс так, что даже Шерлок Холмс не заметил бы подвоха.

Какие кошельки бывают и где болит сильнее

Для начала короткий ликбез. Горячие кошельки (мобильные и десктопные приложения) — это удобно, но они живут там же, где вы читаете мемы, то есть в онлайн-джунглях. Холодные (hardware или бумажные) — словно банковская ячейка: чтобы добраться до ключей, злоумышленнику нужен физический доступ или очень длинные руки. Но даже железо можно подделать. Так что мораль проста: тип кошелька лишь задаёт уровень стартовой боли, но не избавляет от неё.

Красные флаги поддельных software-кошельков

Фейковые приложения — классика жанра. В Google Play регулярно всплывают клоны Trust Wallet, Metamask и других. Новичка берут на простое: похожий логотип, название со словом «crypto» и пару сладких скриншотов. Чтобы не клюнуть:

  • Проверьте разработчика: у оригинального проекта десятки тысяч отзывов и лет истории, у подделки — две звезды от ботов.
  • Скачивайте по ссылке с официального сайта, а не по баннеру «1000 USDT бонус» в Telegram.
  • Если приложение просит ввести seed-фразу «для проверки безопасности» — закрывайте немедленно.

Bitget в июне уже предупреждал: киберпреступники клонируют их мобильный клиент до последнего пикселя.

Аппаратный кошелёк: когда «запечатан» — ещё не значит «цел»

Самая громкая история 2025-го — кража 6,9 млн $ через идеально запаянный Ledger, купленный по рекламе в TikTok. Внутри коробки лежала карта с уже сгенерированной мнемоникой, а чип был перепрошит так, чтобы переадресовать средства злоумышленнику.

Как не попасться:

  1. Покупайте только на официальном сайте ( Ledger , Trezor ) или у сертифицированного реселлера. Слова «скидка 30 %» и «доставим завтра» — сигнал включить паранойю.
  2. Проверьте голограмму и целостность пломбы. Если она наклеена под кривым углом или «уже надрезана для вашего удобства» — бегите.
  3. Всегда обновляйте прошивку через официальное приложение.
  4. Генерируйте seed-фразу только на экране устройства, никогда — на бумажке, вложенной в коробку.

Цифровые подписи и хэши: скучный, но необходимый роман

Если скачиваете настольный кошелёк (например, Electrum ), не поленитесь проверить PGP-подпись разработчика и SHA-256 хэш. Это звучит как урок криптографии, но занимает пару минут: скачали .asc-файл, импортировали ключ, запустили gpg --verify. Нет совпадения — нет установки. Всё. Ваши нервы сберегут больше энергии, чем майнит весь Ethereum-стейкинг.

Фишинг нового поколения: deepfake «служба поддержки»

Мошенники крадут не только интерфейсы, но и голоса. Deepfake-чатбот от «Coinbase Support» может позвонить и убедительно попросить «подтвердить код из SMS». Если в ответ вы диктуете цифры — считайте, что открыли люк без страховки. Схемы маскируются под рассылки Trezor и даже под «безопасностные апдейты» от Google.

Где искать правду, пока интернет ломится от копий

  • Сайт разработчика. Добавьте в закладки официальный домен и используйте только его.
  • Сообщество GitHub / Discord. Настоящие проекты ведут активные репозитории и объявляют релизы публично.
  • Блокчейн-эксплореры. Прежде чем отправлять крупную сумму, проверьте адрес на Etherscan — может, он уже помечен как Fake_Phishing_Wallet.
  • SlowMist AML и Chainalysis KYT. Эти сервисы позволяют в два клика проверить контрагента на связь с известными взломами.

Экспресс-чеклист перед «Send»

  1. Скачал ли я софт по прямой ссылке с официального сайта?
  2. Сверил ли хэш или подпись?
  3. Попросил ли кто-нибудь мой seed (если да — это фейк)?
  4. Забэкапил ли я мнемонику офлайн и в двух местах?
  5. Проверил ли адрес получения на маленькой тестовой сумме?

Если всё-таки попали на фейк

Действовать надо быстрее, чем в «Нужен ли мне холодный кошелёк?». Сразу блокируйте устройство, сообщайте бирже и подавайте жалобу в правоохранительные органы (да, даже если «крипта — вне регулирования»). Чем быстрее вы запустите on-chain-трекер, тем выше шанс, что средства успеют заморозить.

Финальный аккорд: скепсис — лучший антивирус

Запомните простое правило: если кошелёк выглядит слишком «выгодным» или «удобным», сначала спросите себя, не слишком ли он похож на дешёвую реплику Rolex на пляже. В криптомире любая паранойя со временем окупается.

Удачи в блокчейне, и пусть у ваших приватных ключей всегда будет надёжная крыша!

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Красная или синяя таблетка?

В Матрице безопасности выбор очевиден.

Выберите реальность — подпишитесь.

article-title

Юрий Кочетов

Здесь я делюсь своими не самыми полезными, но крайне забавными мыслями о том, как устроен этот мир. Если вы устали от скучных советов и правильных решений, то вам точно сюда.