Автор Chao Cheng Zedong тема Новости

Защита от кибератак в криптовалюте: 7 шагов к безопасности

Защита от кибератак в криптовалюте: 7 шагов к безопасности

Основные выводы:

  • В первой половине 2025 года было похищено более $2,4 млрд, что уже превысило сумму за весь 2024 год.
  • Повседневные ловушки, такие как фишинг, токсичные одобрения и фальшивая "поддержка", наносят больше вреда, чем сложные эксплойты.
  • Сильная двухфакторная аутентификация, осторожное подтверждение, разделение горячего и холодного кошельков и чистые устройства значительно снижают риск.
  • Наличие плана восстановления — с инструментами для аннулирования, контактами поддержки и порталами для отчетности — может превратить ошибку в неудачу вместо катастрофы.

Кибератаки на криптовалюты продолжают увеличиваться. В первой половине 2025 года, по данным охранных компаний, было украдено более $2,4 млрд в более чем 300 инцидентах, что уже превышает потери за 2024 год.

Одно из крупных нарушений, кража Bybit, приписывается северокорейским группам, что увеличило цифры, но это не должно отвлекать внимание от других угроз.

Cryptocurrencies, Hackers, Markets, Cryptocurrency Exchange, Scams, Hacks, DEX, How to

Большинство повседневных потерь все еще происходит из-за простых ловушек: фишинговых ссылок, вредоносных одобрений кошельков, атак с заменой SIM-карт и фальшивых аккаунтов "поддержки".

Хорошая новость: не нужно быть экспертом по кибербезопасности, чтобы повысить свою защиту. Несколько базовых привычек (которые можно настроить за считанные минуты) могут значительно снизить ваш риск.

Ниже приведено семь наиболее важных мер на 2025 год.

1. Откажитесь от SMS: Используйте устойчивые к фишингу 2FA везде

Если вы все еще используете SMS-коды для защиты своих аккаунтов, вы оставляете себя уязвимым.

Атаки с заменой SIM-карт остаются одним из наиболее распространенных способов, которые преступники используют для опустошения кошельков, и прокуроры продолжают изымать миллионы, связанные с ними.

Более безопасный шаг — это устойчивые к фишингу двухфакторная аутентификация (2FA) (например, аппаратные ключи безопасности или платформенные ключи доступа).

Начните с защиты ваших самых критически важных логинов: электронной почты, бирж и вашего менеджера паролей.

Американские агентства по кибербезопасности, такие как Агентство по кибербезопасности и безопасности инфраструктуры, подчеркивают это, так как это блокирует фишинговые действия и обманные схемы "усталости от уведомлений", которые обходят более слабые формы многофакторной аутентификации (MFA).

Совместите это с длинными, уникальными паролями (длина важнее сложности), храните резервные коды оффлайн и на биржах, и включите списки допустимых адресов для вывода средств, чтобы средства могли перемещаться только на адреса, которые вы контролируете.

Знали ли вы? Атаки с использованием фишинга, направленные на пользователей криптовалют, увеличились на 40% в первой половине 2025 года, причем поддельные биржевые сайты стали основным вектором атаки.

2. Гигиена подписей: Избегайте опустошителей и токсичных одобрений

Большинство людей теряют средства не из-за передовых эксплойтов, а из-за единственной неверной подписи.

Опустошители кошельков обманывают вас, вынуждая предоставить неограниченные права или одобрить обманные транзакции. Как только вы подписываете, они могут неоднократно опустошать ваши средства без повторного запроса разрешения.

Лучшая защита — это замедлить процесс: тщательно читайте каждый запрос подписи, особенно когда видите "setApprovalForAll", "Permit/Permit2" или неограниченное "approve".

Если вы экспериментируете с новыми децентрализованными приложениями (DApps), используйте временный кошелек для чеканки токенов или рискованных взаимодействий и храните основные активы в отдельном хранилище. Периодически аннулируйте неиспользуемые разрешения с помощью таких инструментов, как Revoke.cash — это просто и стоит небольших затрат на газ.

Исследователи уже отслеживают резкий рост краж, обусловленных опустошителями, особенно на мобильных устройствах. Хорошие привычки подписания прерывают эту цепочку на корню.

3. Горячие vs холодные кошельки: Разделяйте траты и сбережения

Думайте о кошельках так же, как о банковских счетах.

  • Горячий кошелек — это ваш расчетный счет, подходящий для трат и взаимодействия с приложениями. 
  • Аппаратный или мультиподписной кошелек — это ваше хранилище, предназначенное для долгосрочного, безопасного хранения.

Хранение ваших закрытых ключей оффлайн устраняет почти все угрозы со стороны вредоносных программ и опасных сайтов.

Для долгосрочных сбережений запишите вашу фразу для восстановления на бумаге или стали: никогда не храните ее на телефоне, компьютере или в облачном сервисе.

Проверьте вашу настройку восстановления с помощью небольшого восстановления, прежде чем переводить значительные суммы. Если вам удобно управлять дополнительной безопасностью, рассмотрите возможность добавления BIP-39 парольной фразы, но помните, что ее потеря приведет к потере доступа навсегда.

Для больших сумм или общих казначейств мультиподписные кошельки могут требовать подписи с двух или трех отдельных устройств, прежде чем транзакция будет одобрена, что делает кражу или несанкционированный доступ гораздо более сложной.

Знали ли вы? В 2024 году компрометация закрытых ключей составила 43,8% от всех украденных средств в криптовалюте.

4. Гигиена устройства и браузера

Настройка вашего устройства так же важна, как и ваш кошелек.

Обновления устраняют именно те уязвимости, которые используют злоумышленники, поэтому включите автоматические обновления для вашей операционной системы, браузера и приложений кошелька и перезагружайте устройство при необходимости.

Сводите к минимуму количество браузерных расширений — несколько громких краж произошли из-за захваченных или вредоносных дополнений. Использование отдельного браузера или профиля только для криптовалюты помогает предотвратить утечку файлов cookie, сессий и логинов в повседневное использование браузера.

Пользователи аппаратных кошельков должны по умолчанию отключать слепую подпись: она скрывает детали транзакции и подвергает вас ненужному риску, если вас обманом вынуждают это сделать.

По возможности, выполняйте чувствительные действия на чистом настольном компьютере вместо телефона, наполненного приложениями. Стремитесь к минимальной, обновленной настройке с как можно меньшим количеством возможных точек атаки.

5. Проверяйте перед отправкой: адреса, сети, контракты

Самый простой способ потерять криптовалюту — отправить ее не туда. Всегда дважды проверяйте как адрес получателя, так и сеть, прежде чем нажать "отправить".

Для первых переводов делайте небольшой тестовый платеж (дополнительная плата стоит того для спокойствия). Когда вы имеете дело с токенами или невзаимозаменяемыми токенами (NFT), убедитесь, что у вас правильный контракт, проверив официальный сайт проекта, на авторитетных агрегаторах, таких как CoinGecko и собственно обозревателях, таких как Etherscan.

Ищите верифицированный код или значки собственника, прежде чем взаимодействовать с каким-либо контрактом. Никогда не вводите адрес кошелька вручную — всегда копируйте и вставляйте его, и подтверждайте первые и последние символы, чтобы избежать подмены текста в буфере обмена. Избегайте копирования адресов напрямую из вашей истории транзакций, так как атаки с пылью или поддельные записи могут обмануть вас, заставляя повторно использовать компрометированный адрес.

Будьте особенно осторожны с сайтами "запроса airdrop", особенно теми, которые запрашивают необычные разрешения или межсетевые действия. Если что-то кажется неправильным, остановитесь и проверьте ссылку через официальные каналы проекта. И если вы уже предоставили сомнительные разрешения, немедленно их отзовите, прежде чем продолжить.

6. Защита от социальной инженерии: романы, "задания", имитация

Крупнейшие криптомошенничества редко зависят от кода — они зависят от людей.

Мошенничества с романтическими отношениями и так называемые "pig-butchering" схемы строят поддельные отношения и используют ложные торговые панели для показа фальшивой прибыли, затем оказывают давление на жертв, заставляя их депонировать больше или оплачивать вымышленные "сборы за освобождение".

Мошенничества с работой часто начинаются с дружеских сообщений в WhatsApp или Telegram, предлагающих микрозадания и небольшие выплаты, прежде чем перейти к депонированию. Имитаторы, выдающие себя за сотрудников "службы поддержки", могут попытаться организовать с вами совместное использование экрана или обмануть вас, заставляя раскрыть вашу фразу для восстановления.

Признаки всегда одни и те же: настоящая поддержка никогда не попросит ваши закрытые ключи, не отправит вас на клонированный сайт или не попросит оплату через банкоматы Bitcoin или подарочные карты. Как только вы заметите эти опасные признаки, немедленно прекратите контакт.

Знали ли вы? Количество депозитов в мошенничестве с pig-butchering увеличилось примерно на 210% год к году в 2024 году, хотя средняя сумма на один вклад снизилась.

7. Готовность к восстановлению: Сделайте ошибки выживаемыми

Даже самые осторожные люди иногда ошибаются. Разница между катастрофой и восстановлением заключается в подготовке.

Держите короткую оффлайн-карту "экстренного доступа" с вашими основными ресурсами для восстановления: проверенные ссылки поддержки бирж, надежный инструмент аннулирования и официальные порталы отчетности, такие как Федеральное торговое комиссии и Центр жалоб на интернет-преступления ФБР (IC3).

Если что-то пойдет не так, включите хэши транзакций, адреса кошельков, суммы, временные метки и снимки экрана в свой отчет. Исследователи часто связывают несколько случаев через эти общие детали.

Вы можете не восстановить средства сразу, но наличие плана превращает полную потерю в управляемую ошибку.

Если произошло худшее: Что делать дальше

Если вы кликнули на вредоносную ссылку или отправили средства по ошибке, действуйте быстро. Переведите оставшиеся активы на новый кошелек, который вы полностью контролируете, затем отзовите старые разрешения с помощью надежных инструментов, таких как Token Approval Checker на Etherscan или Revoke.cash.

Смените пароли, перейдите на фишинг-устойчивую 2FA, выйдите из всех других сессий и проверьте настройки электронной почты на наличие правил пересылки или фильтрации, которые вы не создавали.

Затем увеличьте свои усилия: свяжитесь с вашей биржей, чтобы обозначить адреса назначения, и подайте отчет в IC3 или вашему местному регулятору. Включите хэши транзакций, адреса кошельков, временные метки и снимки экрана; эти детали помогают следователям связать случаи, даже если восстановление требует времени.

Главный урок прост: семь привычек (сильная MFA, осторожная подпись, разделение горячих и холодных кошельков, поддержание чистых устройств, проверка перед отправкой, бдительность по отношению к социальной инженерии и наличие плана восстановления) блокируют большинство повседневных криптоугроз.

Начните с малого: обновите свою 2FA и ужесточите свою гигиену подписей сегодня, затем двигайтесь дальше. Небольшая подготовка сейчас может избавить вас от катастрофических потерь позднее в 2025 году.

Эта статья не содержит инвестиционных советов или рекомендаций. Каждое инвестиционное и торговое решение связано с риском, и читатели должны проводить собственные исследования при принятии решений.