Фишинг, фейки и трояны: как на самом деле крадут криптокошельки

от

«Многие думают, что криптокошелек потерять — всё равно что потерять ключ от сейфа: физически и навсегда. Но большая часть краж происходит не из-за забывчивости, а через системные слабости, о которых сами пользователи не подозревают. Это не просто история о «слитых сидах», это история о доверии к интерфейсам, о паразитирующих экосистемах браузерных расширений и о том, как мошенники используют сами принципы децентрализации против пользователей.»

Семя и приватный ключ: где хранится реальный контроль

Перед разбором схем нужно понять объект атаки. Криптокошелёк, это не файл с деньгами, а пара ключей: публичный (адрес для получения) и приватный (подпись для отправки). Главная уязвимость — способ восстановления: мнемоническая фраза (seed phrase), обычно 12 или 24 слова. Кто владеет сид-фразой, тот получает абсолютный контроль над всеми адресами, порождёнными этим семенем, независимо от того, в каком кошельке оно было изначально введено. Именно эта особенность — возможность импорта одного семени в разные программы — становится и удобством, и главной дырой.

Основные векторы атаки

Кражи можно условно разделить по точке приложения усилий злоумышленника: манипуляция с устройством пользователя, подмена легитимного ПО и социальная инженерия.

1. Компрометация устройства

Классический путь — через вредоносное ПО. Сюда входят:

  • Кейлоггеры и скриншотеры. Трояны, которые отслеживают ввод с клавиатуры или делают снимки экрана в момент ввода сид-фразы или приватного ключа. Особенно эффективны против пользователей, которые хранят сиды в текстовых файлах или в облачных заметках.
  • Менеджеры буфера обмена. Вредонос, который постоянно мониторит буфер обмена и подменяет криптоадреса при копировании. Вы копируете свой адрес для получения платежа, но в буфер попадает адрес злоумышленника. Вы отправляете средства на «свой» адрес и теряете их.
  • Заражённые билды легитимного ПО. Пользователь скачивает кошелёк не с официального сайта, а со стороннего ресурса или форума, где выложена сборка с уже вшитым сборщиком ключей.

2. Поддельные кошельки и расширения

Это самый массовый метод в 2023-2024 годах. Механика проста: в официальных магазинах приложений (Chrome Web Store, магазины расширений для браузеров) публикуется клон популярного кошелька — MetaMask, Phantom, Trust Wallet. Дизайн и интерфейс один в один, часто даже есть положительные отзывы (купленные или накрученные).

Пользователь устанавливает подделку, создаёт новый кошелёк или, что хуже, импортирует существующий, вводя свою сид-фразу. Расширение моментально отправляет сид-фразу или приватный ключ на сервер злоумышленника. Средства выводятся в течение минут или часов, часто ночью по времени жертвы.

Сложность в том, что магазины расширений не проводят глубокий аудит безопасности. Мошенники часто используют динамические домены для отправки данных, что усложняет блокировку.

3. Фишинг и социальная инженерия

Здесь цель — заставить пользователя добровольно передать доступ. Схемы постоянно эволюционируют:

  • Фишинговые сайты. Домен, похожий на сайт популярного кошелька, DEX (децентрализованной биржи) или NFT-маркетплейса. Пользователь вводит данные от своего кошелька для «подключения» или «подтверждения транзакции».
  • Поддельные службы поддержки. В Telegram-чатах, Discord-серверах проектов появляются «админы», предлагающие помощь. Они просят перейти на «безопасную страницу для верификации» или отправить сид-фразу для «синхронизации кошелька».
  • Airdrop-ловушки. Пользователю неожиданно приходят токены на адрес. Заинтригованный, он ищет, как с ними взаимодействовать. Поиск приводит на фишинговый сайт, где для «активации» токенов или их продажи требуется подключить кошелёк и подписать транзакцию. Эта транзакция на деле является разрешением на бесконтрольный спис средств с кошелька.

Разбор конкретной схемы: подписанные транзакции

Отдельно стоит схема, которую сложно отследить новичку — злонамеренное разрешение (malicious approval). В сетях, поддерживающих смарт-контракты (Ethereum, BSC, Solana и др.), для взаимодействия с DEX или любым dApp кошелёк подписывает не просто транзакцию на перевод, а транзакцию, дающую контракту право распоряжаться определёнными токенами на вашем адресе.

Мошенники создают фишинговый сайт, имитирующий интерфейс ликвидации или обмена непонятных токенов, которые вы получили. При «подтверждении» вы подписываете не перевод конкретной суммы, а разрешение типа approve или increaseAllowance на спис всех ваших токенов определённого типа (например, всех USDT) на неограниченную сумму. После подписания злоумышленник в любой момент может инициировать транзакцию transferFrom и опустошить ваш баланс.

Опасность в том, что в интерфейсе кошелька пользователь часто видит только непонятный шестнадцатеричный вызов данных, а сумма транзакции может быть указана как 0 ETH. Это не вызывает подозрений.

Целевые атаки на активных пользователей

Для владельцев крупных сумм или известных в NFT-сообществе коллекционеров применяются более изощрённые методы:

  • Взлом аккаунтов в социальных сетях. Через восстановление пароля к почте или соцсети, если они используются для двухфакторной аутентификации где-либо.
  • SIM-своппинг. Если для восстановления доступа к почте или к аккаунту на централизованной бирже привязан номер телефона, мошенники могут убедить оператора связи перенести номер на их SIM-карту.
  • Использование публичных данных. Анализ транзакций в блокчейне может выявить паттерны поведения, используемые провайдерами услуг (биржи, миксеры). В сочетании с утечками данных из других сервисов это позволяет деанонимизировать пользователя и перейти к целевой фишинг-атаке.

Меры защиты: от базовых к продвинутым

Защита строится на понимании модели угроз и разделении рисков.

Аппаратная изоляция

  • Аппаратный кошелёк (Ledger, Trezor). Приватные ключи никогда не покидают защищённый чип устройства. Даже при работе с фишинговым сайтом вы не сможете подписать опасную транзакцию, не подтвердив её физически на устройстве, где виден настоящий адрес получателя и сумма.
  • Выделенное устройство. Для операций с крупными суммами используется отдельный компьютер или телефон, на котором не устанавливается постороннее ПО, не посещаются соцсети и не открывается почта.

Операционная гигиена

  • Проверка источников. Скачивать кошельки только с официальных сайтов, проверяя домен. Для расширений — смотреть количество пользователей, дату публикации и читать реальные отзывы.
  • Хранение сид-фразы. Никогда не хранить в цифровом виде (скриншоты, файлы, облако, заметки). Только на физическом носителе (бумага, металлическая пластина), в сейфе или другом безопасном месте.
  • Отключение автозаполнения. В браузере отключить автозаполнение форм для сайтов, связанных с криптовалютами.

Работа с транзакциями

  • Внимание к подписываемому контенту. Перед подписанием любой транзакции в кошельке проверять, что именно вы подписываете. Для сложных вызовов смарт-контрактов использовать инструменты вроде BlockSec’s PhishFort или вручную декодировать данные вызова на сайтах вроде Etherscan.
  • Использование «горячих» кошельков для небольших сумм. Основные средства хранить на адресах, сгенерированных аппаратным кошельком. Для ежедневных взаимодействий с dApps использовать отдельный «расходный» кошелёк с небольшим балансом.
  • Регулярный аудит разрешений. Периодически проверять список выданных разрешений (approvals) для своих адресов на сайтах-анализаторах блокчейна и отзывать ненужные.

Что делать, если кража уже произошла

Действия имеют ограниченную эффективность, но их стоит предпринять:

  1. Немедленно перенести оставшиеся средства. Если скомпрометирован сид, нужно как можно быстрее создать новый кошелёк с новой сид-фразой и перевести на него все оставшиеся на старом адресе средства, пока злоумышленник не сделал это.
  2. Не вступать в переговоры. Часто мошенники, обнаружив, что на адресе ещё есть средства, могут писать с предложениями «вернуть часть за выкуп». Это всегда обман, направленный на вытягивание оставшейся информации или средств.
  3. Сообщить в правоохранительные органы. Хотя шансы невелики, заявление должно быть подано. Это создаёт статистику и, в редких случаях, если злоумышленник использует централизованные сервисы для вывода, есть шанс заблокировать часть средств.
  4. Проанализировать причину. Постараться понять, через какой вектор произошла утечка, чтобы не повторить ошибку в будущем.

Кражи криптокошельков, это не стихийное бедствие, а результат эксплуатации конкретных уязвимостей в цепочке поведения пользователя. Основная проблема — не в технологии блокчейна, а в точках взаимодействия человека с этой технологией: браузерные расширения, магазины приложений, привычки хранения паролей. Понимание механизмов атаки — первый и самый эффективный шаг к созданию реальной, а не иллюзорной безопасности.

Оставьте комментарий