Фишинг 2026: как не потерять кошелёк за один клик
Эксплойты смарт-контрактов и взломы бирж - громкие истории, но не они выносят основной ущерб пользователям. В 2026 году три из четырёх украденных кошельков - результат фишинга, подделки интерфейсов и одной невнимательной подписи.
Масштаб проблемы
Данные из отчёта Chainalysis Crypto Crime Report 2026 и отчёта Scam Sniffer за Q1 2026. Drainer-скрипты - кошельки, «опустошаемые» через фальшивые одобрения (approve) на NFT-маркетплейсах и Web3-сайтах - остаются доминирующей категорией. На втором месте - address poisoning: атака, которой пять лет назад почти не существовало.
Три самые частые атаки 2026 года
1. Drainer-скрипты
Пользователь попадает на фальшивый сайт - обычно через спонсорскую ссылку в Google, промо-пост в Discord/Telegram или скомпрометированный аккаунт инфлюенсера. Сайт выглядит как настоящий (Uniswap, Blur, OpenSea), подключение кошелька проходит штатно, но первая же «транзакция» - это подпись setApprovalForAll или permit на неограниченный allowance в пользу адреса атакующего. После подписи drainer автоматически переводит всё, что может - от токенов до NFT.
2. Address poisoning
Атакующий генерирует адрес, начинающийся и заканчивающийся теми же символами, что и адрес, с которым жертва часто взаимодействует. Например, если вы часто переводите на 0xA1B2...4E5F, атакующий создаёт 0xA1B2...4E5F (совпадают первые 4 и последние 4 символа) и отправляет жертве транзакцию на 0.00001 ETH от этого адреса. Адрес оседает в истории. Когда жертва в следующий раз копирует «свой» адрес получателя из истории - копирует не тот. Перевод уходит атакующему.
3. Поддельные расширения и приложения
MetaMask, Phantom и Rabby регулярно становятся целью клон-расширений в Chrome Web Store и App Store. Расширение выглядит идентично, но при первом импорте seed-фразы отправляет её на сервер атакующего. Apple и Google удаляют такие приложения в течение часов-дней, но этого хватает, чтобы украсть у неосторожных пользователей.
Всегда недоверчиво относитесь к: DM в Discord от «поддержки», неожиданным «airdrop» страницам, письмам о «срочной миграции кошелька», сайтам, где URL отличается на один символ (metamаsk.io с кириллической «а»), одобрениям транзакций на сайте, о котором вы не помните, чтобы туда заходили.
Пять слоёв защиты
Hardware wallet для сумм от $1000
Ledger, Trezor, Keystone, GridPlus Lattice1. Приватный ключ никогда не покидает устройство. Даже если ваш компьютер полностью скомпрометирован, подписать транзакцию без физического подтверждения на устройстве нельзя.
Читайте EIP-712 подпись
Современные кошельки показывают «человеко-читаемую» версию подписи (что именно вы разрешаете). Если вам предлагают setApprovalForAll на неизвестный контракт или permit на неограниченный allowance - откажитесь. Легитимные dApps почти никогда не запрашивают unlimited approve для всех токенов.
Verified contracts на Etherscan
Перед любым взаимодействием с новым контрактом: проверьте его адрес на Etherscan/Basescan/Arbiscan. Код должен быть верифицирован (видны Solidity-исходники). У контракта должна быть активная история транзакций и ненулевое количество пользователей. Свежий контракт без истории - красный флаг.
Bookmarks вместо Google
MetaMask Portfolio, Uniswap, Aave, Binance, Coinbase - добавьте в закладки и открывайте только оттуда. Рекламные результаты Google регулярно содержат фишинговые клоны. В 2025 году Scam Sniffer фиксировал десятки успешных кампаний в Google Ads.
Горячий и холодный кошелёк
Разделите средства: «горячий» (hot) кошелёк для повседневных транзакций на небольшие суммы; «холодный» (cold) - на hardware wallet, не подключённый ни к одному dApp, только приём и отправка на биржу. Даже если горячий будет скомпрометирован, основной капитал в безопасности.
Если вы уже подписали что-то подозрительное
Первые 60 секунд - критичны. План действий:
- Немедленно откройте revoke.cash или Etherscan Token Approvals и отзовите все активные одобрения на подозрительные контракты.
- Если отзыв не успевает (drainer быстрее) - переведите оставшиеся средства на новый кошелёк (с нового seed). Старый считайте скомпрометированным навсегда, не используйте больше никогда.
- Сообщите адрес drainer в Chainalysis Reactor (для пострадавших бирж) и в Scam Sniffer - это помогает блоклистам обновляться.
Инфраструктура 2026: что работает
Положительная сторона 2026 года - индустрия защиты тоже развивается:
- Scam Sniffer и Blockaid интегрируются прямо в MetaMask/Rabby и блокируют известные drainer-контракты до подписи.
- Pocket Universe показывает «пред-симуляцию» транзакции - что именно уйдёт с вашего кошелька, если вы подпишете.
- EIP-7702 (Pectra, май 2025) позволяет задать smart-контрактные политики прямо на EOA-адресе: например, ограничить суточный лимит переводов или требовать двух подписей для сумм от $500.
- ENS reverse records и EIP-6492 помогают отображать адрес в виде понятного имени, снижая риск address poisoning.
Никто из легитимных проектов, бирж и команд поддержки никогда не попросит у вас seed-фразу, приватный ключ или перевод «для проверки». Любой запрос такого рода - гарантированный фишинг.