Обзор

С быстрым развитием криптовалют и блокчейн-технологий NFT (невзаимозаменяемые токены), как уникальные цифровые активы, привлекли множество инвесторов и коллекционеров. Однако рядом с бурным рынком растет и набор рисков.

Замечали ли вы когда-нибудь неожиданные NFT или другие активы, внезапно появляющиеся в вашем кошельке? Эти, казалось бы, безвредные цифровые предметы могут нести серьезные угрозы безопасности, даже приводя к полной потере средств. В этой статье будут раскрыты скрытые опасности за этими сценариями и предложены практические советы по безопасности, чтобы помочь вам более эффективно защитить ваши цифровые активы.

На данный момент общая рыночная стоимость криптовалют и NFT превысила 3 трлн долларов, с участием более 300 миллионов участников по всему миру. Однако по мере процветания рынка он также стал основной целью для хакеров и мошенников. Согласно данным от Comparitech (на 13 марта 2025 года), мошеннические схемы, связанные с криптовалютами и NFT, уже привели к убыткам в размере 27 млрд долларов — и это число по-прежнему растет.

Источник: https://www.comparitech.com/crypto/cryptocurrency-scams/ (13 марта 2025 года)

Почему держатели NFT являются основными целями для хакеров

1. Привлекательность высокоценных активов

NFT-токены часто имеют значительную стоимость — особенно те, которые принадлежат редким или гиповым коллекциям, таким как Bored Ape Yacht Club или CryptoPunks, где один экземпляр может стоить сотни тысяч или даже миллионы долларов.

Эти цифровые активы высокой стоимости действуют как "золотые рудники" в виртуальном мире, естественно привлекая внимание хакеров. По сравнению с традиционными финансовыми активами, сделки с NFT происходят быстрее и сложнее проследить. Как только активы были украдены, хакеры могут быстро вывести их.

Источник: https://opensea.io/collection/boredapeyachtclub

2. Анонимность и необратимость блокчейна

Анонимный характер блокчейна обеспечивает конфиденциальность для пользователей, но также создает приют для хакеров. Как только NFT или токен был украден, вор может быстро передать его другим кошелькам или отмыть с использованием миксеров, таких как Tornado Cash.

Поскольку блокчейн-транзакции необратимы, жертвы практически не имеют шансов на восстановление, пока хакер добровольно не вернет актив или не будет пойман правоохранительными органами. Это делает атаку на держателей NFT стратегией с низким риском и высокой наградой для киберпреступников.

3. Обычно низкое осознание безопасности среди пользователей

Многие пользователи NFT являются новичками в блокчейне и крипто-технологиях, лишены должного осознания безопасности. Они могут не полностью понимать важность частных ключей или фраз-семян, или не знать, как распознать фишинговые сайты и вредоносные контракты.

Например, некоторые пользователи без колебаний переходят по подозрительным ссылкам или хранят свои частные ключи в небезопасных местах, таких как заметки на телефоне или облачные сервисы — все это открывает дверь для хакеров.

4. Сложная экосистема увеличивает экспозицию

Экосистема NFT охватывает кошельки, торговые платформы (например, OpenSea), смарт-контракты и социальные сети (такие как Discord и Twitter). Каждый компонент является потенциальным вектором атаки.

5. Очень активные сообщества и быстрое распространение информации

Пользователи NFT обычно активно участвуют на платформах, таких как Twitter и Discord, часто делясь своими коллекциями, торговыми записями или участвуя в мероприятиях. Такая публичная видимость делает их легкой мишенью. Например, кто-то, показывающий миллионный NFT на Twitter, мгновенно может привлечь хакеров, которые затем отправляют рыбные ссылки или выдают себя за фейковых службу поддержки.

6. Высокие технические барьеры, которые приглашают к ошибкам

Взаимодействие с NFT требует определенного уровня технического понимания, например, использование MetaMask, понимание комиссий за газ и подписание смарт-контрактов. Для пользователей, не знакомых с этими процессами, легко допустить критические ошибки. Некоторые могут ненамеренно предоставить разрешения вредоносным контрактам или работать в небезопасных сетевых средах, что может привести к кражам.

7. Низкая стоимость, высокая награда для хакеров

По сравнению с традиционными кибератаками, такими как взлом банковских систем, нацеливание на пользователей NFT относительно недорого. Хакеру может понадобиться лишь создать поддельный веб-сайт, отправить рыбий электронное письмо или разбросать вредоносные ссылки по социальным сетям — и он может получить доступ к ценным кошелькам. После успешного завершения вознаграждение может составлять тысячи и миллионы долларов. Эта схема с высокими вознаграждениями и низкими рисками делает пользователей NFT одной из главных целей.

Общие методы кражи NFT

Вредоносные смарт-контракты

NFT обычно привязаны к смарт-контрактам, которые регулируют владение, передачи и различные взаимодействия. Пользователи часто получают NFT от неизвестных источников, таких как социальные медиа, эйрдропы или веб-сайты.

Хотя сам NFT может показаться безобидным, его базовый смарт-контракт может содержать вредоносный код. Хакеры могут использовать этот код, чтобы получить разрешения на кошелек без вашего ведома, в конечном итоге опустошив все активы с вашего кошелька.

Источник: https://trezor.io/support/a/malicious-smart-contracts

Атаки по методу фишинга и социальная инженерия

Хакеры часто создают фальшивые веб-сайты, электронные письма или сообщения в социальных сетях, чтобы обмануть пользователей и заставить их вводить свои приватные ключи или сид-фразы, или утверждать неизвестные смарт-контракты. Например, вы можете получить фальшивое уведомление от "OpenSea" с просьбой "подтвердить свой кошелек". Но как только вы перейдете по ссылке и предоставите доступ, ваши NFT и токены могут быть моментально похищены.

Кроме того, хакеры используют тактику рыбалки и социальной инженерии для отправки зловредных NFT-токенов непосредственно в кошельки пользователей. Просто просмотр или взаимодействие с одним из этих NFT-токенов может позволить хакерам использовать уязвимости умных контрактов, потенциально получая контроль над кошельком или обманывая пользователя, подписывая высокорискованные транзакции. Всегда проверяйте источник любого NFT-токена — никогда не взаимодействуйте с неизвестными или подозрительными активами.

На платформах, таких как Discord и Telegram, хакеры могут выдавать себя за сотрудников службы поддержки, разработчиков или участников сообщества, утверждая, что они могут помочь "исправить" проблемы с кошельком. Затем они убеждают пользователей раскрывать свои сид-фразы, в конечном итоге крадя их активы.

Большинство крупных проектов NFT теперь включают каналы "Отчет о мошенничестве" на своих серверах. С июля 2021 года в этих каналах было зарегистрировано более 75 000 сообщений на различных платформах NFT — 76% из них были отправлены только в 2022 году.

Источник: https://beinsure.com/nft-thefts-and-financial-crime-7-types-of-scams-in-non-fungible-tokens/

Хакеры также используют технику "слепой подписи" через eth_sign для кражи активов. В отличие от традиционных рыболовных транзакций, которые отображают ясные данные транзакции и влекут за собой комиссию за газ, слепая подпись показывает только непонятную строку текста, что делает ее чрезвычайно обманчивой. Как только пользователь подписывает, хакер может немедленно переводить токены с кошелька.

Источник: https://support.token.im/hc/ru-ru/articles/18676133507993-Обновление-безопасности-Будьте-осторожны-с-мошенничеством-подписания-слепой-подписи-Eth

Фейковые проекты NFT

Некоторые хакеры выдают себя за популярные проекты NFT, чтобы заманить пользователей на покупку или взаимодействие с фейковыми платформами. Как только вы подключаете свой кошелек к одному из этих вредоносных веб-сайтов, это может запустить смарт-контракты, предназначенные для кражи ваших активов.

Мошенники часто злоупотребляют функцией SetApprovalForAll() в стандартах ERC-721 и ERC-1155, обманывая жертв, заставляя их неосознанно предоставлять полный контроль над своими NFT. После одобрения хакеры могут передавать активы в любое время без дополнительного ввода пользователя. Поэтому перед взаимодействием с любым проектом NFT всегда проверяйте его подлинность и регулярно используйте инструменты типаRevoke.cashпросмотреть и удалить ненужные одобрения.

Источник: https://playtoearn.com/news/metamask-is-now-testing-setapprovalforall-confirmation-window-to-curb-nft-scams

Вредоносный код, программное обеспечение и скрытая кража

Установка неизвестного программного обеспечения или расширений браузера (таких как поддельные плагины MetaMask) может заразить ваше устройство вредоносным ПО, способным крадеть частные ключи или отслеживать вашу активность.

Помимо злонамеренных смарт-контрактов, некоторые NFT и цифровые активы могут содержать скрипты, которые выполняются при просмотре или взаимодействии. Например, просто щелкнув по этим NFT, можно запустить код, который переводит активы на адрес, контролируемый хакером. Хотя эти скрипты обычно не наносят непосредственного ущерба безопасности устройства, они могут молча опустошать ваш кошелек.

Мошенничество с пакетами NFT с поддельными товарами

Хакеры часто создают фальшивые пакеты NFT, включающие в себя либо высококачественные поддельные изделия, либо NFT, внедренные во вредоносные контракты. Эти пакеты соблазняют пользователей низкими ценами и обещанием сэкономить на комиссиях за газ. Однако инициирование транзакции может молчаливо авторизовать SetApprovalForAll(), предоставляя хакерам полный контроль над кошельком пользователя.

Например, при покупке пакета NFT на OpenSea всегда проверяйте источник каждого NFT и связанный контракт. Экономия на комиссии за газ может превратиться в дорогую ошибку.

Источник: https://opensea.io/collection/boredapeyachtclub

Схемы "Накачай и сбрось"

Мошенники искусственно накачивают цены на NFT, раздувая проекты через социальные сети или рекламу знаменитостей, создавая ложное чувство спроса. Как только цены достигают пика, внутренние лица продают свои активы, вызывая рыночный крах и оставляя покупателей с обесцененными активами.

Чтобы избежать подобных схем, всегда проверяйте историю транзакций NFT. Легитимные NFT обычно имеют диверсифицированную базу покупателей и органическую активность.

Разводы с ковриком

В этих мошеннических схемах разработчики заманивают пользователей на покупку NFT с великолепными обещаниями, чтобы исчезнуть после сбора средств. Эти часто включают анонимные команды с яркими планами и отсутствием реального намерения выполнить.

Например, в 2021 году создатели Evil Ape исчезли после того, как собрали почти 3 миллиона долларов. Точно так же в 2022 году проект NFT Frosties обманул инвесторов на 1,3 миллиона долларов. Хотя преступники в конечном итоге были арестованы и обвинены, украденные NFT и средства так и не были возвращены.

Для избежания обмана, отдавайте предпочтение проектам с прозрачными, ответственными командами и реалистичными дорожными картами. Убедитесь, что разработка продвигается так, как обещано.

Источник: https://www.cbr.com/evolved-apes-nft-disappears-3-million/

Поддельные предложения NFT

Мошенники могут выдавать себя за законные платформы и отправлять рассылку рыбной ловли по держателям NFT, продвигая фальшивые предложения или скидки. Эти письма ведут на сайты для рыбной ловли, предназначенные для кражи учетных данных или фраз-семян.

Для защиты себя всегда проверяйте адрес электронной почты отправителя и вручную переходите на официальные платформы Gate.io в своем браузере. Никогда не нажимайте на подозрительные ссылки из электронных писем, даже если они кажутся легитимными.

Мошенничество с NFT в реальном мире

1. Взаимодействие с подозрительным NFT — AJ теряет $41,300 (2021)

21 сентября 2021 года пользователь X AJ ( @babbler_dabbler) отметил в твите, что его кошелек был скомпрометирован, включая кражу Валюты, NFT от известного художника Дэмьена Хёрста. По словам AJ, его единственной ошибкой было взаимодействие с незнакомым NFT, который внезапно появился в его кошельке. Это действие привело к нарушению кошелька, в результате чего было потеряно 13.75 ETH — примерно $41,300.

Источник: https://x.com/babbler_dabbler/status/1439987074594217986

2. NFT «Bored Ape» Джей Чоу был украден (2022)

В апреле 2022 года тайваньская поп-звезда Джей Чоу сообщил в социальных сетях, что его NFT из Bored Ape Yacht Club был украден. Стоимость NFT оценивалась примерно в $500,000. Чоу заявил, что кража произошла после того, как он ненароком кликнул по ссылке-подставе.

Хакеры, скорее всего, использовали социальную инженерию, возможно, выдавая себя за поклонников или сотрудников проекта, чтобы отправить вредоносную ссылку. После нажатия на нее Чоу неосознанно утвердил вредоносный смарт-контракт, позволяющий хакерам передать NFT. Актив был быстро перепродан несколько раз, что затруднило его отслеживание.

Источник: https://cnalifestyle.channelnewsasia.com/ru/entertainment/jay-chou-bored-ape-nft-stolen-308766

3. Атака фишинга OpenSea (2022)

В начале 2022 года пользователи рынка NFT OpenSea стали жертвами масштабной фишинговой кампании. Хакеры отправляли фальшивые электронные письма и создавали поддельные веб-сайты, заманивая пользователей на подписание вредоносных смарт-контрактов. В течение нескольких часов злоумышленники украли 254 NFT на общую сумму около $2.5 миллиона, включая ценные предметы из Bored Ape Yacht Club и Decentraland.

Хакеры выдавали себя за OpenSea в электронных письмах, предупреждая пользователей о "проблемах безопасности учетной записи" и побуждая их "проверить" или "перенести" свои NFT. Многие пользователи не смогли проверить подлинность ссылки и были перенаправлены на фишинговый сайт, где они неосознанно утвердили вредоносные контракты, которые привели к краже активов.

Источник: https://www.halborn.com/blog/post/explained-the-opensea-phishing-hack-february-2022

4. Мошенничество с NFT Moonbirds - украдено 1,5 миллиона долларов (май 2022)

Хакеры распространяли вредоносную ссылку, которая обманом заставляла пользователей подписывать транзакции. В результате было похищено 29 NFT Moonbirds, стоимостью примерно в 750 ETH — около $1.5 миллиона на тот момент.

Источник: https://x.com/CirrusNFT/status/1529296043547865088

5. Мошенничество с глубокой подделкой голоса ИИ (2023)

В середине 2023 года хакеры использовали искусственный интеллект для имитации голосов корпоративных руководителей и обмана членов финансовой команды, чтобы перевести крупные суммы денег. Согласно отчету 2023 года от TRM Labs и фирмы аналитики блокчейна Chainalysis, средства, на сумму нескольких миллионов долларов, были отмыты через крипто-миксеры.

Источник:https://www.cnbc.com/2025/02/13/crypto-scams-thrive-in-2024-on-back-of-pig-butchering-and-ai-report.html

6. Протокол Orbit Bridge Cross-Chain взломан — украдено $80 миллионов (31 декабря, 2023)

В канун Нового года 2023 года хакеры использовали уязвимости в межцепных мостах Orbit Bridge, похитив более 80 миллионов долларов в криптовалюте (включая ETH и USDC). Предполагается, что утечка ключа от внутреннего сотрудника является причиной нарушения. Часть похищенных средств была отмыта через децентрализованные протоколы.

Источник: https://x.com/bitinning/status/1741783830372155620

7. Утечка закрытого ключа биткоина DMM — ограбление на 300 миллионов долларов (31 мая 2024 г.)

Долгосрочная биржа DMM Bitcoin Японии столкнулась с историческим нарушением, когда хакеры использовали утекшие закрытые ключи для перевода биткоинов на сумму в 300 миллионов долларов на более чем 10 отдельных адресов. Биржа попыталась отследить транзакции и заморозить активы, но атакующие использовали миксеры для отмывания средств, подчеркивая серьезные слабые места в безопасности закрытых ключей и практиках кастодиализации.

Источник:https://www.elliptic.co/blog/dmm-bitcoin-loses-308-million-in-unauthorized-leak

Как защитить ваши цифровые активы

В мире блокчейна угрозы безопасности повсюду. Построение многоуровневой системы защиты — состоящей из физической изоляции, операционных мер безопасности и реагирования на чрезвычайные ситуации — может значительно снизить риск кражи активов.

Уровень 1: Физическая изоляция (Аппаратные кошельки и Диверсификация активов)

1. Используйте аппаратные кошельки (например, Ledger, Trezor) для хранения ценных активов.
2. Аппаратные кошельки изолированы от интернета и авторизуют транзакции только при физическом подключении и подтверждении, что значительно снижает риск удаленных взломов.
3. Избегайте хранения больших сумм криптовалюты в горячих кошельках (например, MetaMask) на протяжении продолжительного времени.
4. Распределите ваши активы по нескольким кошелькам, чтобы предотвратить единовременные точки отказа.
5. Отдельные кошельки на основе использования (например, торговый кошелек, кошелек для долгосрочного хранения, кошелек для ежедневного использования).
6. Храните критические активы в холодных кошельках (офлайн хранилище), чтобы избежать подверженности онлайн-атакам.

Источник:https://www.ledger.com/

Уровень 2: Операционные меры безопасности (Тщательные одобрения и проверки смарт-контрактов)

Будьте осторожны со ссылками и избегайте мошенничества

1. Остерегайтесь фишинговых атак:
   Официальные команды никогда не попросят ваш приватный ключ или фразу восстановления через Telegram, Discord или X (Twitter) DMs. Любой запрос на эту информацию - мошенничество.

2. Проверьте аутентичность проекта:
   Перед взаимодействием тщательно проверьте социальные медиа проекта, официальные анонсы и источники, чтобы убедиться в его легитимности.

3. Тщательно управляйте разрешениями для смарт-контрактов
   Перепроверяйте URL-адреса веб-сайтов и контрактов, прежде чем подключать кошелек или подписывать какую-либо транзакцию. Поддельные веб-сайты и вредоносные контракты представляют собой серьезную угрозу.
   Используйте инструменты, такие как Revoke.cash или Token Approval Checker от Etherscan, чтобы регулярно отзывать ненужные разрешения умных контрактов, ограничивая потенциал хакеров для эксплуатации предварительно одобренных контрактов.

4. Аудит безопасности смарт-контрактов
   Перед участием в монетах NFT или проектах DeFi используйте инструменты аудита (например, CertiK, PeckShield, SlowMist), чтобы оценить безопасность смарт-контрактов. Это поможет избежать воздействия зловредного кода или уязвимостей, которые могут быть использованы в злоумышленных целях.

Источник: https://etherscan.io/address/0xbc4ca0eda7647a8ab7c2061c2e118a18a936f13d

Уровень 3: Чрезвычайная реакция (если ваш кошелек скомпрометирован)

Если вы заметили, что подозрительные действия или активы были украдены, немедленно примите меры:

1. Создайте новый кошелек: сгенерируйте новый секретный ключ и сохраните семантическую фразу нового кошелька надежно, используя аппаратный кошелек.
2. Отозвать злонамеренное согласование контрактов: Использовать Revoke.cashили страницу подтверждения токенов Etherscan, чтобы отменить авторизацию для любых подозрительных контрактов и предотвратить дальнейшие потери.
3. Переведите оставшиеся активы: Быстро переведите все оставшиеся средства из скомпрометированных кошельков во вновь созданный безопасный кошелек.
4. Проверьте ваше устройство на наличие вредоносного ПО: Выполните тщательное сканирование вирусов и вредоносного ПО на вашем компьютере и телефоне, чтобы убедиться, что ваши устройства не заражены.
5. Включите двухфакторную аутентификацию (2FA): Активируйте 2FA для всех криптосвязанных аккаунтов — включая биржи и услуги кошельков — для добавления дополнительного уровня безопасности.

Источник:https://revoke.cash/

Оставайтесь рациональными — избегайте ловушки FOMO

Не следуйте слепо за хайпом: прежде чем участвовать в каком-либо проекте, оцените его долгосрочную ценность, а не руководствуйтесь исключительно рыночным настроением.

Тщательно проверьте информацию о подписи: при подписании транзакции всегда проверяйте содержимое подписи, чтобы убедиться, что она не раскрывает ваш секретный ключ или не предоставляет злонамеренные разрешения.

В криптомире безопасность является главным приоритетом. Освоение этой трехуровневой системы защиты значительно усилит защиту ваших активов и минимизирует ненужные риски.

Заключение

NFT и цифровые активы открывают уникальные возможности, но они также сопряжены с серьезными проблемами безопасности. В этом цифровом мире защита вашего кошелька так же важна, как защита банковского счета в реальном мире. Хакеры постоянно совершенствуют свои тактики, и оставаться бдительным и понимать основные практики безопасности может эффективно снизить риски.

Хакеры в первую очередь нацеливаются на пользователей NFT из-за привлекательности ценных активов, необратимости транзакций в блокчейне и общей слабой осведомленности пользователей о безопасности. Для противодействия этим рискам необходимо построить надежное основание безопасности — использовать холодные кошельки, регулярно проверять разрешения и надежно хранить свои приватные ключи. Безопасность остается самым важным звеном обороны в экосистеме NFT. Только оставаясь начеку, можно действительно защитить свое цифровое богатство.