Огляд

Зі стрімким розвитком криптовалют та технології блокчейну NFT (унікальні токени), як унікальні цифрові активи, привертають потік інвесторів та колекціонерів. Проте поруч з бурхливим ринком існує зростаючий набір ризиків.

Чи ви коли-небудь помічали несподівані NFT або інші активи, які раптово з'являються у вашому гаманці? Ці, на перший погляд, безшкідні цифрові речі можуть нести серйозні загрози безпеці — навіть призводити до повної втрати коштів. Ця стаття розкриє приховані небезпеки за такими сценаріями та запропонує практичні поради з безпеки, які допоможуть вам більш ефективно захистити свої цифрові активи.

На сьогоднішній день загальна ринкова вартість криптовалют і NFT перевищила $3 трлн, із загальною кількістю учасників понад 300 мільйонів по всьому світу. Однак, по мірі розвитку ринку, він також став привабливою мішенню для хакерів та шахраїв. Згідно з даними від Comparitech (на 13 березня 2025 року), шахрайства, пов'язані з криптовалютами та NFT, вже призвели до втрат у сумі $27 млрд - і ця цифра продовжує зростати.

Джерело: https://www.comparitech.com/crypto/cryptocurrency-scams/ (13 березня 2025)

Чому власники NFT є головними цілями для хакерів

1. Привабливість високоцінних активів

NFT часто мають значну вартість — особливо ті з рідкісних або гучних колекцій, таких як Bored Ape Yacht Club або CryptoPunks, де один екземпляр може коштувати сотні тисяч або навіть мільйони доларів.

Ці цифрові активи високої вартості діють як "золоті копальні" у віртуальному світі, природно привертаючи увагу хакерів. Порівняно з традиційними фінансовими активами, операції з NFT виконуються швидше та важче відстежувати. Після крадіжки хакери можуть швидко зняти гроші з активів.

Джерело: https://opensea.io/collection/boredapeyachtclub

2. Анонімність та необоротність блокчейну

Анонімний характер блокчейну забезпечує конфіденційність користувачів, але також створює пристановище для хакерів. Якщо NFT або токен був вкрадений, злодій може швидко перевести його на інші гаманці або відмивати гроші за допомогою змішувачів, таких як Tornado Cash.

Оскільки блокчейн-транзакції є необоротними, жертвам майже немає шансів на відновлення, якщо хакер добровільно не поверне актив або не буде впійманий правоохоронцями. Це робить напад на власників NFT стратегією з низьким ризиком та високими можливостями винагороди для кіберзлочинців.

3. Зазвичай низька обізнаність з питань безпеки серед користувачів

Багато користувачів NFT є новачками у галузі блокчейну та криптовалютної технології, які мають недостатню усвідомленість щодо безпеки. Вони можуть не повністю розуміти важливість приватних ключів або фраз-насіння, або не знати, як впізнавати сайти-шахрайства та зловмисні контракти.

Наприклад, деякі користувачі без вагань натискують підозрілі посилання або зберігають свої приватні ключі в небезпечних місцях, таких як нотатки на телефоні або хмарні сервіси — все це відкриває двері для хакерів.

4. Складна екосистема збільшує вплив

Екосистема NFT охоплює гаманці, торгові платформи (такі як OpenSea), смарт-контракти та соціальні медіа (такі як Discord та Twitter). Кожен компонент є потенційним вектором атаки.

5. Високоактивні спільноти та швидке поширення інформації

Користувачі NFT зазвичай активні на платформах, таких як Twitter та Discord, часто діляться своїми колекціями, торговельними записами або беруть участь в подіях. Цей вид публічної видимості робить їх легкими мішенями. Наприклад, користувач, який показує мільйонний NFT на Twitter, може одразу привернути хакерів, які потім відправляють фішингові посилання або видаються під справжніх агентів підтримки.

6. Високі технічні бар'єри, які запрошують помилки

Залучення до NFT вимагає певного рівня технічної експертизи — наприклад, використання MetaMask, розуміння газових витрат та підписання смарт-контрактів. Для користувачів, які не знайомі з цими процесами, легко допустити критичні помилки. Деякі можуть ненавмисно надати дозволи зловісним контрактам або працювати в незахищених мережевих середовищах, що може призвести до крадіжки.

7. Низькі витрати, висока винагорода для хакерів

Порівняно з традиційними кібератаками, такими як вторгнення в банківські системи, спрямовані на користувачів NFT виявляються досить невеликими за вартістю. Хакер може лише потребувати створити фальшивий веб-сайт, відправити лист з фішинговими листами або розповсюджувати шкідливі посилання по соціальних мережах - і вони можуть отримати доступ до цінних гаманців. Після успішного завершення винагорода може становити тисячі або мільйони доларів. Ця висока винагорода при низькому ризику робить користувачів NFT одним з основних об'єктів.

Загальні способи крадіжки NFT

Зловмисні розумні контракти

NFT-токени зазвичай пов'язані з розумними контрактами, які регулюють власність, передачу та різноманітні взаємодії. Користувачі часто отримують NFT-токени від невідомих джерел, таких як соціальні мережі, роздачі або веб-сайти.

Хоча сам NFT може здатися безпечним, його базовий смарт-контракт може містити зловмисний код. Хакери можуть використовувати цей код, щоб отримати дозволи на гаманець без вашого відома, в кінцевому підсумку висушивши всі активи з вашого гаманця.

Джерело: https://trezor.io/support/a/malicious-smart-contracts

Атаки шахрайства та соціальної інженерії

Хакери часто створюють підроблені веб-сайти, електронні листи або повідомлення в соціальних мережах, щоб обманом змусити користувачів ввести свої приватні ключі або початкові фрази або схвалити невідомі смарт-контракти. Наприклад, ви можете отримати фальшиве «Сповіщення OpenSea» з проханням «підтвердити свій гаманець». Але як тільки ви перейдете за посиланням і надасте доступ, ваші NFT і токени можуть бути миттєво вкрадені.

Крім того, хакери використовують тактику рибальства та соціальної інженерії для відправлення шкідливих NFT-активів безпосередньо в гаманці користувачів. Просто перегляд або взаємодія з одним із цих NFT-активів може дозволити хакерам використовувати вразливості розумного контракту, потенційно набуваючи контроль над гаманцем або обманюючи користувача на підписання високоризикових транзакцій. Завжди перевіряйте джерело будь-якого NFT-активу — ніколи не взаємодійте з невідомими або підозрілими активами.

На платформах, таких як Discord та Telegram, хакери можуть видаавати себе за співробітників служби підтримки, розробників або учасників спільноти, стверджуючи, що вони можуть допомогти "виправити" проблеми з гаманцем. Потім вони переконують користувачів розкрити свої фрази-сім'я, що врешті-решт крадуть їх активи.

Більшість великих проектів NFT тепер включають канали \"Звіт про шахрайство\" в своїх серверах. З липня 2021 року в цих каналах було зареєстровано понад 75 000 повідомлень на різних платформах NFT — 76% з них були відправлені лише у 2022 році.

Джерело: https://beinsure.com/nft-thefts-and-financial-crime-7-types-of-scams-in-non-fungible-tokens/

Хакери також використовують техніку "сліпого підпису" через eth_sign, щоб вкрасти активи. На відміну від традиційних шахрайських транзакцій, які відображають чіткі дані транзакції та сплачують газові комісії, сліпий підпис показує лише неясний рядок тексту - що робить його дуже обманливим. Як тільки користувач підписує, хакер може негайно перевести токени з гаманця.

Джерело: https://support.token.im/hc/en-us/articles/18676133507993-Security-Alert-Beware-of-Eth-Sign-Blind-Signing-Scams

Фейкові проекти NFT

Деякі хакери видають себе за популярні проекти NFT, щоб залучити користувачів до покупки або взаємодії з фальшивими платформами. Як тільки ви підключаєте свій гаманець до одного з цих шкідливих веб-сайтів, це може викликати розумні контракти, призначені для крадіжки ваших активів.

Шахраї часто зловживають функцією SetApprovalForAll() за стандартами ERC-721 та ERC-1155, обманюючи жертв, щоб вони ненавмисно надали повний контроль над своїми NFT. Після затвердження хакери можуть в будь-який момент переносити активи без подальшого втручання користувача. Тому перед взаємодією з будь-яким проєктом NFT завжди перевіряйте його автентичність та регулярно використовуйте інструменти, такі якRevoke.cashпереглянути та видалити непотрібні схвалення.

Джерело: https://playtoearn.com/news/metamask-is-now-testing-setapprovalforall-confirmation-window-to-curb-nft-scams

Шкідливий код, програмне забезпечення та прихована крадіжка

Встановлення невідомого програмного забезпечення або розширень браузера (таких як фальшиві плагіни MetaMask) може заражати ваш пристрій шкідливим ПЗ, здатним вкрасти особисті ключі або відстежувати вашу діяльність.

Поза зловмисними розумними контрактами, деякі NFT та цифрові активи можуть містити скрипти, які виконуються при перегляді або взаємодії. Наприклад, просто клацання по цих NFT може запустити код, який перекаже активи на адресу, керовану хакером. Хоча ці скрипти зазвичай не безпосередньо компрометують безпеку пристрою, вони можуть тихо витягти ваш гаманець.

Шахрайство з пакетами NFT з підробками

Хакери часто створюють фальшиві пакети NFT, які містять як високоякісні підробки, так і NFT, вбудовані зі злоякісними контрактами. Ці пакети спокушають користувачів низькими цінами та обіцянкою зекономити на газових витратах. Однак ініціювання операції може мовчки авторизувати SetApprovalForAll(), давши хакерам повний контроль над гаманцем користувача.

Наприклад, при покупці пакету NFT на OpenSea завжди перевіряйте джерело кожного NFT та пов'язаний контракт. Ці збережені витрати на газ можуть перетворитися на коштовну помилку.

Джерело: https://opensea.io/collection/boredapeyachtclub

Шахрайські схеми "насос-викид"

Шахраї штучно збільшують ціни на NFT, розрекламовуючи проекти через соціальні мережі або підтримку зірок, створюючи хибний попит. Як тільки ціни досягають піку, внутрішні особи розривають свої позиції, спричиняючи ринковий обвал і залишаючи покупців з депреційованими активами.

Щоб уникнути таких схем, завжди перевіряйте історію транзакцій NFT. Легітимні NFT зазвичай мають різноманітну базу покупців та органічну активність.

Видалення килиму

У цих шахрайствах розробники заманюють користувачів на покупку NFT з великими обіцянками, лише щоб зникнути після збору коштів. Часто це включає анонімні команди з яскравими дорожніми картами і відсутністю реальних намірів виконати обіцяне.

Наприклад, у 2021 році творці Evil Ape зникли після збору майже 3 мільйонів доларів. Так само, у 2022 році проєкт Frosties NFT обдурив інвесторів на 1,3 мільйона доларів. Хоча злочинці врешті-решт були заарештовані і звинувачені, вкрадені NFT та кошти так і не були відновлені.

Щоб уникнути шахрайських вилучень, надайте перевагу проєктам з прозорими, відповідальними командами та реалістичними дорожніми картами. Перевірте, що розробка відбувається так, як обіцяно.

Джерело: https://www.cbr.com/evolved-apes-nft-disappears-3-million/

Фальшиві пропозиції NFT

Шахраї можуть видаавати себе за законні платформи та надсилати рибальські електронні листи власникам NFT, пропонуючи фальшиві пропозиції або знижки. Ці листи призводять до рибальських сайтів, призначених для крадіжки логінів або фраз насіння.

Для захисту себе завжди перевіряйте електронну адресу відправника та вручну переходьте на офіційні платформи Gate.io в своєму браузері. Ніколи не клікайте на підозрілі посилання з електронних листів, навіть якщо вони виглядають правдоподібними.

Випадки обману з NFT у реальному світі

1. Взаємодія з підозрілим NFT — AJ втрачає $41,300 (2021)

21 вересня 2021 року користувач X AJ ( @babbler_dabbler) повідомив, що його гаманець було компрометовано, включаючи крадіжку The Currency, NFT від відомого художника Дам'єна Гірста. За словами AJ, його єдина помилка полягала в тому, що він взаємодіяв з незнайомим NFT, який раптово з'явився у його гаманці. Ця дія спричинила порушення гаманця, що призвело до втрати 13,75 ETH — приблизно 41 300 доларів.

Джерело: https://x.com/babbler_dabbler/status/1439987074594217986

2. NFT 'Bored Ape' Джей Чоу викрадений (2022)

У квітні 2022 року тайванська поп-зірка Джей Чоу розкрила в соціальних мережах, що його NFT від Bored Ape Yacht Club було викрадено. Вартість NFT оцінювалася приблизно в $500,000. Чоу заявив, що крадіжка сталася після того, як він несвідомо клікнув по спам-посиланню.

Хакери ймовірно використовували соціальну інженерію, можливо, видаючи себе за фанатів або співробітників проекту, щоб відправити злоякісне посилання. Після кліку на нього Чжоу ненавмисно схвалив злоякісний смарт-контракт, що дозволило хакерам перенести NFT. Актив було швидко перепродано кілька разів, що ускладнило його відстеження.

Джерело: https://cnalifestyle.channelnewsasia.com/entertainment/jay-chou-bored-ape-nft-stolen-308766

3. Атака на рибалку OpenSea (2022)

На початку 2022 року користувачі майданчика NFT OpenSea стали жертвами масштабної фішингової кампанії. Хакери надсилали фальшиві електронні листи і створили підроблені веб-сайти, спокушаючи користувачів підписати шкідливі смарт-контракти. Протягом кількох годин атакувальники вкрали 254 NFT на суму приблизно 2,5 мільйона доларів, включаючи цінні предмети від Bored Ape Yacht Club та Decentraland.

Хакери видалили OpenSea в електронних листах, попереджаючи користувачів про "проблеми з безпекою облікового запису" та підбадьорюючи їх "підтвердити" або "перемістити" свої NFT. Багато користувачів не змогли підтвердити легітимність посилання та були перенаправлені на сайт фішингу, де ненавмисно схвалили шкідливі контракти, що призвели до крадіжки активів.

Джерело: https://www.halborn.com/blog/post/explained-the-opensea-phishing-hack-february-2022

4. Шахрайство Moonbirds NFT — викрадено $1.5 мільйона (травень 2022)

Хакери поширили зловмисне посилання, яке обмануло користувачів підписати транзакції. Це призвело до крадіжки 29 NFT-монет Moonbirds, вартість яких оцінюється в 750 ETH — приблизно 1,5 мільйона доларів на той момент.

Джерело: https://x.com/CirrusNFT/status/1529296043547865088

5. Афера з глибокою фейкою голосу штучного інтелекту (2023)

У середині 2023 року хакери використали штучний інтелект, щоб імітувати голоси корпоративних керівників та обманути членів фінансової команди, щоб перерахувати великі суми грошей. Згідно з звітом 2023 року від TRM Labs та фірми з аналізу блокчейну Chainalysis, кошти - на суму кількох мільйонів доларів - були відмиті через криптовалютні змішувачі.

Джерело:https://www.cnbc.com/2025/02/13/crypto-scams-thrive-in-2024-on-back-of-pig-butchering-and-ai-report.html

6. Злом кросчейн-протоколу Orbit Bridge — вкрадено 80 мільйонів доларів (Dec 31, 2023)

У кінці Нового року 2023 року хакери використали вразливості в мосту міжланцюжкового обміну Orbit Bridge, вкравши понад $80 мільйонів у криптовалютних активів (включаючи ETH та USDC). Порушення підозрюється у витоку внутрішнього ключа. Частина викрадених коштів була відмита через децентралізовані протоколи.

Джерело: https://x.com/bitinning/status/1741783830372155620

7. Витік приватного ключа Bitcoin DMM — крадіжка на $300 мільйонів (31 травня 2024 року)

Давня біржа DMM Bitcoin в Японії зазнала історичного порушення, коли хакери використали витік приватних ключів для переказу $300 мільйонів вартості Bitcoin на понад 10 окремих адрес. Біржа намагалася відслідковувати та заморожувати активи на ланцюжку, але зловмисники використовували змішувачі для прання коштів, вказуючи на серйозні слабкості в безпеці приватного ключа та практиках кастодії.

Джерело:https://www.elliptic.co/blog/dmm-bitcoin-loses-308-million-in-unauthorized-leak

Як захистити ваші цифрові активи

У світі блокчейну загрози безпеки є скрізь. Побудова багаторівневої системи захисту — яка складається з фізичної ізоляції, оперативних заходів безпеки та реагування на екстрені ситуації — може значно знизити ризик крадіжки активів.

Шар 1: Фізична ізоляція (апаратні гаманці та диверсифікація активів)

1. Використовуйте апаратні гаманці (наприклад, Ledger, Trezor), щоб зберігати активи високої вартості.
2. Апаратні гаманці ізольовані від Інтернету та авторизують транзакції лише при фізичному підключенні та підтвердженні, що значно зменшує ризик віддалених взломів.
3. Уникайте тривалого зберігання великих сум криптовалюти в гарячих гаманцях (наприклад, MetaMask).
4. Розподіліть свої активи по різних гаманцях, щоб уникнути одного точки відмови.
5. Окремі гаманці на основі використання (наприклад, торговельний гаманець, гаманець для довгострокового зберігання, гаманець для щоденного використання).
6. Зберігайте критичні активи в холодних гаманцях (офлайн-сховище), щоб уникнути впливу онлайн-атак.

Джерело:https://www.ledger.com/

Рівень 2: Операційні заходи безпеки (Обережні схвалення та перевірки смарт-контрактів)

Будьте обережні з посиланнями та уникайте шахрайства

1. Будьте обережні із атаками на рибалку:
   Офіційні команди ніколи не запитуватимуть ваш приватний ключ або початкову фразу через Telegram, Discord або X (Twitter) DM. Будь-який запит на цю інформацію є шахрайством.

2. Перевірте автентичність проекту:
   Перед взаємодією перевірте соціальні мережі проекту, офіційні оголошення та джерела, щоб переконатися в законному характері.

3. Уважно керуйте смарт-контрактами
   Перевіряйте URL-адреси веб-сайтів та контрактні адреси перед підключенням свого гаманця або підписанням будь-якої транзакції. Фальшиві веб-сайти та зловмисні контракти є серйозною загрозою.
   Використовуйте інструменти, такі як Revoke.cash або Перевірка дозволу токенів Etherscan, щоб регулярно анулювати непотрібні дозволи розумних контрактів, обмежуючи можливість зловживання хакерів передзатвердженими контрактами.

4. Перевірки безпеки смарт-контрактів
   Перед участю в мінтах NFT або проектах DeFi використовуйте інструменти аудитування (наприклад, CertiK, PeckShield, SlowMist), щоб оцінити безпеку смарт-контрактів. Це допомагає уникнути впливу зловмисного коду або вразливостей, які можна використовувати.

Джерело: https://etherscan.io/address/0xbc4ca0eda7647a8ab7c2061c2e118a18a936f13d

Шар 3: Надзвичайна реакція (Якщо ваш гаманець скомпрометовано)

Якщо ви помітили підозрілу діяльність або були вкрадені активи, негайно вживайте заходів:

1. Створіть новий гаманець: Згенеруйте новий приватний ключ та збережіть фразу для відновлення нового гаманця безпечно за допомогою апаратного гаманця.
2. Скасувати зловмисні схвалення контрактів: ВикористовуйтеRevoke.cashабо сторінка схвалення токенів Etherscan, щоб скасувати авторизацію для будь-яких підозрілих контрактів і запобігти подальшим втратам.
3. Переклад залишених активів: Швидко перемістіть залишені кошти з уразливих гаманців на ваш новостворений безпечний гаманець.
4. Перевірте свій пристрій на наявність шкідливих програм: Виконайте ретельне сканування вірусів та шкідливих програм на вашому комп'ютері та телефоні, щоб переконатися, що ваші пристрої не були заражені.
5. Увімкніть двофакторну автентифікацію (2FA): Активуйте 2FA для всіх облікових записів, пов'язаних з криптовалютами, включаючи біржі та гаманці, щоб додати додатковий рівень безпеки.

Джерело: https://revoke.cash/

Залишайтеся раціональними — уникайте пастки FOMO

Не слід сліпо слідувати хайпу: Перш ніж брати участь у будь-якому проєкті, оцініть його довгострокову цінність, а не дійтеся виключно ринковим настроєм.

Уважно перегляньте інформацію про підпис: при підписанні транзакції завжди перевіряйте вміст підпису, щоб переконатися, що він не розголошує ваш приватний ключ або не надає зловмисні дозволи.

У криптосвіті безпека є головним пріоритетом. Освоєння цієї трирівневої системи захисту значно підвищить захист ваших активів і мінімізує зайві ризики.

Висновок

NFT та цифрові активи відкривають безпрецедентні можливості, але вони також супроводжуються серйозними питаннями безпеки. У цьому цифровому світі збереження вашого гаманця є так само важливим, як захист банківського рахунку в реальному світі. Хакери постійно вдосконалюють свої тактики, тому важливо залишатися бджоли та розуміти основні практики безпеки, що може ефективно зменшити ризики.

Хакери спрямовують свою увагу на користувачів NFT, перш за все через привабливість високоцінних активів, незворотність транзакцій у блокчейні та загалом слабку свідомість користувачів щодо безпеки. Для протидії цим ризикам важливо побудувати міцний фундамент безпеки – використовуйте холодні гаманці, регулярно аудитуйте дозволи та надійно зберігайте свої приватні ключі. Безпека залишається найважливішою лінією оборони в екосистемі NFT. Тільки залишаючись бджолими, ви зможете дійсно захистити своє цифрове багатство.