Как защитить криптокошелёк от взлома — полный чек-лист 2026

Криптовалюту воруют каждый день. По данным Chainalysis, в 2024 хакеры украли $2.2 млрд из криптокошельков и бирж. Большинство случаев — не «взломы» в техническом смысле, а социальная инженерия или ошибки самого пользователя. Разбираем по слоям, что можно сделать.

Уровень 1. Базовая гигиена (обязательно для всех)

Seed-фраза — это всё

Всё что нужно атакующему чтобы украсть вашу криптовалюту — узнать seed-фразу вашего кошелька. Поэтому правило №1:

• Никогда никому не показывайте seed-фразу. Никаких «проверок», «верификаций», «возвратов»
• Никогда не вводите seed на сайтах — ни на одном. Только в самом приложении при восстановлении
• Сохраните seed на бумаге, не в облаке/мессенджере/менеджере паролей

Подробнее — в гайде про seed →.

Скачивайте кошелёк только из официальных источников

В App Store и Google Play существуют поддельные Trust Wallet, MetaMask, Tonkeeper. Они выглядят идентично оригиналу, но при создании кошелька seed уходит атакующему.

• ✅ Trust Wallet → trustwallet.com
• ✅ MetaMask → metamask.io
• ✅ Tonkeeper → tonkeeper.com

Перепроверьте URL при первом скачивании. Один лишний символ или подмена буквы — и вы устанавливаете троян.

2FA на бирже

Если используете биржу (Bybit, OKX, Mexc):

• Обязательно 2FA через Google Authenticator или Authy (не SMS — sim-swap)
• Whitelist выводов — список разрешённых адресов, новые адреса требуют подтверждения 24 часа
• Лимит на вывод в день
• Anti-phishing code (пишется в каждое email от биржи)

Уровень 2. Защита от фишинга и социальной инженерии

Распознавайте scam-сайты

Атакующие создают копии популярных DeFi-сайтов с похожими URL:

• «uniswap.org» → «uniswаp.org» (с кириллической «а»)
• «metamask.io» → «metamask.com» (другая зона)
• «binance.com» → «binance.support» (фейк-поддержка)

Защиты:

• ✅ Закладки в браузере для всех важных сайтов. Никогда не кликайте по ссылкам из email/чата — открывайте через закладку
• ✅ Расширения типа Wallet Guard, Pocket Universe — предупреждают о подозрительных сайтах
• ✅ MetaMask и Trust Wallet имеют встроенную защиту от phishing — слушайте предупреждения

Фейковая поддержка

Самый частый сценарий: вы пишете в Telegram-чат «у меня проблема с MetaMask», и через минуту кто-то с фейковым ником «MetaMask Support» пишет в личку и предлагает помочь.

• ❌ Никакая официальная поддержка не пишет первой в личку
• ❌ Не отвечайте на такие сообщения, не переходите по ссылкам, не вводите seed
• ✅ Все запросы поддержки идут через официальный сайт или email

Социалка через знакомых

Бывает: знакомый присылает в Telegram «помоги мне открыть вот этот NFT», вы кликаете — кошелёк скомпрометирован. На самом деле его аккаунт взломан.

Защиты:

• ✅ Если знакомый присылает что-то «странное» — позвоните ему по телефону подтвердить
• ✅ Не кликайте на NFT-ссылки от незнакомых
• ✅ Включите End-to-end encryption в Telegram (Secret Chats)

Уровень 3. Approval-атаки (DeFi-специфика)

Что такое approval

Когда вы взаимодействуете с Uniswap, Aave или любым DeFi — приложение просит approval на использование ваших токенов. По умолчанию большинство dApps просят unlimited approval (на использование всех ваших USDT/ETH без ограничений).

Если потом окажется что dApp — скам или его контракт скомпрометирован, атакующий может вывести все ваши approved-токены без вашего подтверждения.

Защита

• ✅ Лимитируйте approval — вместо «unlimited» ставьте конкретную сумму (только то, что обмениваете прямо сейчас)
• ✅ Регулярно ревокайте approvals через revoke.cash — раз в месяц чистите все approvals со старых dApps
• ✅ Не подписывайте transactions, которые не понимаете — если в кошельке стоит «Approve unlimited tokens to 0xunknown...» — отмена

Уровень 4. Хардварные кошельки (для серьёзных сумм)

Если у вас более $5 000-10 000 в крипте — обязательно используйте hardware-кошелёк:

• Ledger Nano S Plus (~€80) — самый популярный
• Trezor Safe 3 (~€80) — open-source альтернатива
• Keystone (~€140) — air-gapped (без USB-кабеля)

Принцип: приватный ключ никогда не покидает hardware-устройство. Транзакции подписываются на самом устройстве, на компьютер передаётся только подписанная транзакция. Даже если ваш компьютер скомпрометирован — атакующий не получит ключи.

Покупка hardware-кошелька

⚠ Только с официальных сайтов — «ledger.com», «trezor.io». Никогда не покупайте на Avito, Wildberries, Aliexpress — там встречаются с предустановленным backdoor (продавец заранее настроил seed).

При получении hardware-кошелька:

1. Проверьте упаковку — голограмма Ledger, наклейка Trezor
2. Распаковка должна быть первой (вы создаёте seed сами)
3. Не используйте seed «в комплекте» — настоящие кошельки её НЕ предустанавливают

Уровень 5. Защита от sim-swap

Sim-swap — атакующий получает копию вашей сим-карты у мобильного оператора (через социалку или взяточничество), и через перевыпуск сим перехватывает SMS с биржевого 2FA.

Защиты

• ✅ Не используйте SMS-2FA — только Google Authenticator / Authy
• ✅ Установите "защиту от sim-swap" у мобильного оператора (МТС, Билайн, Мегафон — все имеют)
• ✅ Не указывайте номер телефона в публичных профилях (LinkedIn, Habr, GitHub)
• ✅ Если оператор позволяет — запрос на перевыпуск только через офис с паспортом

Уровень 6. Спам-токены (airdrop scams)

В кошельке могут появиться подозрительные токены, которые вы не покупали — например «1000 SCAMUSDT». Это спам-airdrop, его цель:

1. Заманить вас на сайт «продать токен»
2. Вы подключаете кошелёк, подписываете «approve»
3. Контракт ворует все ваши настоящие токены

Что делать со спам-токенами

• ❌ НИЧЕГО не делайте с ними. Не пытайтесь продать, обменять, вывести
• ❌ Не кликайте на ссылки в metadata токена
• ✅ Просто скройте их в интерфейсе (Trust Wallet и MetaMask позволяют)
• ✅ Если токен виден на DeFi-агрегаторах с курсом «$0.50» — это фейк-курс, не реальная цена

Чек-лист безопасности

Базовый (всем):

• ✅ Seed-фраза на бумаге, в 2 местах, не в облаке
• ✅ Кошелёк только из официальных источников
• ✅ 2FA через Google Authenticator на всех биржах
• ✅ Whitelist адресов на бирже
• ✅ Закладки в браузере, не клики по ссылкам

Средний (>$5к в крипте):

• ✅ Аппаратный кошелёк (Ledger/Trezor)
• ✅ Регулярный revoke approvals
• ✅ Защита от sim-swap у оператора
• ✅ Расширение Wallet Guard в браузере
• ✅ Не SMS-2FA на бирже

Параноидальный (>$50к):

• ✅ Несколько кошельков для разных задач (хранение / трейдинг / DeFi)
• ✅ Multi-sig через Safe (бывший Gnosis Safe) — 2 из 3 подписей
• ✅ Seed на металлических пластинах в банковской ячейке
• ✅ Passphrase (25-е слово) на Ledger
• ✅ Air-gapped настройка для крупных операций

Если уже взломали

1. Немедленно переведите оставшиеся средства на новый кошелёк (с новой seed)
2. Сообщите бирже и поддержке
3. Запишите все транзакции для расследования
4. Гайд: что делать если обменник кинул → — применима логика и для самого взлома
5. Полиция, юристы — для крупных потерь

⚠ Безопасность криптовалюты — это постоянная практика, не разовая настройка. Раз в квартал перечитывайте этот чек-лист и проверяйте свою защиту.

Гайд по seed-фразе → AML-проверка кошелька →