By
Ключевые выводы:
В первой половине 2025 года было украдено более 2,4 миллиарда долларов, что уже превышает общий показатель 2024 года.
Повседневные ловушки, такие как фишинг, токсичные одобрения и ложная «поддержка», наносят больший ущерб, чем экзотические эксплойты.
Надежная 2FA, тщательное подписание, разделение горячего и холодного кошельков и чистые устройства значительно снижают риск.
Наличие плана восстановления — с инструментами отзыва, контактами службы поддержки и порталами для отчетности — может превратить ошибку в неудачу, а не в катастрофу.
Крипто-хаки по-прежнему набирают популярность. Только за первую половину 2025 года охранные фирмы зафиксировали украденное более 2,4 миллиарда долларов в результате более чем 300 инцидентов, что уже превышает общий объем краж в 2024 году.
Одно серьезное нарушение: кража Bybit приписывается северокорейским группамисказил цифры вверх, но это не должно привлекать к себе все внимание.
Большинство повседневных потерь по-прежнему происходит из-за простых ловушек: фишинговые ссылкивредоносные одобрения кошельков, замена SIM-карт и поддельные учетные записи «поддержки».
Хорошая новость: вам не обязательно быть экспертом по кибербезопасности, чтобы повысить свою безопасность. Несколько основных привычек (которые вы можете выработать за считанные минуты) могут значительно снизить риск.
Вот семь, которые будут иметь наибольшее значение в 2025 году.
1. Откажитесь от SMS: используйте устойчивую к фишингу 2FA повсюду
Если вы все еще полагаетесь на SMS-коды для защиты своих учетных записей, вы подвергаете себя опасности.
Атаки с заменой SIM-карты остаются одним из наиболее распространенных способов, с помощью которых преступники опустошают кошельки, а прокуратура продолжает конфисковывать привязанные к ним миллионы.
Более безопасный ход — защита от фишинга двухфакторная аутентификация (2FA) (подумайте об аппаратных ключах безопасности или ключах доступа к платформе).
Начните с блокировки наиболее важных учетных записей: электронной почты, бирж и менеджера паролей.
НАС агентства кибербезопасности Например, Агентство по кибербезопасности и безопасности инфраструктуры подчеркивает это, поскольку оно блокирует фишинговые трюки и мошенничества с «усталостью от нажатия», которые обходят более слабые формы многофакторной аутентификации (MFA).
Соедините его с длинными уникальными парольными фразами (длина превосходит сложность), храните резервные коды офлайн и онлайн. обмены и включите списки разрешений на снятие средств, чтобы средства могли переводиться только на адреса, которые вы контролируете.
Вы знали? В первой половине 2025 года количество фишинговых атак, нацеленных на пользователей криптовалют, выросло на 40%, причем основным вектором являются поддельные сайты обмена.
2. Гигиена подписания: прекратите утечку и одобрение токсичных веществ.
Большинство людей не теряют средства из-за передовых эксплойтов; они теряют их из-за одной-единственной плохой подписи.
Злоумышленники обманом заставляют вас предоставлять неограниченные разрешения или одобрение мошеннических сделок. Как только вы подпишете, они смогут неоднократно сливать ваши средства без повторного запроса.
Лучшая защита — это замедление: внимательно читайте каждый запрос на подпись, особенно когда вы видите «setApprovalForAll», «Permit/Permit2» или неограниченное «одобрить».
Если вы экспериментируете с новыми децентрализованные приложения (DApps)используйте одноразовый кошелек для монет или рискованных операций и храните свои основные активы в отдельном хранилище. Периодически отзывайте неиспользованные разрешения с помощью таких инструментов, как Revoke.cash — это просто и стоит небольших затрат на бензин.
Исследователи уже отслеживают резкий рост краж, совершаемых с помощью сливов, особенно с мобильных устройств. Хорошие привычки в подписании разрывают эту цепочку еще до того, как она начнется.
3. Горячее и холодное: разделите расходы на сбережения.
Думайте о кошельках так же, как о банковских счетах.
А горячий кошелек это ваш текущий счет, подходящий для расходов и взаимодействия с приложениями.
А аппаратное обеспечение или кошелек с мультиподписью — это ваше хранилище, созданное для долгосрочного и безопасного хранения.
Хранение ваших личных ключей в автономном режиме практически исключает воздействие вредоносных программ и вредоносных веб-сайтов.
Для долгосрочной экономии запишите свою исходную фразу на бумаге или стали: никогда не храните ее на телефоне, компьютере или в облачном сервисе.
Прежде чем переводить серьезные средства, протестируйте настройку восстановления с помощью небольшого восстановления. Если вы уверены в обеспечении дополнительной безопасности, рассмотрите возможность добавления кодовой фразы BIP-39но помните, что его потеря означает потерю доступа навсегда.
Для более крупных балансов или общих казначейских кошельков с мультиподписью могут потребоваться подписи с двух или трех отдельных устройств, прежде чем какая-либо транзакция будет одобрена, что значительно затрудняет кражу или несанкционированный доступ.
Вы знали? В 2024 году компрометация закрытых ключей составила 43,8% всех украденных криптофондов.
4. Гигиена устройства и браузера
Настройка вашего устройства так же важна, как и ваш кошелек.
Обновления исправляют те самые уязвимости, на которые полагаются злоумышленники, поэтому включите автоматические обновления для вашей операционной системы, приложений браузера и кошелька и перезагружайтесь при необходимости.
Сведите к минимуму расширения браузера — несколько громкие кражи произошли в результате взлома или вредоносных надстроек. Использование специального браузера или профиля только для криптовалюты помогает предотвратить утечку файлов cookie, сеансов и логинов в повседневный просмотр.
Пользователям аппаратного кошелька следует по умолчанию отключить слепую подпись: она скрывает детали транзакции и подвергает вас ненужному риску, если вас обманут.
По возможности выполняйте конфиденциальные действия на чистом рабочем столе, а не на телефоне, заполненном приложениями. Стремитесь к минимальной обновленной настройке с как можно меньшим количеством потенциальных поверхностей атаки.
5. Проверьте перед отправкой: адреса, цепочки, контракты.
Самый простой способ потерять криптовалюту — отправить ее не туда. Всегда дважды проверяйте адрес получателя и сеть, прежде чем нажать «Отправить».
При первом переводе внесите небольшой пробный платеж (дополнительная комиссия стоит вашего спокойствия). При работе с токенами или невзаимозаменяемые токены (NFT)убедитесь, что у вас правильный контракт, проверив официальный сайт проекта, авторитетные агрегаторы, такие как CoinGecko и исследователи, такие как Etherscan.
Прежде чем взаимодействовать с каким-либо контрактом, ищите подтвержденный код или значки владения. Никогда не вводите адрес кошелька вручную — всегда копируйте и вставляйте его, подтверждая первый и последний символы, чтобы избежать перестановки буфера обмена. Избегайте копирования адресов непосредственно из истории транзакций, поскольку атаки с использованием пыли или поддельные записи могут заставить вас повторно использовать скомпрометированный адрес.
Будьте особенно осторожны с веб-сайтами с «аирдропами», особенно с теми, которые запрашивают необычные разрешения или действия между цепочками. Если что-то не так, сделайте паузу и проверьте ссылку по официальным каналам проекта. А если вы уже предоставили подозрительные разрешения, немедленно отзовите их, прежде чем продолжить.
6. Социально-инженерная защита: романтика, «задачи», перевоплощение.
Крупнейшие крипто-мошенничества редко полагаются на код — они полагаются на людей.
Романтика и забой свиней схемы создают фальшивые отношения и используют поддельные торговые панели, чтобы показать сфабрикованную прибыль, а затем оказывают давление на жертв, чтобы они внесли больше денег или заплатили фиктивные «комиссии за освобождение».
Мошенничество с вакансиями часто начинается с дружеских сообщений в WhatsApp или Telegram, предлагающих микрозадания и небольшие выплаты, а затем переходит в схемы депозитов. Лица, выдающие себя за «сотрудников службы поддержки», могут затем попытаться поделиться с вами экраном или обманом заставить вас раскрыть исходную фразу.
Суть всегда одна и та же: настоящая служба поддержки никогда не будет запрашивать ваши личные ключи, отправлять вас на похожий сайт или запрашивать оплату через биткойн-банкоматы или подарочные карты. Как только вы заметите эти красные флажки, немедленно прекратите контакт.
Вы знали? В 2024 году количество вкладов в мошенничество с забоем свиней выросло примерно на 210% по сравнению с аналогичным периодом прошлого года, хотя средняя сумма вклада снизилась.
7. Готовность к восстановлению: сделайте ошибки возможными
Даже самые осторожные люди ошибаются. Разница между катастрофой и восстановлением заключается в подготовке.
Держите короткую автономную карточку «разбитого стекла» с вашими ресурсами для восстановления ключей: проверенными ссылками на поддержку обмена, надежным инструментом отзыва и официальными порталами отчетности, такими как Федеральная торговая комиссия и Центр рассмотрения жалоб на интернет-преступления ФБР (IC3).
Если что-то пойдет не так, включите хэши транзакцийадреса кошельков, суммы, временные метки и снимки экрана в вашем отчете. Следователи часто связывают несколько дел посредством этих общих деталей.
Возможно, вы не сможете вернуть средства немедленно, но наличие плана превратит полную потерю в управляемую ошибку.
Если случится худшее: что делать дальше
Если вы перешли по вредоносной ссылке или отправили средства по ошибке, действуйте быстро. Перенесите все оставшиеся активы в новый кошелек, который вы полностью контролируете, а затем отзовите старые разрешения с помощью надежных инструментов, таких как средство проверки одобрения токенов Etherscan или Revoke.cash.
Измените свои пароли, переключитесь на устойчивую к фишингу 2FA, выйдите из всех других сеансов и проверьте настройки электронной почты на предмет правил пересылки или фильтрации, которые вы не создавали.
Затем переходите к эскалации: свяжитесь со своей биржей, чтобы отметить адреса назначения и отправить отчет в IC3 или местному регулятору. Включите хэши транзакций, адреса кошельков, временные метки и снимки экрана; эти детали помогают следователям связать дела, даже если восстановление требует времени.
Более широкий урок прост: семь привычек (сильный MFA, тщательное подписание, разделение горячих и холодных кошельков, поддержание чистоты устройств, проверка перед отправкой, внимательное отношение к социальной инженерии и наличие плана восстановления) блокируют большинство повседневных криптоугроз.
Начните с малого: обновите свою 2FA и ужесточите гигиену подписи сегодня, а затем наращивайте ее. Небольшая подготовка сейчас может избавить вас от катастрофических потерь позднее в 2025 году.
Эта статья не содержит инвестиционных советов или рекомендаций. Каждое инвестиционное и торговое движение сопряжено с риском, и при принятии решения читатели должны провести собственное исследование.
