- 24.12.25
- 1
Разговоры о крипторисках часто застревают на уровне «не храните сид-фразу в облаке». На практике же основные потери в 2025 году возникали не по причине незнания азов, а из-за архитектурных дыр сервисов и грамотной манипуляции поведением. А технология чаще всего отрабатывала ровно так, как была задумана — просто не в пользу владельца средств. Ниже собраны наблюдения о том, как именно реализуются крипториски. Описание реальных сценариев, по итогам которых кто-то терял семизначные суммы, а кто-то довольно потирал ручки.
1. Self-custody как источник проблем, а не панацея
Идея «забрал ключи — стал в безопасности» на практике регулярно ломается о банальные операционные провалы. Self-custody часто начинается с покупки аппаратного кошелька или генерации сид-фразы — и почти никогда с выстроенной модели хранения и восстановления. Типовой сценарий: сид записан один раз, «чтобы был», устройство используется эпизодически, проверку восстановления никто не делал. Через год — апдейт прошивки, сброс, утеря девайса или забытый PIN. Блокчейн работает идеально, хаков нет, эксплойтов нет, чего еще нет? Верно, средств.
Как избежать: держать несколько физических копий сида и сделать хотя бы один тест восстановления до того, как суммы станут значимыми.
2. Социальная инженерия снова стала великой
Классический фишинг никуда не делся: поддельные сайты бирж, кошельков и проектов, рассылки с просьбами перейти по ссылке, выполнить действие, раскрыть ключи или установить «обновление». Всё чаще и элегантнее эксплуатируется желание защититься. Пользователю предлагают установить «более безопасный кошелёк», «проверить юридическую чистоту крипты», пройти «обязательную проверку» или обновить «критически важный компонент безопасности». Но фактически — это уверенный шаг прямо в ловушку. Также наблюдаем неизбежный рост атак с использованием дипфейк аудио и видео в реальном времени. Имитация голоса знакомого человека, начальника или публичной фигуры, усиливающая доверие и снижающая критичность восприятия.
В последние месяцы выросли потери от:
Как избежать: уверенно послать любые неожиданные запросы из серии «срочно подтвердить», «обновить», «проверить», даже если источник выглядит убедительно.
3. Контроль транзакций и блокировки
Все более строгие требования и ограничения от государств и банков делают вероятной блокировку даже добросовестных пользователей из-за «чужой грязи» в записанной в блокчейне истории. Не забываем и про биржи, процедуры для верификации пользователей (KYC - know your customer) и предотвращения отмыва денег (AML - anti-money laundering) вносят повсеместно. Примеров, когда тысячи долларов оставались за кирпичной стеной понимания сотрудника поддержки хватает, поэтому в биржах, от греха подальше, держим только чистые средства.
Как избежать: разделением кошельков по степени доверия и назначению. Например: приёмный кошелёк — прохождение проверки — основной кошелёк.
4.Address poisoning: незаметная приманка
Mаксимально тихий и эффективный приём. Заранее генерируют и отправляют жертве мелкие транзакции с адреса, визуально похожего на тот, куда часто идут деньги из кошелька жертвы: те же первые и последние символы. В истории кошелька появляется «знакомый» адрес, и при следующих переводах его легко случайно выбрать из списка недавних.
Никаких фишингов, жертва сама отправляет средства «туда же», куда уже отправлялa, с подсказочкой от интерфейса. Особенно хорошо работает с крупными кошельками, где десятки однотипных операций.
Как избежать: старое доброе копирование адресов вручную из проверенного источника, а не из истории.
5.Цифровое хранение сид-фраз как скрытая уязвимость
Сид-фразы продолжают храниться в цифровом виде: фотографии, заметки, PDF, облако, голосовые записи. Иногда — временно, иногда — «для удобства». Ключевая проблема не в каком-то одном формате, а в самом факте попадания в цифровую среду. Даже кратковременное хранение в облаке делает её доступной для вредоносного ПО, утечек, резервных копий и компрометации устройств. Это открывает непочатый край для атаки, и спрашивается, зачем тогда париться со взломом?
Как избежать: разделением на части и хранением в разных защищенных местах, либо в офлайне, иначе тут вопрос не “если”, а “когда”.
6.Иллюзия эффективности 2FA и мультиподписей
2FA и мультиподписи часто воспринимаются как защита 80-го уровня. На деле их эффективность сильно зависит от контекста использования. В DeFi 2FA вообще не является фактором доступа: решает исключительно приватный ключ, а не подтверждение личности. Мультиподпись снижает риск компрометации одного ключа, но не спасает, если скомпрометированы устройства нескольких подписантов или если все они по очереди подтверждают «обычную рабочую транзакцию». В 2025 году были кейсы, где multisig-кошельки теряли средства именно так — без взлома и багов, строго в рамках формально корректного процесса. Создаётся любопытный эффект: система считается защищённой ровно до того момента, пока её начинают использовать как защищённую.
Как избежать: разделять роли и контексты подписания. Multisig без независимых устройств и разных сетей, это лишь иллюзия защиты.
7.Эксплойты и ошибки в DeFi и смарт-контрактах
Даже небольшие ошибки в логике смарт-контрактов продолжают приводить к потерям на десятки и сотни миллионов. Reentrancy (повторный вызов функции), манипуляции оракулами, уязвимые админ-ключи и ошибки в проверках условий — базовые проблемы, которые никуда не делись и продолжают всплывать в новых контрактах. Ключевая особенность DeFi — компонуемость: контракты и протоколы связаны между собой, и ошибка в одном месте легко масштабируется через другие. Это усиливается flash-loan-механиками (мгновенные необеспеченные займы) и MEV-стратегиями, где решающим становится порядок транзакций.
Опережение — это когда атакующий видит транзакции в очереди и исполняет свои действия раньше, за счёт скорости и приоритета, а не за счёт обхода ограничений. Протоколы не ломают — их используют ровно так, как это технически позволяет система.
Как избежать: не кидаться в молодые протоколы. Если протокол сложнее, чем «депозит → процент → вывод», риск чаще заложен в дизайн, а не в реализацию.
8. Инвестиционные мошенничества (Rug Pull, Pump-and-Dump)
Классические инвестиционные схемы в стиле дядюшки Понци никуда не делись. Rug pull — резкое прекращение проекта с исчезновением средств. Краудсейлы с первичным размещением токенов часто заканчивались выдергиванием коврика из-под ног инвесторов. Pump-and-dump подразумевает искусственный разгон цены с последующим обвалом. Из инцидентов в этой сфере можно собрать учебник игры на эмоциях и психологических предубеждениях, жадности и страхе упустить выгоду, панике и страхе потерь.
Кейс мемкоина HAWK показал, как даже массовая розница и опытные трейдеры отключают скепсис при правильной подаче. Рост на ~900% за день — затем падение на ~90%, Команда полностью оборвала связь с инвесторами и пользователями, итог — потери до $450 млн.
Как избежать: как минимум — читать профессиональную аналитику и не спешить. Если основной аргумент проекта — «все уже зашли», значит, экзит скам уже заложен в сценарий.
9. Кросс-чейн мосты и оракулы
Кросс-чейн мосты и оракулы — инфраструктура, соединяющая разные системы, где любая неточность быстро превращается в экономический эксплойт. Оракулы передают внешние данные в смарт-контракты. Пользовательские ошибки здесь просты: доверие оракулам с тонкой ликвидностью, одиночным источникам и данным без проверки актуальности. Смарт-контракт честно использует цифры — и если они легко манипулируемы, деньги уходят точно по правилам протокола. Можно вспомнить кейс Mango Markets - цена токена была искусственно завышена через оракул, который брал данные с небольшой биржи. Код не взламывали, багов не искали — просто подали «правильные» цифры. Итог: более $110 млн потерь.
Мосты чаще всего работают по модели lock-and-mint: активы блокируются в одной сети, их «зеркало» выпускается в другой. Любая ошибка или атака на заблокированные токены может обесценить все обёрнутые активы. Ключевые ошибки — использование мостов с высокой долей централизованного доверия и протоколов с уязвимыми оракулами без понимания их компромиссов. Незрелость технологий делает рядовых пользователей фактически тестировщиками систем.
Как избежать: использовать мосты как временную инфраструктуру, а не как хранилище. Чем дольше актив «завёрнут», тем выше вероятность, что дизайн протокола сыграет против владельца.
10. Утечки данных со всеми вытекающими
Утечки почт и паролей в крипте редко являются финальной точкой — чаще это вход. Из баз утечек собирается профиль: на каких криптосервисах, форумах, маркетплейсах человек вообще засветился. Дальше подключается OSINT: соцсети, GitHub, Telegram, Discord — всё, что помогает связать адрес почты с реальным поведением.
Так появляются письма и сообщения, которые выглядят правдоподобно: с правильными названиями сервисов, терминологией и логикой действий. Даже если пароли давно сменены, сама связка почта → криптоактивность → используемые платформы уже работает против жертвы.
Сервисы вроде Have I Been Pwned (и аналогов) могут быть полезны в этом контексте — они показывают где адрес светился в утечках, а значит, насколько легко по нему собрать рабочий OSINT-профиль для точечной атаки.
Как избежать: минимизировать цифровой след. Криптопочта — отдельно, публичная активность — отдельно. Чем меньше связей, тем сложнее собрать профиль.
Крипториски — это не про паранойю, а про навык работы в среде, где ошибки необратимы. Чем глубже мы вовлечёны в экосистему, тем важнее детали: как устроено хранение, как и куда проходят средства, какие действия делаются «на автомате». Так что безопасность в этом контексте — не состояние, а постоянная адаптация своих решений к новым реалиям.
1. Self-custody как источник проблем, а не панацея
Идея «забрал ключи — стал в безопасности» на практике регулярно ломается о банальные операционные провалы. Self-custody часто начинается с покупки аппаратного кошелька или генерации сид-фразы — и почти никогда с выстроенной модели хранения и восстановления. Типовой сценарий: сид записан один раз, «чтобы был», устройство используется эпизодически, проверку восстановления никто не делал. Через год — апдейт прошивки, сброс, утеря девайса или забытый PIN. Блокчейн работает идеально, хаков нет, эксплойтов нет, чего еще нет? Верно, средств.
Как избежать: держать несколько физических копий сида и сделать хотя бы один тест восстановления до того, как суммы станут значимыми.
2. Социальная инженерия снова стала великой
Классический фишинг никуда не делся: поддельные сайты бирж, кошельков и проектов, рассылки с просьбами перейти по ссылке, выполнить действие, раскрыть ключи или установить «обновление». Всё чаще и элегантнее эксплуатируется желание защититься. Пользователю предлагают установить «более безопасный кошелёк», «проверить юридическую чистоту крипты», пройти «обязательную проверку» или обновить «критически важный компонент безопасности». Но фактически — это уверенный шаг прямо в ловушку. Также наблюдаем неизбежный рост атак с использованием дипфейк аудио и видео в реальном времени. Имитация голоса знакомого человека, начальника или публичной фигуры, усиливающая доверие и снижающая критичность восприятия.
В последние месяцы выросли потери от:
- кошельковых дрейнеров через фальшивые страницы «Claim / Check / Simulate»;
- рассылок «от имени проектов» через взломанные аккаунты;
- фейковых процедур по верификации пользователя (KYC - know your customer).
Как избежать: уверенно послать любые неожиданные запросы из серии «срочно подтвердить», «обновить», «проверить», даже если источник выглядит убедительно.
3. Контроль транзакций и блокировки
Все более строгие требования и ограничения от государств и банков делают вероятной блокировку даже добросовестных пользователей из-за «чужой грязи» в записанной в блокчейне истории. Не забываем и про биржи, процедуры для верификации пользователей (KYC - know your customer) и предотвращения отмыва денег (AML - anti-money laundering) вносят повсеместно. Примеров, когда тысячи долларов оставались за кирпичной стеной понимания сотрудника поддержки хватает, поэтому в биржах, от греха подальше, держим только чистые средства.
Как избежать: разделением кошельков по степени доверия и назначению. Например: приёмный кошелёк — прохождение проверки — основной кошелёк.
4.Address poisoning: незаметная приманка
Mаксимально тихий и эффективный приём. Заранее генерируют и отправляют жертве мелкие транзакции с адреса, визуально похожего на тот, куда часто идут деньги из кошелька жертвы: те же первые и последние символы. В истории кошелька появляется «знакомый» адрес, и при следующих переводах его легко случайно выбрать из списка недавних.
Никаких фишингов, жертва сама отправляет средства «туда же», куда уже отправлялa, с подсказочкой от интерфейса. Особенно хорошо работает с крупными кошельками, где десятки однотипных операций.
Как избежать: старое доброе копирование адресов вручную из проверенного источника, а не из истории.
5.Цифровое хранение сид-фраз как скрытая уязвимость
Сид-фразы продолжают храниться в цифровом виде: фотографии, заметки, PDF, облако, голосовые записи. Иногда — временно, иногда — «для удобства». Ключевая проблема не в каком-то одном формате, а в самом факте попадания в цифровую среду. Даже кратковременное хранение в облаке делает её доступной для вредоносного ПО, утечек, резервных копий и компрометации устройств. Это открывает непочатый край для атаки, и спрашивается, зачем тогда париться со взломом?
Как избежать: разделением на части и хранением в разных защищенных местах, либо в офлайне, иначе тут вопрос не “если”, а “когда”.
6.Иллюзия эффективности 2FA и мультиподписей
2FA и мультиподписи часто воспринимаются как защита 80-го уровня. На деле их эффективность сильно зависит от контекста использования. В DeFi 2FA вообще не является фактором доступа: решает исключительно приватный ключ, а не подтверждение личности. Мультиподпись снижает риск компрометации одного ключа, но не спасает, если скомпрометированы устройства нескольких подписантов или если все они по очереди подтверждают «обычную рабочую транзакцию». В 2025 году были кейсы, где multisig-кошельки теряли средства именно так — без взлома и багов, строго в рамках формально корректного процесса. Создаётся любопытный эффект: система считается защищённой ровно до того момента, пока её начинают использовать как защищённую.
Как избежать: разделять роли и контексты подписания. Multisig без независимых устройств и разных сетей, это лишь иллюзия защиты.
7.Эксплойты и ошибки в DeFi и смарт-контрактах
Даже небольшие ошибки в логике смарт-контрактов продолжают приводить к потерям на десятки и сотни миллионов. Reentrancy (повторный вызов функции), манипуляции оракулами, уязвимые админ-ключи и ошибки в проверках условий — базовые проблемы, которые никуда не делись и продолжают всплывать в новых контрактах. Ключевая особенность DeFi — компонуемость: контракты и протоколы связаны между собой, и ошибка в одном месте легко масштабируется через другие. Это усиливается flash-loan-механиками (мгновенные необеспеченные займы) и MEV-стратегиями, где решающим становится порядок транзакций.
Опережение — это когда атакующий видит транзакции в очереди и исполняет свои действия раньше, за счёт скорости и приоритета, а не за счёт обхода ограничений. Протоколы не ломают — их используют ровно так, как это технически позволяет система.
Как избежать: не кидаться в молодые протоколы. Если протокол сложнее, чем «депозит → процент → вывод», риск чаще заложен в дизайн, а не в реализацию.
8. Инвестиционные мошенничества (Rug Pull, Pump-and-Dump)
Классические инвестиционные схемы в стиле дядюшки Понци никуда не делись. Rug pull — резкое прекращение проекта с исчезновением средств. Краудсейлы с первичным размещением токенов часто заканчивались выдергиванием коврика из-под ног инвесторов. Pump-and-dump подразумевает искусственный разгон цены с последующим обвалом. Из инцидентов в этой сфере можно собрать учебник игры на эмоциях и психологических предубеждениях, жадности и страхе упустить выгоду, панике и страхе потерь.
Кейс мемкоина HAWK показал, как даже массовая розница и опытные трейдеры отключают скепсис при правильной подаче. Рост на ~900% за день — затем падение на ~90%, Команда полностью оборвала связь с инвесторами и пользователями, итог — потери до $450 млн.
Как избежать: как минимум — читать профессиональную аналитику и не спешить. Если основной аргумент проекта — «все уже зашли», значит, экзит скам уже заложен в сценарий.
9. Кросс-чейн мосты и оракулы
Кросс-чейн мосты и оракулы — инфраструктура, соединяющая разные системы, где любая неточность быстро превращается в экономический эксплойт. Оракулы передают внешние данные в смарт-контракты. Пользовательские ошибки здесь просты: доверие оракулам с тонкой ликвидностью, одиночным источникам и данным без проверки актуальности. Смарт-контракт честно использует цифры — и если они легко манипулируемы, деньги уходят точно по правилам протокола. Можно вспомнить кейс Mango Markets - цена токена была искусственно завышена через оракул, который брал данные с небольшой биржи. Код не взламывали, багов не искали — просто подали «правильные» цифры. Итог: более $110 млн потерь.
Мосты чаще всего работают по модели lock-and-mint: активы блокируются в одной сети, их «зеркало» выпускается в другой. Любая ошибка или атака на заблокированные токены может обесценить все обёрнутые активы. Ключевые ошибки — использование мостов с высокой долей централизованного доверия и протоколов с уязвимыми оракулами без понимания их компромиссов. Незрелость технологий делает рядовых пользователей фактически тестировщиками систем.
Как избежать: использовать мосты как временную инфраструктуру, а не как хранилище. Чем дольше актив «завёрнут», тем выше вероятность, что дизайн протокола сыграет против владельца.
10. Утечки данных со всеми вытекающими
Утечки почт и паролей в крипте редко являются финальной точкой — чаще это вход. Из баз утечек собирается профиль: на каких криптосервисах, форумах, маркетплейсах человек вообще засветился. Дальше подключается OSINT: соцсети, GitHub, Telegram, Discord — всё, что помогает связать адрес почты с реальным поведением.
Так появляются письма и сообщения, которые выглядят правдоподобно: с правильными названиями сервисов, терминологией и логикой действий. Даже если пароли давно сменены, сама связка почта → криптоактивность → используемые платформы уже работает против жертвы.
Сервисы вроде Have I Been Pwned (и аналогов) могут быть полезны в этом контексте — они показывают где адрес светился в утечках, а значит, насколько легко по нему собрать рабочий OSINT-профиль для точечной атаки.
Как избежать: минимизировать цифровой след. Криптопочта — отдельно, публичная активность — отдельно. Чем меньше связей, тем сложнее собрать профиль.
Крипториски — это не про паранойю, а про навык работы в среде, где ошибки необратимы. Чем глубже мы вовлечёны в экосистему, тем важнее детали: как устроено хранение, как и куда проходят средства, какие действия делаются «на автомате». Так что безопасность в этом контексте — не состояние, а постоянная адаптация своих решений к новым реалиям.
⚠️ Автор объявления — непроверенный пользователь.
Используйте гарант-сервис форума, чтобы избежать рисков.
