Проверено OneMagicОбновлено: 26.06.2026Как мы проверяем инструкции

Безопасность криптокошелька держится не на одном приложении, а на системе привычек: seed-фраза хранится офлайн, домены проверяются перед подключением, подписи читаются до подтверждения, approvals контролируются, а основной кошелёк не используется для рискованных действий. Если seed-фраза утекла или вы подписали вредное разрешение, транзакцию в блокчейне нельзя отменить как обычный банковский перевод.
Мини-чек-лист безопасности:

  • seed-фраза хранится офлайн, не в телефоне и не в облаке

  • домен сайта проверяется до подключения кошелька

  • основной кошелёк не подключается к неизвестным сервисам

  • approvals регулярно проверяются и отзываются при необходимости

  • для сделок используется отдельный кошелёк

  • расширения и приложения устанавливаются только из официальных источников

  • включён пароль на устройство и блокировка экрана

Чем криптокошелёк отличается от банковского приложения

В банке есть поддержка, блокировка карты, процедура оспаривания и возврата средств. В self-custody-кошельке пользователь сам контролирует ключи: если seed-фраза утекла, кошелёк можно импортировать на другом устройстве и распоряжаться средствами без уведомления. Если пользователь подписал вредное разрешение для смарт-контракта, токены могут быть списаны в рамках ранее выданного разрешения — без дополнительного запроса.

В криптокошельке главная защита — не «отменить потом», а «не дать доступ заранее».

Что такое seed-фраза и почему её нельзя показывать

Seed-фраза — это главный резервный ключ к кошельку. Кто знает seed-фразу, может восстановить кошелёк на другом устройстве и получить полный контроль над всеми средствами. Если seed-фраза скомпрометирована, кошелёк нужно считать небезопасным: злоумышленник может получить доступ к средствам в любой момент, и поддержка кошелька не сможет это предотвратить или восстановить за пользователя.

Настоящая поддержка MetaMask, Ledger, Trezor и других кошельков не должна просить seed/recovery phrase — любая такая просьба является признаком скама. Что нельзя делать с seed-фразой:

  • фотографировать

  • хранить в заметках телефона

  • отправлять себе в Telegram или по email

  • хранить в облачных сервисах: Google Drive, iCloud, Dropbox

  • вводить на любых сайтах

  • отправлять «поддержке»

  • диктовать по телефону или видеосвязи

  • хранить рядом с паролем от устройства

Где хранить seed-фразу безопаснее

Надёжное хранение seed-фразы — физический формат офлайн:

  • записать на бумаге и хранить в безопасном месте без доступа посторонних

  • для значимых сумм использовать металлическую пластину, устойчивую к воде и огню

  • не подписывать носитель словами «крипта», «кошелёк» или именем кошелька

  • не держать seed рядом с устройством, на котором установлен кошелёк

  • при необходимости создать резервную копию в другом защищённом физическом месте, но не увеличивать число копий без причины — каждая копия создаёт дополнительную точку возможной утечки

Если seed-фраза попала в интернет — кошелёк нужно считать скомпрометированным немедленно.

Пароль от кошелька — это не seed-фраза

Это разные уровни защиты, и путать их опасно:

  • пароль защищает приложение на конкретном устройстве

  • seed-фраза восстанавливает кошелёк целиком на любом устройстве

Если злоумышленник знает seed-фразу, пароль уже не защищает. Если вы потеряли пароль, но seed-фраза есть — доступ можно восстановить. Если потеряли seed-фразу, официальная поддержка self-custody-кошелька не сможет её восстановить — это архитектурная особенность таких кошельков.

Фишинговые сайты: как крадут доступ к кошельку

Фишинг — один из самых частых способов кражи криптовалюты. Пользователь переходит на сайт, похожий на настоящий, подключает кошелёк и либо вводит seed-фразу, либо подписывает вредное действие. Типичные сценарии:

  • домен отличается одной буквой или символом

  • сайт открыт по рекламной ссылке или из комментария

  • фейковая поддержка присылает ссылку в Telegram

  • сайт предлагает «вернуть зависший перевод» или «разблокировать кошелёк»

  • сайт просит «подтвердить кошелёк» через ввод seed-фразы

  • фейковое приложение из магазина копирует интерфейс оригинала

HTTPS-замок не является гарантией безопасности сайта — он лишь подтверждает шифрование соединения, но не подлинность ресурса. Для часто используемых сервисов лучше открывать сайт из заранее сохранённой закладки, а не из рекламы, поиска, Telegram или комментариев.

Поддельная поддержка и recovery-сервисы

Мошенники активно используют образ официальной поддержки, чтобы выманить seed-фразу или деньги за «разблокировку». Красные флаги:

  • пишут первыми в Telegram или Discord

  • обещают вернуть любой перевод или «разблокировать» кошелёк

  • просят seed-фразу или 12/24 слова

  • просят установить AnyDesk, TeamViewer или другой удалённый доступ

  • просят «комиссию за разблокировку» или «верификацию кошелька»

  • присылают ссылку с логотипом Ledger, MetaMask или биржи

  • давят срочностью: «действуйте немедленно, иначе потеряете средства»

  • предлагают «recovery-сервис» за процент от суммы

Официальная поддержка кошелька не пишет первой и не просит фразу восстановления никогда.

Опасные подписи: почему можно потерять токены без прямого перевода

Многие теряют средства не потому, что сами отправили перевод, а потому что подписали approval — разрешение для смарт-контракта. После такого разрешения вредный контракт может получить возможность списывать активы в рамках ранее выданного разрешения. Что настораживает при подписи:

  • unlimited approval — разрешение на всю сумму токена

  • setApprovalForAll — разрешение на все NFT коллекции

  • неизвестный адрес контракта

  • кошелёк показывает предупреждение

  • сайт давит срочностью или просит подписать «для активации»

  • dApp незнаком или недавно появился

Что такое approvals и как их проверять

Approval — это разрешение смарт-контракту тратить токены на вашем адресе. Оно остаётся активным после сделки и может стать риском, если контракт или сайт окажется вредным. Что делать:

  • периодически проверять активные approvals через инструменты кошелька

  • отзывать ненужные разрешения после каждой значимой сделки

  • не давать unlimited approval без понятной необходимости

  • использовать отдельный кошелёк для рискованных dApp

  • после подозрительной подписи немедленно проверить разрешения

  • помнить: отзыв approvals — это отдельная транзакция, требующая комиссии сети

MetaMask Portfolio позволяет просматривать и отзывать token allowances на поддерживаемых сетях.

Разделение кошельков: основной, рабочий и тестовый

Главная ошибка — использовать один кошелёк для всего: хранения, обменов и тестирования новых сайтов. Если такой кошелёк скомпрометирован, под риском сразу все активы.

Удобная схема разделения:

  • Основной кошелёк: только для хранения; не подключается к dApp; минимум транзакций; не используется для тестов

  • Рабочий кошелёк: для P2P, обменников, переводов и небольших операций

  • Тестовый кошелёк: для новых сайтов, airdrop, NFT, незнакомых dApp и экспериментов

Горячий, холодный и аппаратный кошелёк

  • Горячий кошелёк постоянно подключён к интернету и удобен для операций, но более уязвим

  • Холодный кошелёк используется для хранения с минимальным взаимодействием и без частых подключений к сети

  • Аппаратный кошелёк хранит ключи отдельно от компьютера; подписание транзакций требует физического подтверждения на устройстве

Аппаратный кошелёк не спасает от всех рисков: если пользователь сам подтверждает вредную транзакцию на устройстве, риск остаётся. Для крупных сумм лучше использовать отдельное хранение и тестировать операции небольшими суммами.

Безопасность устройства и браузера

Кошелёк на заражённом устройстве — слабое место всей системы безопасности. Что делать:

  • не устанавливать пиратские программы и APK из неизвестных источников

  • не ставить случайные расширения браузера

  • не давать удалённый доступ к устройству

  • не работать с кошельком через публичный Wi-Fi без необходимости

  • обновлять ОС, браузер и расширение кошелька

  • использовать пароль на устройство и блокировку экрана

  • проверять список установленных расширений и удалять неизвестные

  • использовать отдельный браузер-профиль для криптоопераций

Как проверять сайт перед подключением кошелька

Чек-лист перед подключением кошелька:

  • домен написан правильно, без лишних символов или замены букв

  • ссылка открыта из закладки или официального источника, не из рекламы

  • сайт не просит seed-фразу

  • сайт не давит срочностью

  • dApp понятен и его назначение ясно

  • кошелёк показывает ожидаемую операцию, не странный approve

  • нет разрешения на весь баланс или все NFT

  • подключается тестовый, а не основной кошелёк

Как проверять адрес перед переводом

Ошибка в адресе не исправляется — транзакция необратима:

  • копировать адрес, не вводить вручную

  • после копирования сверять первые и последние символы: вредоносные программы могут подменять адрес в буфере обмена

  • проверять сеть и токен

  • проверять memo/tag/comment, если требуется

  • делать тестовый перевод при крупной сумме

  • не использовать адрес из Telegram без дополнительной проверки

  • опасаться address poisoning — подмены похожего адреса в истории транзакций; мошенники специально делают небольшой перевод с похожего адреса, чтобы вы скопировали его из истории

Что делать, если вы ввели seed-фразу на сайте

Это аварийная ситуация, и действовать нужно немедленно:

  1. Считать кошелёк скомпрометированным — пароль проблему не решит

  2. Создать новый кошелёк с новой seed-фразой на чистом устройстве

  3. Проверить, есть ли нативная монета для оплаты комиссии сети (ETH, TRX, BNB, TON); не пополняйте скомпрометированный кошелёк крупной суммой — злоумышленник может отслеживать поступления

  4. Срочно перевести оставшиеся средства на новый адрес

  5. Не переносить старую seed-фразу в новый кошелёк

  6. Проверить approvals на старом адресе, если там ещё есть активы

  7. Не отвечать «поддержке», которая предлагает «помочь вернуть»

  8. Сохранить данные фишингового сайта и TxID всех подозрительных транзакций

Что делать, если подписали подозрительную транзакцию

  • не подписывать ничего дальше

  • проверить историю транзакций: была ли фактическая операция

  • немедленно проверить активные approvals

  • отозвать подозрительные разрешения

  • перевести ценные активы на новый кошелёк

  • удалить подозрительный dApp из списка подключений

  • не ждать, пока «само пройдёт» — разрешение остаётся активным

Если проблема не только в approval, а в утечке seed-фразы, отзыв разрешений не решает проблему. В таком случае нужен новый кошелёк с новой seed-фразой.

Что делать, если кошелёк уже взломали

  1. Зафиксировать TxID кражи и адреса злоумышленника

  2. Не отправлять средства на скомпрометированный кошелёк; даже если он снова открывается, не используйте его для хранения: злоумышленник может сохранять доступ через seed или активные разрешения

  3. Создать новый кошелёк и перевести всё, что ещё осталось

  4. Проверить approvals и отозвать подозрительные разрешения

  5. Удалить вредные расширения и проверить устройство на наличие вредоносного ПО

  6. Сохранить скрины, адреса, суммы и время для обращений

  7. Написать в поддержку биржи, если украденные средства ушли туда

  8. Не платить recovery-сервисам за «возврат» — это новый скам поверх первого

Что нельзя делать с криптокошельком

  • хранить seed-фразу в телефоне, облаке, почте или мессенджерах

  • вводить seed на любых сайтах

  • фотографировать seed

  • подключать основной кошелёк к неизвестным dApp

  • подписывать approvals без понимания, на что даётся разрешение

  • давать unlimited approval без необходимости

  • устанавливать случайные расширения или APK

  • скачивать кошелёк по рекламной ссылке

  • платить recovery-сервисам или «специалистам по возврату»

  • устанавливать удалённый доступ по чьей-либо просьбе

  • хранить все активы на одном горячем кошельке

Чек-лист безопасности криптокошелька

Минимальный уровень:

  • seed офлайн, не в телефоне и не в облаке

  • домены проверяются до подключения кошелька, открываются из закладок

  • основной кошелёк не подключается к новым сайтам

  • включён пароль на устройстве и блокировка экрана

Средний уровень:

  • отдельный кошелёк для сделок и тестов

  • approvals проверяются и отзываются при необходимости

  • отдельный браузер-профиль для криптоопераций

  • тестовые переводы при крупных суммах

  • нет случайных расширений в браузере

Высокий уровень:

  • аппаратный кошелёк для самостоятельного хранения

  • холодный кошелёк не взаимодействует с dApp

  • seed хранится в защищённом физическом месте с резервной копией в другом месте

  • есть план восстановления доступа и порядок передачи при необходимости

  • крупные операции тестируются малой суммой