Початківець
Безпека криптовалют ніколи не була такою важливою. У 2022 році було вкрадено понад $3,8 мільярда у користувачів та платформ криптовалют — і ця цифра враховує лише відомі злами. Я в криптосфері з 2019 року, і за цей час бачив, як друзі втрачали кошти через фішингові листи, спостерігав, як біржі руйнувалися за одну ніч, і сам ледь не потрапив на підроблений додаток гаманця. Різниця між збереженням вашої крипти та втратою всього часто зводиться до кількох базових звичок.
Цей посібник охоплює загрози безпеці, з якими стикається кожен крипто-користувач, практичні кроки для захисту та помилки, яких я навчився уникати з власного досвіду. Чи тримаєте ви $100, чи $100 000 у крипті, ці принципи однаково застосовні.
Чому безпека криптовалют відрізняється
Традиційний банкінг має страховку. Якщо хтось вкрав номер вашої кредитної картки, ви телефонуєте в банк, вони скасовують списання, і ви отримуєте нову картку. Криптовалюта працює інакше.
З криптою ви — свій власний банк. Немає відділу боротьби з шахрайством, немає кнопки скасування транзакції, і немає страхування на більшості платформ. Щойно транзакція підтверджена в блокчейні, вона незворотна. Це водночас сила і ризик децентралізованих фінансів.
Три характеристики роблять безпеку криптовалют унікально складною:
- Незворотність: Транзакції в блокчейні не можна скасувати. Відправте крипту на неправильну адресу або шахраю, і вона зникне назавжди.
- Псевдоанонімність: Злодії можуть діяти за анонімними гаманцями, роблячи повернення коштів майже неможливим.
- Відповідальність за самозберігання: Якщо ви контролюєте свої ключі (що вам і слід робити), ви відповідаєте за їх збереження — ніхто інший не зможе їх відновити за вас.
З мого досвіду, більшість крипто-втрат виникають не через складні зломи. Вони виникають через прості помилки: повторне використання паролів, натискання на фішингові посилання або зберігання сід-фраз на телефоні. Хороша новина в тому, що базова гігієна безпеки запобігає переважній більшості загроз. Для базових рекомендацій з безпеки дивіться Посібник з безпеки гаманця Bitcoin.org.
Найпоширеніші загрози безпеці криптовалют
Фішингові атаки
Фішинг — це спосіб номер один, як люди втрачають криптовалюту. Зловмисники створюють підроблені сайти, електронні листи або повідомлення в соціальних мережах, які виглядають ідентично легітимним сервісам. Вони можуть видавати себе за вашу біржу, провайдера гаманця або навіть друга.
Я особисто отримав десятки фішингових листів, які виглядали точно як повідомлення від Binance або MetaMask. URL-адреси часто відрізняються на один символ — metamask.io vs metamaask.io. Якщо ви поспішаєте, легко пропустити.
Як захистити себе:
- Додайте офіційні URL-адреси всіх бірж та гаманців, якими ви користуєтесь, у закладки — ніколи не натискайте на посилання з листів чи повідомлень
- Увімкніть антифішингові коди на біржах, які їх підтримують (більшість великих бірж пропонують цю функцію)
- Перевіряйте URL в адресному рядку браузера перед введенням будь-яких облікових даних
- Ніколи не повідомляйте свою сід-фразу або приватні ключі нікому, хто стверджує, що він “підтримка”
Атаки підміни SIM-картки
При атаці підміни SIM-картки злочинець переконує вашого мобільного оператора перенести ваш номер телефону на SIM-картку, яку він контролює. Отримавши ваш номер, він може перехоплювати SMS-коди двофакторної автентифікації та отримувати доступ до ваших облікових записів на біржах.
Як захистити себе:
- Ніколи не використовуйте SMS-засновану 2FA для крипто-акаунтів — використовуйте додаток автентифікації (Google Authenticator, Authy) або апаратний ключ безпеки замість цього
- Встановіть PIN-код або пароль у мобільного оператора для запобігання несанкціонованим змінам
- Використовуйте окрему електронну адресу для крипто-акаунтів, не прив’язану до вашого номера телефону
Шкідливе ПЗ та перехоплення буфера обміну
Шкідливе ПЗ для перехоплення буфера обміну непомітно відстежує буфер обміну вашого комп’ютера. Коли ви копіюєте крипто-адресу для відправки коштів, шкідливе ПЗ замінює її на адресу зловмисника. Ви вставляєте те, що вважаєте правильною адресою, підтверджуєте транзакцію, і ваша крипта йде до злодія.
Як захистити себе:
- Завжди перевіряйте перші та останні 4-6 символів будь-якої адреси, яку ви вставляєте
- Використовуйте функції білого списку адрес на біржах, де вони доступні
- Підтримуйте актуальність операційної системи та антивірусного ПЗ
- Не завантажуйте програми з неофіційних джерел
Підроблені додатки та сайти
Підроблені додатки гаманців регулярно з’являються в магазинах додатків. Деякі навіть накопичують тисячі відгуків, перш ніж їх видалять. Ці додатки виглядають і працюють як справжні гаманці, але надсилають вашу сід-фразу безпосередньо зловмиснику, коли ви створюєте “новий гаманець”.
Як захистити себе:
- Завантажуйте додатки гаманців тільки з офіційних посилань на сайті проєкту
- Ретельно перевіряйте ім’я розробника та дату публікації
- Читайте останні відгуки — шукайте повідомлення про підозрілу поведінку
- Будьте обережні з додатками з дуже малою кількістю завантажень, що стверджують, що вони популярні гаманці
Соціальна інженерія та видавання за іншу особу
Шахраї видають себе за агентів підтримки, інфлюенсерів і навіть друзів у приватних повідомленнях. Вони пропонують “допомогу” з проблемою або представляють “обмежену за часом можливість”, яка вимагає від вас надіслати крипту або поділитися ключами.
Типовий шаблон: хтось пише вам у Telegram або Discord, кажучи “Я з підтримки [біржі], ми виявили незвичайну активність у вашому акаунті. Будь ласка, підтвердіть свою особу, підключивши гаманець за адресою [зловмисне URL].”
Золоте правило: Легітимні команди підтримки ніколи не просять вашу сід-фразу, приватні ключі або не просять відправити крипту для підтвердження вашого акаунта.
Регіональні схеми шахрайства
Тактики шахрайства відрізняються залежно від регіону. Знання місцевих схем допомагає залишатися пильним:
- В’єтнам: Фішинг через Zalo широко поширений — шахраї використовують домінуючий месенджер В’єтнаму для імітації бірж та надсилання підроблених посилань “верифікації”
- Південна Корея: Голосовий фішинг (전화사기, “jeonhwa sagi”) — основний вектор — дзвонять, видаючи себе за чиновників FSC або підтримку бірж, вимагаючи негайних дій
- Японія: Шахрайство з інвестиціями через SNS зросло, з підробленими схваленнями знаменитостей у LINE та X/Twitter, що заманюють жертв на шахрайські торговельні платформи
- Туреччина: Підроблені біржі залишаються постійною загрозою після інциденту з Thodex (2021), коли CEO втік з приблизно $2 мільярдами коштів користувачів. Завжди перевіряйте ліцензування біржі через CMB Туреччини
- Індонезія: Шахрайство через групи Telegram, що пропонують “гарантований прибуток” від крипто-інвестицій, націлене на нових користувачів через соціальні мережі та групи WhatsApp
- ОАЕ: Підроблені крипто-інвестиційні фірми, що працюють з вільних зон, націлені на працівників-експатів з обіцянками високого прибутку — завжди перевіряйте ліцензію VARA
Основні практики безпеки
Використовуйте надійні, унікальні паролі
Кожен крипто-акаунт повинен мати унікальний пароль, який ви не використовуєте ніде більше. Якщо один сервіс зламали і ви повторно використовуєте паролі, зловмисники спробують ці облікові дані на кожній біржі та сервісі гаманців, які знайдуть. Це називається підстановка облікових даних.
Використовуйте менеджер паролів, такий як Bitwarden, 1Password або KeePass. Генеруйте випадкові паролі довжиною щонайменше 16 символів. Менеджер паролів запам’ятовує їх — вам потрібно пам’ятати лише один головний пароль.
Увімкніть двофакторну автентифікацію (2FA)
Двофакторна автентифікація додає другий рівень безпеки поверх вашого пароля. Навіть якщо хтось вкраде ваш пароль, він не зможе отримати доступ до вашого акаунта без другого фактора.
Методи 2FA, відсортовані від найбільш до найменш безпечних:
- Апаратний ключ безпеки (YubiKey, Trezor) — фізично неможливо зфішити
- Додаток автентифікації (Google Authenticator, Authy) — генерує часові коди на вашому пристрої
- SMS-коди — краще, ніж нічого, але вразливі до атак підміни SIM
Я використовую апаратний ключ для своїх основних біржових акаунтів і додаток автентифікації для всього іншого. З мого досвіду, 30 секунд на автентифікацію цілком варті захисту, який вони забезпечують.
Захистіть вашу сід-фразу
Ваша сід-фраза (12 або 24 слова, згенеровані при створенні гаманця) — це головний ключ до всіх ваших коштів. Якщо хтось отримає вашу сід-фразу, він володіє вашою криптою. Якщо ви втратите сід-фразу, ви назавжди втратите доступ до своєї криптовалюти.
Правила сід-фрази:
- Ніколи не зберігайте в цифровому вигляді: Не фотографуйте, не зберігайте в додатку нотаток, не надсилайте собі на пошту, не зберігайте в хмарному сховищі
- Запишіть на папері: Використовуйте картку, що йшла з гаманцем, або спеціальну металеву резервну копію (вогнестійку та водостійку)
- Зберігайте у фізично безпечному місці: Домашній сейф, банківська скринька або розділіть між кількома безпечними місцями
- Ніколи не вводьте на сайті: Жоден легітимний сервіс ніколи не попросить вас ввести повну сід-фразу на сайті
Використовуйте апаратний гаманець для значних сум
Якщо ви тримаєте більше, ніж можете собі дозволити втратити, перемістіть крипту на апаратний гаманець. Апаратні гаманці, такі як Ledger або Trezor зберігають ваші приватні ключі офлайн, повністю ізольовано від пристроїв, підключених до інтернету. Навіть якщо ваш комп’ютер скомпрометовано, ваша крипта залишається в безпеці, тому що ключі ніколи не залишають апаратний пристрій.
Особисто я тримаю будь-які активи, які не потрібні для активної торгівлі, на апаратному гаманці. Невеликий незручність підключення пристрою для здійснення транзакції — ніщо порівняно з безпекою, яку він забезпечує.
Оновлюйте програмне забезпечення
Застаріле програмне забезпечення — один з найпростіших векторів атаки. Це стосується:
- Вашої операційної системи (Windows, macOS, Linux)
- Вашого браузера (Chrome, Firefox, Brave)
- Програмного забезпечення та додатків гаманця
- Прошивки апаратного гаманця
Оновлення часто виправляють уразливості безпеки. Затримка оновлень залишає вас відкритими для відомих експлойтів.
Безпека бірж: на що звертати увагу
Не всі біржі однаково безпечні. Перш ніж вносити кошти на будь-яку платформу, перевірте наявність цих функцій безпеки:
| Функція безпеки | Чому це важливо | На що звертати увагу |
|---|---|---|
| Підтвердження резервів | Підтверджує, що біржа дійсно тримає активи, які заявляє | Регулярні аудити третьою стороною, підтвердження в блокчейні |
| Холодне зберігання | Більшість коштів користувачів зберігається офлайн, далеко від хакерів | 90%+ активів у холодному сховищі |
| Страховий фонд | Покриває збитки у разі порушення безпеки | Опублікований розмір фонду та умови покриття |
| Білий список виведення | Дозволяє виведення лише на попередньо схвалені адреси | 24-годинна затримка при додаванні нових адрес |
| Антифішинговий код | Підтверджує, що електронні листи дійсно від біржі | Персональний код відображається у всіх офіційних листах |
| Програма винагород за помилки | Стимулює дослідників безпеки знаходити та повідомляти про уразливості | Публічна програма зі значущими винагородами |
Крах FTX у 2022 році довів, що навіть великі, відомі біржі можуть збанкрутувати. Урок: ніколи не тримайте на біржі більше, ніж потрібно для активної торгівлі. Перемістіть решту на гаманець, який ви контролюєте.
Просунуті заходи безпеки
Гаманці з мультипідписом
Гаманець з мультипідписом (multisig) вимагає кількох приватних ключів для авторизації транзакції — наприклад, 2 з 3 ключів повинні підписати. Це означає, що навіть якщо один ключ скомпрометовано, ваші кошти залишаються в безпеці. Мультипідпис особливо корисний для:
- Спільних коштів між бізнес-партнерами
- Особистої безпеки — зберігання ключів у різних фізичних місцях
- Планування спадщини — члени сім’ї можуть отримати доступ до коштів за потреби
Симуляція транзакцій
Перед підтвердженням транзакції в DeFi використовуйте інструменти, що симулюють результат транзакції. Сервіси на кшталт Tenderly або вбудовані симулятори гаманців показують вам точно, що станеться — які токени рухатимуться, куди вони підуть, і які дозволи ви надаєте. Це виявляє зловмисні схвалення смарт-контрактів до того, як ви їх підпишете.
Відкликання дозволів токенів
Коли ви взаємодієте з протоколами DeFi, ви часто надаєте схвалення токенів, які дають смарт-контракту дозвіл витрачати ваші токени. Якщо цей контракт буде скомпрометовано пізніше, зловмисник може вивести ваші схвалені токени. Регулярно переглядайте та відкликайте невикористовувані схвалення за допомогою інструментів на кшталт Revoke.cash.
Що робити, якщо вас зламали
Якщо ви підозрюєте, що ваш акаунт або гаманець скомпрометовано, дійте швидко:
- Негайно перемістіть залишкові кошти — переведіть на безпечний гаманець, який не був скомпрометований
- Змініть паролі на всіх крипто-акаунтах
- Відкличте всі схвалення токенів на скомпрометованих гаманцях
- Зв’яжіться з біржею — вони можуть заморозити виведення, якщо кошти ще на платформі
- Задокументуйте все — хеші транзакцій, часові мітки, адреси гаманців
- Повідомте владу — подайте заяву до місцевого підрозділу кіберзлочинності. Основні агентства за країнами:
Країна / Регіон Агентство Contact USA FBI IC3 ic3.gov Великобританія Action Fraud actionfraud.police.uk ЄС (транскордонний) Europol EC3 europol.europa.eu France PHAROS internet-signalement.gouv.fr Germany BKA (Bundeskriminalamt) bka.de Japan National Police Agency Cyber Crime npa.go.jp Південна Корея KISA (Korea Internet & Security Agency) kisa.or.kr Indonesia Bareskrim (Criminal Investigation Agency) bareskrim.polri.go.id Thailand Royal Thai Police Cyber Crime Division tcsd.go.th Turkey EGM Cyber Crime Department egm.gov.tr Vietnam Ministry of Public Security (A05) Report via local police UAE Dubai Police eCrime dubaipolice.gov.ae Ukraine Cyber Police of Ukraine cyberpolice.gov.ua Nigeria EFCC (Economic & Financial Crimes Commission) efcc.gov.ng Brazil Brazilian Federal Police gov.br/pf Швидкі дії збільшують шанси на повернення коштів
Повернення коштів складне, але не завжди неможливе. Деякі компанії з аналізу блокчейну допомогли повернути вкрадені кошти, відстеживши транзакції до централізованих бірж, де можна встановити особу злодія.
Чек-лист безпеки
Використовуйте цей чек-лист для аудиту вашої крипто-безпеки:
| Категорія | Дія | Пріоритет |
|---|---|---|
| Паролі | Унікальний пароль для кожного крипто-акаунта | Критичний |
| Паролі | Використання менеджера паролів | Критичний |
| 2FA | Додаток автентифікації або апаратний ключ на всіх акаунтах | Критичний |
| 2FA | SMS 2FA вимкнено або замінено | Високий |
| Сід-фраза | Записана на папері/металі, зберігається офлайн у безпечному місці | Критичний |
| Сід-фраза | Цифрових копій не існує (фото, нотатки, хмара) | Критичний |
| Гаманець | Апаратний гаманець для активів > $500 | Високий |
| Біржа | Білий список виведення увімкнено | Високий |
| Біржа | Антифішинговий код встановлено | Середній |
| Програмне забезпечення | ОС, браузер та додатки гаманця оновлені | Високий |
| DeFi | Невикористовувані схвалення токенів відкликано | Середній |
| Електронна пошта | Окрема пошта для крипто-акаунтів | Середній |
Продовжуйте навчання
Часті запитання
Чи можна повернути вкрадену криптовалюту?
У деяких випадках так — але це складно. Якщо вкрадені кошти відправлені на централізовану біржу, правоохоронні органи іноді можуть заморозити акаунт та повернути активи. Компанії з аналізу блокчейну, такі як Chainalysis спеціалізуються на відстеженні вкраденої криптовалюти. Однак, якщо кошти переміщені через мікшери або децентралізовані протоколи, повернення стає вкрай малоймовірним. Запобігання завжди ефективніше за повернення.
Чи безпечно тримати крипту на біржі?
Біржі зручні для активної торгівлі, але вони не найбезпечніше місце для довгострокового зберігання. Біржі можуть бути зламані, збанкрутувати (як показав FTX) або заморозити виведення під час ринкового стресу. Для будь-якої суми, якою ви не торгуєте активно, апаратний гаманець або рішення для самозберігання забезпечує значно кращу безпеку.
Що станеться, якщо я втрачу апаратний гаманець?
Якщо ви втратите пристрій апаратного гаманця, ваша криптовалюта не втрачена — за умови, що у вас є сід-фраза. Ви можете придбати новий апаратний гаманець (тієї ж або іншої марки) та відновити гаманці за допомогою сід-фрази. Сам пристрій не зберігає вашу криптовалюту; він зберігає ключі, що дають доступ до вашої крипти в блокчейні. Ось чому захист сід-фрази навіть важливіший за захист пристрою.
Чи потрібен VPN для використання криптовалюти?
VPN не є обов’язковим для базового використання крипти, але додає рівень конфіденційності — особливо в публічних Wi-Fi мережах. VPN шифрує ваш інтернет-трафік, запобігаючи прослуховуванню на рівні мережі. Однак VPN сам по собі не робить вас анонімним; біржі все ще вимагають верифікацію особи (KYC) у більшості випадків. Використовуйте VPN як один рівень у вашій загальній стратегії безпеки, а не як окреме рішення.
Який найбезпечніший спосіб зберігання сід-фрази?
Запишіть сід-фразу на папері або вигравіруйте на металевій пластині — ніколи не зберігайте в цифровому вигляді (без фото, без хмарного сховища, без текстових файлів). Зберігайте у вогнестійкому та водостійкому сейфі. Розгляньте можливість розділення за допомогою Shamir’s Secret Sharing або зберігання копій у двох окремих безпечних місцях. Ніколи не діліться сід-фразою ні з ким і пам’ятайте, що жоден легітимний сервіс ніколи не попросить її у вас.
Підсумки
Безпека криптовалют — це не параноя, а підготовленість. Переважна більшість крипто-крадіжок націлена на людей, які пропускають базові запобіжні заходи: слабкі паролі, SMS-засноване 2FA, сід-фрази на телефонах і кошти, залишені на біржах на невизначений час.
Кроки, описані в цьому посібнику, займають менше години для впровадження, але захищають від загроз, які становлять понад 90% крипто-втрат. Почніть з критичних пунктів у чек-листі безпеки вище, потім опрацюйте решту у своєму темпі.
Ваша крипта настільки безпечна, наскільки безпечна найслабша ланка у вашому налаштуванні безпеки. Зробіть цю ланку якомога міцнішою.
Відмова від відповідальності: Ця стаття призначена лише для освітніх цілей і не є фінансовою чи безпековою порадою. Криптовалюта пов’язана зі значними ризиками. Завжди проводьте власне дослідження та консультуйтеся з кваліфікованими спеціалістами за потреби. Для повної відмови від відповідальності дивіться нашу Відмову від відповідальності щодо відповідальної торгівлі.