Security ·

5 мошеннических схем с seed-фразами и как от них защититься

Кража seed-фразы --- самый эффективный вектор атаки в криптовалюте. В отличие от эксплуатации ошибок смарт-контрактов или проведения атак 51%, кража seed-фразы проста, масштабируема и даёт злоумышленнику полный и необратимый контроль над средствами жертвы. Пять схем, описанных здесь, составляют подавляющее большинство случаев кражи seed-фраз. Понимание каждой из них и знание способов защиты --- обязательные знания для всех, кто владеет криптовалютой.

Каждая из этих схем эксплуатирует разрыв между тем, что пользователи думают происходит, и тем, что происходит на самом деле. Защита во всех случаях --- верификация: умение подтвердить, что инструменты, сайты и люди, с которыми вы взаимодействуете, являются тем, за что себя выдают.

Схема 1: Поддельные генераторы seed-фраз

Поддельные генераторы seed-фраз --- это сайты или приложения, выглядящие как легитимные инструменты BIP39, но тайно записывающие каждую сгенерированную seed-фразу. Злоумышленник либо жёстко кодирует набор seed-фраз (чтобы каждый пользователь получал фразу, которую злоумышленник уже знает), либо передаёт сгенерированную фразу на удалённый сервер.

Как это работает

Злоумышленник создаёт профессионально выглядящий сайт, который якобы генерирует случайные seed-фразы. В простейшей версии сайт выбирает из заранее вычисленного списка фраз, которые злоумышленник уже контролирует. В более продвинутых версиях инструмент генерирует реально выглядящую фразу с помощью Web Crypto API, но одновременно отправляет энтропию или итоговую фразу на сервер злоумышленника через скрытый сетевой запрос.

Жертва видит валидно выглядящую фразу из 12 или 24 слов, создаёт кошелёк и вносит средства. Злоумышленник отслеживает соответствующие адреса и выводит средства --- иногда сразу, иногда выжидая, пока баланс достигнет стоящего порога.

Как защититься

  • Убедитесь, что инструмент работает на стороне клиента. Загрузите страницу, отключитесь от интернета и сгенерируйте фразу. Если инструмент не работает без подключения, ему нужна связь с сервером, и доверять ему не стоит. Подробные шаги проверки описаны в статье Безопасно ли использовать онлайн-генератор seed-фраз?.
  • Проверяйте сетевой трафик. Откройте вкладку Network в инструментах разработчика браузера перед генерацией. Во время генерации не должно быть ни одного исходящего запроса.
  • Используйте инструменты с открытым кодом. Используйте только генераторы, чей исходный код доступен для публичного аудита. Bitcoin Seed Phrase Generator и Ethereum Seed Phrase Generator от SafeSeed полностью открыты и работают на стороне клиента.
  • Перекрёстная проверка результатов. Сгенерируйте фразу и проверьте, производит ли она один и тот же адрес в двух или более независимых инструментах. Если генератор всегда выдаёт одну и ту же фразу независимо от времени и места использования, он работает с фиксированным списком.

Схема 2: Фишинговые сайты, имитирующие кошельки

Фишинговые сайты воспроизводят интерфейс популярных кошельков вроде MetaMask, Phantom или веб-интерфейсов аппаратных кошельков, чтобы обманом заставить пользователей ввести существующие seed-фразы. Цель злоумышленника --- не сгенерировать новую фразу, а захватить ту, которая у вас уже есть.

Как это работает

Злоумышленник регистрирует домен, очень похожий на легитимный сайт кошелька: metamask-wallet.io вместо metamask.io или ledger-support.com вместо ledger.com. Он клонирует дизайн настоящего сайта и показывает запрос «восстановить» или «подтвердить» кошелёк, введя seed-фразу.

Такие фишинговые сайты распространяются через:

  • Рекламу в Google и соцсетях, появляющуюся по запросам, связанным с кошельками
  • Поддельные каналы поддержки в Telegram, Discord и X (Twitter)
  • Электронные письма, утверждающие, что кошелёк нуждается в «верификации» или «обновлении безопасности»
  • SEO-оптимизированные страницы, ранжирующиеся по запросам вроде «восстановить кошелёк MetaMask»

Как только жертва вводит seed-фразу на фишинговой странице, она передаётся на сервер злоумышленника. Злоумышленник импортирует фразу в свой кошелёк и выводит все средства, как правило, в течение минут.

Как защититься

  • Никогда не вводите seed-фразу на сайтах. Легитимное кошельковое ПО никогда не попросит вас ввести seed-фразу в браузере. Восстановление кошелька происходит внутри самого приложения, а не на сайте.
  • Добавляйте официальные сайты в закладки. Обращайтесь к интерфейсам кошельков только через собственные закладки, а не через результаты поиска или ссылки в сообщениях.
  • Проверяйте URL посимвольно. Фишинговые домены используют подмену символов (строчная l vs 1, rn vs m) и дополнительные слова для обмана.
  • Используйте аппаратный кошелёк для восстановления. Если нужно восстановить кошелёк, делайте это на самом аппаратном устройстве или в официальном настольном приложении, загруженном с верифицированного сайта производителя.

Схема 3: Предгенерированные кошельковые карты

Эта схема нацелена на новичков в криптовалюте, которые ещё не понимают, как работают приватные ключи. Злоумышленник продаёт или раздаёт физические карты, часто красиво напечатанные и упакованные, содержащие предгенерированную seed-фразу или приватный ключ. Карта выглядит как легитимный бумажный кошелёк, с QR-кодом и публичным адресом.

Как это работает

Злоумышленник генерирует тысячи seed-фраз, записывает все и печатает на профессионально выглядящих картах. Они продаются на маркетплейсах, раздаются на криптоконференциях или вкладываются как «подарки» в онлайн-заказы. Карта предлагает получателю отправить криптовалюту на напечатанный адрес.

Жертва, считая, что у неё есть надёжный бумажный кошелёк, отправляет средства на адрес. Злоумышленник, имеющий копию той же seed-фразы, выводит средства в удобный момент.

Вариация --- «предзагруженные» кошельки, продаваемые на вторичном рынке. Продавец заявляет, что кошелёк содержит определённую сумму криптовалюты, и продаёт его со скидкой. Покупатель получает аппаратный или бумажный кошелёк, но продавец сохраняет копию seed-фразы и выводит средства после продажи.

Как защититься

  • Всегда генерируйте собственные ключи. Никогда не используйте seed-фразу или приватный ключ, созданные кем-то другим. Единственный безопасный ключ --- тот, который вы сгенерировали сами на подконтрольном вам устройстве.
  • Поймите, что ключи --- это секреты. Если кто-то когда-либо видел вашу seed-фразу, считайте, что у него есть копия. Невозможно проверить, что кто-то удалил однажды известную фразу.
  • Генерируйте офлайн. Используйте клиентские инструменты SafeSeed или другой доверенный генератор на изолированном компьютере для создания собственных ключей с нуля.

Схема 4: Clipboard-малварь

Clipboard-малварь, также называемая «клиппер», --- вид вредоносного ПО, которое отслеживает буфер обмена на предмет данных, связанных с криптовалютой, и незаметно подменяет их данными злоумышленника.

Как это работает

Наиболее распространённый вариант отслеживает в буфере обмена адреса Bitcoin или Ethereum. Когда вы копируете адрес для отправки платежа, малварь заменяет его адресом злоумышленника. Если вы вставляете без проверки, средства уходят напрямую злоумышленнику.

Более опасный вариант нацелен на seed-фразы. Если вы копируете seed-фразу (например, при переносе между приложениями во время настройки кошелька), клиппер перехватывает её и передаёт злоумышленнику. Некоторые варианты заменяют seed-фразу в буфере обмена другой фразой, контролируемой злоумышленником, заставляя вас сохранить скомпрометированную фразу.

Клипперы распространяются через:

  • Пиратское и взломанное ПО
  • Поддельные приложения кошельков в неофициальных магазинах
  • Браузерные расширения, запрашивающие доступ к буферу обмена
  • Троянизированные версии легитимных криптоинструментов

Как защититься

  • Никогда не копируйте seed-фразу в буфер обмена. Записывайте её от руки. Если необходим цифровой перенос, используйте метод, не задействующий системный буфер обмена.
  • Всегда проверяйте вставленные адреса. Перед подтверждением транзакции сравните первые и последние несколько символов вставленного адреса с намеченным. Используйте валидатор адресов для проверки формата.
  • Используйте только проверенное ПО. Загружайте кошельковые приложения и инструменты только из официальных источников. Полностью избегайте пиратского ПО, особенно на машинах, используемых для криптовалюты.
  • Держите антивирус актуальным. Хотя и не стопроцентная защита, современный антивирус обнаруживает многие известные клипперы.
  • Проверяйте содержимое буфера обмена. После копирования адреса вставьте его в текстовый редактор, чтобы убедиться в совпадении перед использованием в транзакции.

Схема 5: Социальная инженерия

Социальная инженерия --- старейшая форма мошенничества, адаптированная для эпохи криптовалют. Злоумышленник манипулирует вами, чтобы вы добровольно раскрыли seed-фразу или совершили действие, компрометирующее ваши ключи.

Как это работает

Социальная инженерия в криптопространстве принимает множество форм:

Поддельная техподдержка. Злоумышленник выдаёт себя за сотрудника поддержки кошелькового провайдера, биржи или блокчейн-проекта. Он обращается через Telegram, Discord или X в ответ на публичную жалобу пользователя. Утверждает, что ему нужна ваша seed-фраза для «диагностики» проблемы или «верификации» вашей личности. Ни одна легитимная команда поддержки никогда не попросит вашу seed-фразу.

Приманка «застрявших средств». Злоумышленник публично размещает seed-фразу (в соцсетях, форумах или чатах), утверждая, что «случайно» ею поделился. В связанном кошельке видны средства. Когда кто-то импортирует фразу, чтобы забрать средства, обнаруживается, что токены находятся в сети, требующей газа. Когда жертва вносит газовые токены, бот-свипер, контролируемый злоумышленником, мгновенно выводит внесённые токены.

Инвестиционный наставник. Мошенник выстраивает отношения (часто в течение недель) через соцсети или приложения для знакомств, в конечном итоге направляя жертву к «особой инвестиционной возможности», требующей предоставления доступа к кошельку или использования определённого (вредоносного) инструмента.

Требования по аирдропу. Сообщения, предлагающие бесплатные токены по аирдропу, требующие «подключить кошелёк» к вредоносному DApp, который затем запрашивает разрешение на перевод средств или просит ввести seed-фразу.

Как защититься

  • Относитесь к seed-фразе как к ядерному коду запуска. Ни одному легитимному сервису, команде поддержки, другу или члену семьи не нужна ваша seed-фраза. Никогда. Ни по какой причине.
  • Скептически относитесь к непрошеной помощи. Если кто-то связывается с вами, предлагая помощь с криптовалютой, особенно в соцсетях или мессенджерах, считайте это мошенничеством, пока не доказано обратное.
  • Подтверждайте личности через официальные каналы. Если вам нужна поддержка от кошелькового провайдера или биржи, перейдите на их официальный сайт и используйте указанную там форму связи или чат.
  • Поймите ловушку «застрявших средств». Если вы нашли публично размещённую seed-фразу с средствами --- это приманка. Видимые токены нельзя перевести без внесения других токенов, которые будут мгновенно украдены.
  • Проверяйте разрешения смарт-контрактов. Если DApp запрашивает неограниченный доступ к токенам или разрешения, не соответствующие его заявленному назначению, отклоните транзакцию.

Как проверить любой используемый инструмент

Защита от каждой описанной схемы сводится к одному навыку: верификации. Вот консолидированный подход к оценке любого криптоинструмента.

Прозрачность исходного кода

Если инструмент не имеет открытого кода, вы не можете проверить, что он делает. Открытый код --- не гарантия безопасности, но закрытые инструменты требуют безусловного доверия. Отдавайте предпочтение инструментам с открытым кодом для любых операций с ключами или seed-фразами.

Клиентское выполнение

Для инструментов генерации ключей подтвердите клиентское выполнение, отключившись от интернета после загрузки страницы. Если инструмент работает офлайн, его криптографические операции выполняются в вашем браузере через Web Crypto API. Это стандарт, используемый SafeSeed и другими авторитетными генераторами. Прочитайте Что такое энтропия в криптографии?, чтобы понять, почему источник энтропии важен.

Сетевое поведение

Используйте инструменты разработчика браузера для мониторинга всех сетевых запросов. Во время чувствительных операций (генерация ключей, отображение seed-фразы, подписание транзакций) исходящих запросов быть не должно. Любой запрос, даже к аналитическому сервису --- потенциальный вектор утечки данных.

Верификация домена и сертификата

Перед вводом информации на сайте проверьте точное доменное имя и убедитесь, что HTTPS активен. Используйте закладки для часто посещаемых криптоинструментов. Сверяйте домен с официальными аккаунтами проекта в соцсетях или GitHub-репозиторием.

Репутация в сообществе

Проверьте, был ли инструмент проанализирован независимыми исследователями безопасности. Ищите отчёты об аудите, обсуждения на авторитетных криптофорумах и упоминания в публикациях, посвящённых безопасности. Инструмент без внешнего анализа и без присутствия в сообществе несёт более высокий риск.

Перекрёстная проверка результатов

При использовании генератора seed-фраз верифицируйте результат, выведя тот же адрес с помощью другого доверенного инструмента. Bitcoin Address Generator или Ethereum Address Generator на SafeSeed могут служить одной из точек отсчёта. Если два независимых инструмента порождают одинаковый адрес из одной seed-фразы, оба, скорее всего, корректно реализуют стандарт.

Главная сила криптоэкосистемы --- самостоятельное хранение --- одновременно является её главной уязвимостью. Нет отдела по борьбе с мошенничеством, нет возврата платежа и нет процедуры восстановления после кражи средств. Понимание этих пяти схем и формирование привычек верификации --- самая ценная инвестиция в вашу криптобезопасность. Для дальнейшего чтения об основах безопасности ключей смотрите Лучшие практики безопасности приватного ключа и Seed-фраза vs приватный ключ.