Назад к списку

Как защитить криптокошелек от стилеров и воровства

Руководство по безопасности криптовалютных активов

TL;DR: ключевые шаги для защиты

  • Аппаратный кошелек: храните приватные ключи офлайн. Это фундамент безопасности.

  • Надежная 2FA: используйте аппаратные ключи U2F (например, YubiKey) для защиты аккаунтов на биржах.

  • Физический бэкап: запишите сид-фразу на металлическую пластину и спрячьте в надежном месте. Никогда не храните её в цифровом виде.

  • Мультисиг (Multisig): для крупных сумм используйте кошельки, требующие нескольких подписей для транзакции.

  • Регулярный аудит: периодически проверяйте и отзывайте разрешения (approvals) смарт-контрактов через сервисы типа Revoke.cash.

    • Введение

    Эта статья — практическое руководство по защите ваших криптоактивов от современных угроз: стилеров, фишинга и социальной инженерии. Она предназначена как для новичков, так и для опытных пользователей. Вы узнаете, как провести аудит безопасности, внедрить многоуровневую защиту и действовать в экстренных ситуациях.

    Ключевые понятия


  • p>Custodial wallet (кастодиальный кошелек): ваши приватные ключи хранятся у третьей стороны (например, на бирже). Вы доверяете им безопасность своих средств./p>


  • p>Non-custodial wallet (некастодиальный кошелек): только вы контролируете приватные ключи. Это даёт полный контроль, но и налагает полную ответственность.

    Примеры: MetaMask, Ledger, Trezor./p>


  • p>Mnemonic / seed phrase (сид-фраза): последовательность из 12 или 24 слов — мастер-ключ к вашим средствам в некастодиальном кошельке. Её компрометация равносильна потере активов./p>


  • p>BIP39 passphrase (пасфраза): дополнительная секретная фраза, которая вместе с сид-фразой создаёт совершенно новый кошелёк. Если злоумышленник украдёт сид-фразу, он не получит доступ к кошельку с пасфразой без неё./p>
    blockquote>
    p>Рекомендация: используйте уникальную фразу длиной 16+ символов. Не храните её в цифровом виде.

    Внимание: потеря пасфразы необратима. Разные кошельки могут иметь несовместимость из-за различий в нормализации UTF-8./p>
    /blockquote>


  • p>Multi-sig (мультиподпись): технология, требующая подписей от нескольких приватных ключей (например, 2 из 3) для авторизации транзакции. Аналог банковской ячейки с двумя ключами./p>

    • Моделирование угроз (Threat Modelling)

    Оцените уровень риска, чтобы выбрать адекватные меры защиты. Задайте себе вопросы:

  • Какова общая стоимость моих активов? Защита 1 000 $ отличается от защиты 1 000 000 $.

  • Насколько публична моя персона? Публичные люди — более привлекательные цели.

  • Какие сервисы я использую? DeFi-протоколы несут больше рисков, чем простое хранение биткоина.

    • Уровни защиты (примеры)


  • p>Новичок (менее 5 000 $):/p>
    ul>
    li>аппаратный кошелёк + надёжная 2FA (U2F) + физический бэкап сид-фразы.


  • p>Опытный пользователь (более 50 000 $):/p>
    ul>
    li>всё вышеперечисленное + использование мультисига + регулярный аудит апрувов.


  • p>Крупный держатель / кит (более 500 000 $):/p>
    ul>
    li>всё вышеперечисленное + air-gapped-компьютер для подписи транзакций + распределённое хранение ключей + юридические процедуры наследования.

    • Основные векторы атак

    Технические атаки

  • Стилеры (stealers): вредоносное ПО, крадущее сид-фразы, пароли и сессионные токены из браузеров.

  • Вредоносные расширения браузера: маскируются под легитимные инструменты, но перехватывают данные в фоне.

  • Подмена адреса в буфере обмена (clipboard hijacking): при копировании адреса кошелька вирус незаметно подменяет его на адрес хакера.

  • DNS- и BGP-атаки: перенаправление на фишинговый сайт, даже если вы ввели правильный адрес.

    • Социальная инженерия

  • Фишинг: поддельные сайты бирж, кошельков или сервисов.

  • Фейковая техподдержка: мошенники в Telegram и Discord представляются администраторами и просят сид-фразу или подключение кошелька к вредоносному сайту.

  • Фишинг через скриншоты: просьба прислать скриншот для «диагностики» в надежде, что в кадр попадёт чувствительная информация.


    • p>Главное правило: никогда и никому не сообщайте свою сид-фразу. Официальная поддержка никогда её не запросит./p>

    Комплексная стратегия защиты: пошаговая инструкция

    1. Изолируйте приватные ключи: аппаратные кошельки

    Аппаратные кошельки (Ledger, Trezor) — золотой стандарт безопасности. Они хранят ключи в защищённом чипе и подписывают транзакции офлайн.

  • Покупайте только у официальных вендоров, чтобы избежать подделки устройства.

  • Генерируйте сид-фразу только на самом устройстве при первичной настройке.

  • Обновляйте прошивку только через официальное приложение (Ledger Live, Trezor Suite).

    • 2. Физическое хранение сид-фразы

    Цифровое хранение сид-фразы (в файле, облаке, менеджере паролей) недопустимо.

  • Металлические пластины: используйте устройства типа Cryptosteel или Billfodl для защиты от пожара и воды.

  • Распределённое хранение: храните бэкапы в нескольких физически удалённых и безопасных местах (например, дома и в банковской ячейке).

  • Планирование наследования: подготовьте чёткие инструкции для доверенного лица или наследников на случай непредвиденных обстоятельств.

    • 3. Продвинутые стратегии: multisig и Shamir

  • Multisig: распределяет контроль над средствами. Для Ethereum/EVM используйте Safe (ранее Gnosis Safe), для Bitcoin — Specter Desktop.

    Ошибка новичка: хранить все ключи от мультисига в одном месте.

  • Схема Шамира (Shamir’s Secret Sharing): позволяет разделить сид-фразу на несколько «долей». Для восстановления требуется определённое количество долей (например, 3 из 5). Этот стандарт (SLIP-0039) несовместим с обычным BIP39. Убедитесь, что ваш кошелёк его поддерживает (например, Trezor Model T).

    • 4. Используйте надёжную двухфакторную аутентификацию (2FA)

  • Приоритет — U2F/FIDO: аппаратные ключи (YubiKey) дают наивысшую защиту от фишинга, требуя физического присутствия для входа.

  • Офлайн-приложения: используйте Aegis Authenticator (Android) или FreeOTP (iOS/Android), которые позволяют делать бэкапы.

  • Authy: если используете Authy, отключите функцию Allow Multi-device и установите сложный пароль на зашифрованные бэкапы.

  • Резервные коды: сохраните их в надёжном офлайн-месте.

    • 5. Безопасность мобильных устройств

  • Не используйте root (Android) или jailbreak (iOS): это ломает встроенные защитные механизмы ОС.

  • Отдельное устройство: в идеале используйте отдельный смартфон исключительно для крипто-операций.

  • Отключите облачные бэкапы для приложений кошельков, чтобы случайно не выгрузить сид-фразу в iCloud или Google Drive.

  • Устанавливайте приложения только из официальных магазинов и остерегайтесь подделок.

    • 6. Аудит браузерных расширений

  • Проверка прав: в Chrome откройте chrome://extensions. Обратите внимание на право «Просмотр и изменение ваших данных на всех сайтах».

  • Профили: создайте отдельный профиль браузера для работы с криптой, где установлены только проверенные расширения (MetaMask, расширение аппаратного кошелька).

  • Блокировщики скриптов: NoScript или uMatrix могут предотвратить исполнение вредоносного кода на фишинговых сайтах.

  • Удаление лишнего: регулярно удаляйте неиспользуемые расширения.

    • 7. Тщательная проверка транзакций

  • Сверка на аппаратном кошельке: всегда сверяйте полный адрес получателя на экране устройства с оригиналом. Экран кошелька — доверенная среда.

  • Проверка checksum: адреса Ethereum (EIP-55) используют смешанный регистр букв как контрольную сумму. Если скопировать адрес с ошибкой, кошелёк выдаст предупреждение.

  • Опасайтесь атак гомографами: злоумышленники могут использовать похожие символы в доменах (например, myetherwallet с кириллической е).

  • Тестовая транзакция: при переводе крупной суммы сначала отправьте минимальное количество.

    • 8. Изолированная среда для крупных операций

  • LiveUSB с Linux: загрузочная флешка с дистрибутивом Linux (например, Ubuntu) создаёт временную, чистую операционную систему.

  • Как безопасно создать LiveUSB:
    ol>
    li>Скачайте ISO-образ с официального сайта.

  • Проверьте целостность файла (hash sum). Linux/macOS:

    sha256sum ubuntu-24.04-desktop-amd64.iso.

  • Проверьте PGP-подпись для подтверждения подлинности:

    gpg --keyserver-options auto-key-retrieve --verify SHA256SUMS.gpg SHA256SUMS

  • Создайте загрузочную флешку через Rufus или BalenaEtcher.

    • Что делать, если кошелёк взломан?

    Действуйте немедленно. Если скомпрометирована сид-фраза, вы вступаете в гонку с хакером.

    Определите тип компрометации:

  • Компрометация сид-фразы/приватного ключа: самый опасный сценарий. Шанс только в том, чтобы опередить хакера.

  • Компрометация сессии / вредоносный апрув: у вас больше времени. Отзыв прав может помочь.

    • Действия при компрометации сид-фразы:


  • p>Изоляция и создание чистого кошелька:/p>
    ul>
    li>немедленно отключите заражённое устройство от интернета;

  • на чистом, незаражённом устройстве создайте новый кошелёк.


  • p>Гонка за спасение активов (front-running):/p>
    ul>
    li>импортируйте скомпрометированную сид-фразу в надёжный кошелёк на чистом устройстве;

  • немедленно создайте транзакцию на перевод всех активов на ваш новый чистый адрес;

  • установите максимально возможный gas fee (комиссию). Ваша цель — чтобы майнеры обработали вашу транзакцию раньше транзакции хакера.


  • p>Отзыв прав и сбор данных:/p>
    ul>
    li>только после попытки спасения средств. Если на кошельке остались NFT или токены, используйте Revoke.cash для отзыва разрешений;

  • сохраните адреса и хеши транзакций атакующего.

    • Действия после инцидента

  • Сбор улик: сделайте скриншоты, сохраните хеши транзакций, адреса хакера и переписку.

  • Уведомление платформ: сообщите о взломе и адресах хакера в поддержку бирж (Binance, Coinbase). Они могут заморозить средства при попытке ввода.

  • Заявление в полицию: подайте заявление в отдел по борьбе с киберпреступностью, приложив все улики.

    • Рекомендуемые инструменты и сервисы