Безопасность NFT: как защитить коллекцию от мошенников и хакеров

Самые распространённые NFT-мошенничества

Понять, как работают атаки, — первый шаг к тому, чтобы их избежать. В NFT-пространстве сложился устойчивый набор векторов атак, которые повторяются на разных проектах и блокчейнах.

Фишинговые сайты и фейковые минты

Злоумышленники создают сайты, визуально идентичные настоящим NFT-проектам или маркетплейсам. Ссылки распространяются через серверы Discord, Twitter и Telegram — нередко через взломанные официальные аккаунты. Когда вы заходите на такой сайт и подключаете кошелёк, вам предлагают транзакцию, которая выглядит как минт или покупка, но на деле является подписью, дающей злоумышленнику право перевести все ваши NFT и токены.

Фейковые минты особенно эффективны в период ажиотажного запуска, когда коллекционеры спешат занять место. Спешка притупляет бдительность, а визуальное сходство с настоящими сайтами обманывает даже опытных пользователей.

Дрейнеры кошельков

Дрейнер кошелька — это вредоносный код смарт-контракта, разработанный для извлечения всех активов из подключённого кошелька одной транзакцией. Он встраивается в фишинговые сайты и маскируется под стандартные запросы на одобрение. Некоторые дрейнеры достаточно сложны, чтобы определить наиболее ценные активы и похитить их первыми. После подписи вредоносной транзакции кража, как правило, завершается за считанные секунды.

Социальная инженерия и выдача себя за другое лицо

Мошенники выдают себя за сотрудников поддержки, основателей проектов или известных коллекционеров, чтобы завоевать доверие перед вредоносным запросом. Распространённые схемы: фиктивная «верификация кошелька», предложение помочь решить проблему с NFT с просьбой сообщить сид-фразу, а также поддельные раздачи, требующие отправить NFT для «подтверждения владения».

Вредоносные аирдропы

Незапрошенные NFT, появившиеся в вашем кошельке, не всегда безопасны. Некоторые созданы для эксплуатации уязвимостей при взаимодействии с ними: попытка отобразить NFT, выставить его на маркетплейсе или просмотреть метаданные может в ряде случаев запустить вредоносный код. Злоумышленники также используют фиктивные аирдропы, чтобы заманить получателей на фишинговые сайты для «получения наград».

Основы безопасности кошелька

Безопасность кошелька начинается с хранения закрытого ключа и сид-фразы. Это главные учётные данные, управляющие всем. Тот, у кого они есть, имеет полный и безвозвратный доступ к вашим активам.

Хранение сид-фразы

Никогда не храните сид-фразу в цифровом виде — ни в заметках, ни в облачных документах, ни в черновиках писем, ни в виде скриншота. Цифровые носители могут быть скомпрометированы вредоносным ПО, утечками облачных сервисов или любым, кто получил доступ к вашим устройствам. Запишите сид-фразу на бумаге и храните в физически защищённом месте. Некоторые коллекционеры используют стальные пластины для резервного копирования, устойчивые к огню и воде.

Никогда не вводите сид-фразу ни на каком сайте, в приложении или форме. Легитимные кошельки и сервисы никогда её не запрашивают. Если что-то просит вашу сид-фразу — это всегда мошенничество.

Аппаратные кошельки

Аппаратный кошелёк, или холодный кошелёк, хранит закрытый ключ на физическом устройстве, которое никогда не раскрывает его в интернете. При подписании транзакции процесс подписи происходит на самом устройстве. Даже если ваш компьютер полностью скомпрометирован вредоносным ПО, аппаратный кошелёк защищает активы, потому что закрытый ключ никогда не покидает устройство.

Для любой NFT-коллекции со значимой стоимостью аппаратный кошелёк от надёжного производителя — самая важная инвестиция в безопасность. Храните ценные долгосрочные активы в холодном кошельке, а для активной торговли используйте горячий кошелёк, подключённый к интернету.

Отдельные кошельки для разных целей

Использование одного кошелька для всего — изучения новых проектов, взаимодействия с непроверенными контрактами и хранения самых ценных NFT — неоправданно концентрирует риски. Практичная схема предусматривает минимум два кошелька: «рабочий» для изучения новых проектов и взаимодействия с незнакомыми контрактами, и «хранилище» для ценных активов, которые редко нужно к чему-либо подключать.

После приобретения перемещайте NFT в хранилище и возвращайте в рабочий кошелёк только при необходимости. Это ограничивает ущерб в случае компрометации рабочего кошелька.

Как распознать фишинг и избежать его

Фишинговые атаки созданы для того, чтобы вас обмануть, поэтому скептицизм и привычка проверять — ваша главная защита.

Всегда проверяйте URL перед подключением кошелька. Фишинговые сайты часто используют незначительно изменённые адреса: ноль вместо буквы «о», лишний дефис или другой домен верхнего уровня. Сохраните в закладках официальные сайты маркетплейсов и проектов, которыми пользуетесь. При сомнениях переходите на сайт вручную, а не по ссылке.

Остерегайтесь срочности. «Ограниченное время», «эксклюзивное предложение» и «действуйте сейчас» — это приёмы манипуляции. Легитимные проекты не давят на вас в угоду поспешным решениям. Если что-то создаёт искусственную срочность, замедлитесь и проверьте информацию независимо.

Внимательно читайте каждую транзакцию перед подписью. Кошелёк показывает, что именно вы авторизуете. Найдите время разобраться. Если транзакция запрашивает одобрение на трату токенов или перевод NFT, которые вы не планировали перемещать, — отклоните её. Легитимная транзакция минта должна показывать адрес контракта и стоимость NFT — и больше ничего.

Перепроверяйте объявления через официальные каналы. Если вы видите ссылку на минт или специальное предложение в Discord или Telegram, проверьте её через верифицированный Twitter/X-аккаунт и официальный сайт проекта. Злоумышленники намеренно сначала компрометируют второстепенные каналы, потому что пользователи им доверяют.

Управление разрешениями и одобрениями

На Ethereum при взаимодействии с маркетплейсами и смарт-контрактами требуется выдача токен-апрувалов — разрешений, позволяющих контракту перемещать ваши NFT. Эти разрешения действуют бессрочно, пока вы их не отзовёте. Со временем у вас может накопиться разрешений к десяткам контрактов, часть из которых позже может быть взломана или заброшена.

Инструменты вроде Revoke.cash позволяют просматривать и отзывать апрувалы на Ethereum и совместимых сетях. Периодический аудит разрешений и отзыв ненужных значительно снижает уязвимость. После инцидентов безопасности в NFT-экосистеме — например, взлома маркетплейса — рекомендуется немедленно проверить и почистить разрешения.

На TON и Solana модель разрешений устроена иначе и в целом несёт меньший постоянный риск, однако следует с осторожностью относиться к тому, каким программам и контрактам вы разрешаете взаимодействовать с вашими кошельками.

Как обращаться с подозрительными NFT в кошельке

Если в вашем кошельке появился NFT, который вы не покупали и не получали от знакомого человека, — обращайтесь с ним осторожно. Не пытайтесь выставить, продать или взаимодействовать с ним через основной кошелёк. Не переходите по URL-адресам, встроенным в метаданные NFT.

Некоторые коллекционеры сжигают подозрительные аирдроп-NFT, чтобы убрать их из кошелька. На Ethereum это обходится в газ — стоит оценить, оправданы ли затраты. На TON и Solana, где комиссии минимальны, сжигание нежелательных токенов — практичный способ поддерживать порядок в портфолио.

Инструменты вроде NFT Bowl позволяют просматривать и управлять NFT на Ethereum, TON и Solana из единого интерфейса, что упрощает обнаружение незнакомых токенов во всех кошельках и принятие мер без переключения между разными приложениями.

Советы по безопасности для каждой платформы

Ethereum

Ethereum — крупнейшая NFT-экосистема по стоимости и, соответственно, самая атакуемая. Используйте аппаратный кошелёк для любой коллекции стоимостью более нескольких сотен долларов. Регулярно проверяйте разрешения. Будьте особенно осторожны с новыми и непроверенными проектами в периоды ажиотажа — именно тогда фишинговые сайты плодятся быстрее всего.

TON

Интеграция TON с Telegram — палка о двух концах: она удобна, но означает, что злоумышленники работают там, где вы уже вовлечены. Скептически относитесь к NFT-предложениям в Telegram-каналах и ботах. Telegram Wallet и Tonkeeper — наиболее проверенные варианты; с осторожностью относитесь к сторонним кошелькам с небольшой историей.

Solana

Экосистема Solana пережила несколько резонансных кампаний с дрейнерами кошельков. Кошелёк Phantom теперь включает встроенные предупреждения о подозрительных транзакциях. Регулярно обновляйте программное обеспечение кошелька — патчи безопасности выходят часто. Будьте осторожны с расширениями браузера, которые вы устанавливаете: вредоносные расширения использовались для перехвата транзакций Solana.

Что делать, если вас взломали

Если вы подозреваете, что ваш кошелёк скомпрометирован, скорость имеет решающее значение. Немедленно переведите оставшиеся активы в новый чистый кошелёк. Создайте новый кошелёк на устройстве, которому доверяете, и не импортируйте старую сид-фразу — сгенерируйте новую.

Если вы подписали вредоносное разрешение, но кража ещё не произошла, немедленно отзовите его через Revoke.cash или встроенные инструменты кошелька. Некоторые дрейнеры действуют с задержкой, и быстрый отзыв разрешения может предотвратить дальнейшие потери.

Сообщите об инциденте на соответствующей платформе — маркетплейсе, в Discord проекта или сообществу специалистов по безопасности блокчейна. Публикация подробностей помогает другим избежать той же атаки и может помочь исследователям в отслеживании злоумышленников.

Заключение

Безопасность NFT — это не сложно, но требует последовательных привычек. Коллекционеры, теряющие активы, не всегда неопытны — изощрённые атаки застигали врасплох и опытных пользователей. Защита складывается из замедления в критические моменты, физического разделения наиболее ценных активов и подключённых к интернету кошельков, а также постоянного мониторинга актуальных угроз.

Аппаратный кошелёк для ценных активов, отдельные рабочие кошельки для изучения новых проектов, регулярный аудит разрешений и здоровый скептицизм к незапрошенным ссылкам и срочным предложениям защитят вас от подавляющего большинства атак. Несколько минут, потраченных на выработку этих привычек, — одна из лучших инвестиций в практику любого NFT-коллекционера.