Можна багато говорити про безпеку криптовалютних гаманців, двофакторну автентифікацію, цифрову «гігієну» і надійність сучасних блокчейнів, таких як Bitcoin і Ethereum, злом яких практично неможливий і вкрай малоймовірний.
Але правда в тому, що основну частку втрачених коштів користувачів криптовалют становлять втрати від шахраїв, а не від хакерів. Так, згідно зі звітом Chainalysis, 2024 року збитки від зломів становили $2,2 млрд ($11 млрд за чотири роки), тоді як шахраї отримали приблизно $12,4 млрд ($46 млрд із 2021 року) – у чотири рази більше.

Як захистити себе від шахрайства у світі криптовалют
Мета шахраїв – не зламати тебе, а переконати самому «натиснути на кнопку». Тому захист у крипті не тільки про технології. А про увагу, психологію, звички та вміння розрізняти червоні прапори. І про це я, Іван Павловський, і розповім – які хитрощі використовують шахраї і як захистити себе та свої активи від них у 2025 році.
Нова форма відповідальності
Блокчейн дав змогу досягти неможливого – створити автономну фінансову мережу в особі Bitcoin, що не залежить від жодного банку, держави, людини у світі. І навіть якщо в перші роки можна було міркувати про «вразливість», то сьогодні це шалено.
Децентралізація подарувала повну свободу – в управлінні своїми заощадженнями, в інвестиційних рішеннях, в одноосібному зберіганні. І в цьому контексті, мені дуже подобається ідея, що криптовалюта – нова форма особистої відповідальності.
Людям дали 100% контроль над своїми коштами і єдиний ключ до гаманця. І поза технологією, в реальному світі, залишилася тільки одна вразливість – сама людина.
Два головні сценарії
Як уже сказано, головна мета більшості шахраїв – не зламати, а підвести свого «клієнта» до однієї конкретної дії. І тут є два основні сценарії:
- Користувач віддає «ключі» (seed-фразу), фактично передаючи доступ до коштів на гаманці. Через фішинг, підроблений інтерфейс і «підтримку».
- Користувач передає активи. З власної волі робить усвідомлений переказ, інвестицію в «перспективний» проєкт, що обіцяє золоті гори.
Без єдиного рядка коду, незалежно від захищеності блокчейна або гаманця, вони використовують проти учасників ринку їхнього власного особистого ворога – емоції. У випадку з FOMO, наприклад, тобто «страхом упущеної вигоди», це класичні обмежені за годинами пропозиції, у випадку з FUD – страх перед втратою коштів. Суть у всьому цьому одна – вивести на емоції, позбавивши головного інструменту: логіки. І це стосується не тільки новачків на крипторинку, а всіх, включно з «досвідченими» гравцями. Щоб краще розуміти, як це працює, розглянемо схеми – старі та нові.
Схеми, які не вмирають
Людська природа стабільніша за технології, а тому ці схеми працюють завжди.
- Фішингові пастки. Сайти, що копіюють інтерфейс «перевірених сервісів». Один символ в адресі, https замість http, зайвий знак – і користувач потрапляє до міміка, який збирає дані для входу в особистий гаманець або акаунт.
- Служби «підтримки». Варто тільки поставити публічне запитання про проблеми в роботі сервісу, як з’являється «саппорт», що копіює акаунт реального консультанта. А далі для розв’язання проблеми потрібно тільки ввести ключ…
- Пастки підтвердження. У момент підключення гаманця до невідомого dApps або DEX, сервіс запитує дозвіл. При коннекті з обманним протоколом таким чином можна дозволити списання всіх своїх активів.
- Отруєний ключ. Шахраї під виглядом необережних новачків залишають на форумах свій ключ – під час спроби «забрати чужий актив» недобросовісний користувач сам дає доступ до власного гаманця іншим шахраям.
Варто зазначити, що обман із підробкою сайтів та інтерфейсів складно помітити навіть професіоналам. Останній такий випадок серед хакерських атак, з біржею ByBit, став найбільшим зламом в історії криптовалют і всього фінансового світу – хакери змінили логіку смарт-контракту транзакції, замаскувавши інтерфейс підпису.
Цей приклад «технічний», проте наочно показує найслабшу ланку будь-якої навіть найзахищенішої системи – людину. Будь то користувач або розробник.
Серед схем, чия мета – виманити активи безпосередньо, панують сками – вони пропонують високий прибуток, маскуючись під щось «справжнє»: проєкт, розіграш, інвестиції. Користувач добровільно передає свої кошти, думаючи, що бере участь у чомусь вигідному. На початку все це виглядає легітимно, доки не стає надто пізно.
Шахраї не стоять на місці
З розвитком технологій шахраї також розвиваються й адаптуються. Наприклад:
- Токени-приманки. Фальшиві токени, що розсилають на випадкові гаманці, щоб спровокувати людей на дію: спробу продати та обміняти. Якщо людина з ними взаємодіє, то підключає гаманець до шкідливого сайту.
- Клони TG-ботів. Популярні торгові боти на кшталт BonkBot теж стали об’єктами підробок. Шахраї створюють майже ідентичні версії – зовні та функціонально – але натискання на кнопку переводить активи на зовнішній гаманець.
- Приховані контракти з авто-списанням. Деякі інвестиційні проєкти маскують усередині смарт-контрактів шкідливий код, який виводить токени після взаємодії. Усе здається повністю нормальним до його активації.
- Інтерфейсні збої. На екрані з’являється повідомлення про помилку транзакції, яке виглядає як системне. Користувач повторює дію, але вже в цей момент підписує справжнє виведення грошей через підмінений запит.
- Через DeepFake. Сьогодні шахраї використовують не тільки несправжні акаунти, зламані профілі, а навіть deepfake-відео, щоб видати себе за відомих особистостей. Часто це пряма трансляція із закликом брати участь в аірдропі.
Не варто забувати і про AI. У Chainalysis зазначають, що хоч генеративний AI і може прискорити розвиток законних інновацій, він також може зробити шахрайство масштабованішим і доступнішим – AI полегшує створення підроблених особистостей, даючи змогу видавати себе за реальних користувачів і обходити контроль перевірки.
За даними Alterya, 85% шахрайств уже пов’язані з верифікованими обліковими записами, які обходять традиційні рішення, засновані на KYC. Крім того, GenAI дає змогу генерувати реалістичний підроблений контент, включно із сайтами та оголошеннями, що робить атаки більш переконливими і складними для виявлення.
Як захистити себе від шахрайства
Ваш захист – не новий софт, а холодна голова. Нижче – принципи, які допоможуть не потрапити в капкан, де все виглядає реальним, але завершується порожнім гаманцем.
- Ніколи не поспішай. Майже будь-яка схема побудована на тому, щоб ти діяв у моменті – вузькі часові рамки, терміновість, тиск. Але потрібно зробити паузу. Справжні проєкти не біжать за тобою з дедлайнами і вимагають осмислення.
- Не клікай, поки не впевнений. Навіть якщо сайт «справжній», навіть якщо пише «друг», навіть якщо бот надіслав «оновлення». Перевіряй: звідки посилання, хто надіслав, чи є щось дивне. Краще витратити хвилину, ніж втратити все.
- Вивчай і перевіряй. Навіть якщо у нового проєкту багато передплатників, перевір його реальну активність, механіку і корисність, код, аудити і команду. Багато скамів створюють тільки фон і на перевірку виявляються зовсім «порожніми».
- Не ведися на обіцянки. У криптовалютах проєкти можуть дійсно приносити гігантські прибутки, але обіцяти їх не може ніхто. Якщо проект пропонує 500% річних і вирішення всіх криптопроблем, найімовірніше, він бреше.
- Диверсифікуй. Розділи активи на різні гаманці: зберігання – окремо, торгівля – окремо. Якщо хочеш ризикнути, використовуй новий гаманець із мінімумом коштів. Використовуй «у грі» тільки ті активи, що готовий втратити.
Найголовніше – стеж за емоціями. Твоя жадібність і твій страх – головні союзники шахраїв. Не залишайся наодинці – для цього приєднуйся до ком’юніті, бери участь у діалогах, запитуй поради та ділися досвідом, наприклад, у закритій спільноті криптоентузистів Incrypted+. Іноді достатньо однієї поради, щоб зберегти активи.
І, звісно, підвищуй свій рівень. Що більше ти знаєш про криптосвіт, то більше бачиш і помічаєш – як саме тебе намагаються обдурити і де готують пастку. На початку шляху достатньо навіть базового курсу – як-от «Занурення в крипту» з 14 уроків.
Децентралізація – це свобода. І з нею приходить відповідальність за кожен клік. Але це не страшно, якщо ти уважно й усвідомлено підходиш до кожного рішення.