Фишинговые атаки на трейдеров без KYC в 2026 году

6 мая 2026 г.

Трейдеры, которые торгуют без KYC через децентрализованные сервисы, — один из самых привлекательных сегментов для фишеров. Причина простая: такие пользователи сами контролируют приватные ключи, а активы не проходят через промежуточную платформу. Достаточно один раз выманить подпись или сид-фразу — и кошелёк можно опустошить почти мгновенно. Переводы в блокчейне необратимы.

В отличие от атак на пользователей CEX, где злоумышленнику часто нужно обходить 2FA и риск-контроль биржи, у self-custody-кошельков после успешной атаки почти нет механизма восстановления.

В 2026 году фишинг стал заметно сложнее, чем несколько лет назад. Ниже — основные схемы, признаки риска и практичные способы защиты.

Почему трейдеры без KYC — приоритетная цель

Self-custody-пользователи особенно интересны атакующим из-за нескольких факторов:

  • активы находятся под прямым контролем пользователя, и после получения нужной подписи их можно быстро вывести;
  • блокчейн-транзакции необратимы: после перевода активы обычно нельзя «откатить»;
  • нет платформенной системы риск-контроля, которая в реальном времени остановит подозрительную операцию;
  • многие пользователи не до конца понимают, что именно подписывают при взаимодействии с DApp.

Системный анализ фишинговых атак от OWASP отмечает, что визуальное клонирование сайтов — один из самых эффективных методов: злоумышленники могут за считанные часы сделать страницу, почти неотличимую от оригинала.

Основные типы атак в 2026 году

Тип 1: поддельные фронтенды DEX

Злоумышленники копируют интерфейсы известных DEX, таких как Hyperliquid, dYdX, GMX и другие, а затем покупают рекламные места в поисковиках. Поддельный сайт оказывается выше настоящего в выдаче, пользователь переходит по ссылке, подключает кошелёк — и получает вредоносный запрос на подпись.

На что смотреть:

  • домен слегка отличается от настоящего: например, 0 вместо o, лишний символ или похожая буква;
  • SSL-сертификат у сайта может быть совсем свежим;
  • запрос на подпись появляется сразу после подключения кошелька, без понятного действия со стороны пользователя.

Тип 2: вредоносные разрешения — approval phishing

По данным исследований Chainalysis, это один из самых быстрорастущих видов атак. Пользователя заманивают фейковым аирдропом, NFT-минтом, стейкинг-наградой или «клеймом бонуса». На экране всё выглядит как получение награды, но по факту пользователь подписывает разрешение, которое даёт адресу злоумышленника право перемещать токены из кошелька.

После такого approval атакующий может вывести токены в любой момент, часто уже через несколько минут. При этом в интерфейсе кошелька может не быть привычного ощущения, что пользователь сам отправил перевод: на уровне блокчейна это выглядит как заранее выданное разрешение другому адресу.

Тип 3: кража сид-фразы

Сид-фразу пытаются выманить через разные сценарии:

  • фейковая «поддержка кошелька» пишет, что аккаунт якобы нужно проверить из-за подозрительной активности;
  • публикуется «инструкция по миграции сид-фразы на новую версию», где нужно ввести старую фразу;
  • создаётся поддельное приложение кошелька, которое на этапе настройки незаметно отправляет введённую фразу злоумышленникам.

Официальная документация MetaMask формулирует это предельно ясно: нормальное приложение кошелька или служба поддержки никогда не попросит у тебя сид-фразу. Если кто-то просит сид — это скам.

Тип 4: фейковая поддержка в Discord и Telegram

В сообществах DeFi-проектов атакующие часто притворяются модераторами или саппортом. Они пишут в личку, предлагают «помочь» с проблемой и отправляют на якобы официальный инструмент диагностики. На деле это фишинговая страница, которая пытается получить подпись, approval или сид-фразу.

Правило простое: настоящая поддержка почти никогда не начинает диалог в личных сообщениях первой, а тем более не просит подключить кошелёк к непонятной странице.

Тип 5: address poisoning — загрязнение адресной истории

Злоумышленник отправляет на твой адрес мелкую транзакцию с адреса, который похож на адрес твоего контрагента: совпадают первые и последние символы, а середина другая. Потом этот адрес появляется в истории транзакций.

Если в следующий раз ты копируешь адрес из истории и проверяешь только начало и конец, можно случайно выбрать адрес атакующего.

Быстрая таблица рискованных ситуаций

СитуацияУровень рискаЧто делать
Переход на DEX из поисковой рекламыВысокийИспользуй закладки и проверяй домен вручную
Запрос подписи сразу после подключения кошелькаВысокийНе подписывай, пока не понимаешь действие
«Клейм» аирдропа с unlimited approvalОчень высокийОтклони транзакцию и проверь источник
Личное сообщение от «саппорта» в Discord/TelegramВысокийНе переходи по ссылкам из лички
Копирование адреса из истории транзакцийСредний/высокийСверяй полный адрес, не только начало и конец
Ввод сид-фразы на сайтеКритическийНикогда не вводи сид-фразу на веб-страницах

Как OneKey помогает защищаться от фишинга

Кошелёк OneKey включает несколько механизмов, которые снижают риск фишинговых атак:

  • Разбор содержимого подписи. Сложные запросы, включая EIP-712 structured data, отображаются в более понятном виде, чтобы ты видел, что именно подписываешь.
  • Симуляция транзакций. Перед подписью кошелёк показывает предполагаемый результат операции и изменения по активам. Это помогает заметить вредоносные approval и подозрительные переводы.
  • Предупреждения о рисках. При взаимодействии с опасными контрактами, например при запросе unlimited approval, OneKey может показать отдельное предупреждение.
  • Проверка доменов. Кошелёк выполняет базовую проверку DApp-доменов и предупреждает о известных вредоносных сайтах.
  • Открытый код. OneKey полностью открыт на GitHub, поэтому сообщество может проверять код на наличие вредоносной логики.

Аппаратные кошельки OneKey добавляют ещё один уровень защиты: каждую подпись нужно физически подтвердить на экране устройства. Это помогает защититься от перехвата подписи на уровне софта.

Также полезно регулярно проверять и чистить старые разрешения через Revoke.cash. Чем меньше забытых approval остаётся в кошельке, тем меньше поверхность атаки.

Что делать, если ты уже попался на фишинг

Если ты подозреваешь, что подписал вредоносное разрешение или раскрыл сид-фразу, действуй быстро:

  1. Прекрати любые действия на этом устройстве и отключи его от сети.
  2. Если утекла сид-фраза: создай новый кошелёк на чистом устройстве и переведи туда все активы.
  3. Если подписан вредоносный approval: как можно быстрее зайди в Revoke.cash и отзови связанные разрешения.
  4. Закрой открытые позиции на платформах вроде Hyperliquid, dYdX и других, чтобы атакующий не смог воспользоваться средствами после изменения PnL.
  5. Замени кошелёк, который использовался для входа в DApp-аккаунты.

Время критично. Большинство drainer-атак автоматически выводят активы уже через несколько минут после получения разрешения. Чем дольше ты ждёшь, тем ниже шанс что-то спасти.

Частые вопросы

Q1: Может ли фишинговый сайт сам украсть мою сид-фразу?

Сам по себе сайт не может извлечь сид-фразу из нормального кошелька. Но он может показать фейковую форму «проверки кошелька», «восстановления» или «миграции» и убедить тебя ввести сид вручную. Если ты не вводишь сид-фразу, сайт не должен её получить.

Q2: Аппаратный кошелёк OneKey полностью защищает от фишинга?

Аппаратный кошелёк защищает сид-фразу от кражи вредоносным софтом и не даёт подписывать транзакции без физического подтверждения. Но он не спасёт, если ты сам осознанно подтвердил вредоносный запрос. Поэтому важно не только использовать hardware wallet, но и понимать содержание подписи.

Q3: Как проверить, что я открыл правильный сайт DEX?

Добавь официальный сайт в закладки и заходи только через них. Проверяй URL через официальные Twitter/X-аккаунты проекта или документацию. Не доверяй рекламным результатам в поисковиках. Сверяй каждый символ в домене, особенно похожие символы вроде l и 1, 0 и o.

Q4: Чем unlimited approval отличается от limited approval?

Unlimited approval даёт контракту право в любой момент забрать любое количество указанного токена из твоего кошелька. Limited approval ограничивает сумму. В обычной работе лучше выдавать разрешение только на сумму, нужную для конкретной операции, а не давать бесконечный лимит.

Q5: Как часто нужно проверять разрешения кошелька?

Минимум раз в месяц, а также после крупных сделок или активного взаимодействия с новыми DApp. Через Revoke.cash можно быстро посмотреть и отозвать on-chain-разрешения.

Итог: защита кошелька — это и инструменты, и привычки

В 2026 году фишинг против self-custody-пользователей стал профессиональным и автоматизированным. Просто «быть внимательнее» уже недостаточно. Нужен кошелёк с активными защитными функциями и понятный набор операционных правил.

Попробуй OneKey: включи разбор подписей и симуляцию транзакций, регулярно чисти старые approval и используй OneKey Perps для торговли децентрализованными бессрочниками в более контролируемой среде.

Риск-предупреждение: этот материал предназначен только для обучения и не является инвестиционным, юридическим или финансовым советом, а также не гарантирует безопасность. Методы криптофишинга постоянно меняются, и описанные меры не могут обеспечить полную защиту. Если активы украдены через on-chain-транзакцию, вернуть их обычно невозможно. Действуй осторожно и оценивай риски заранее.

Защитите свое криптопутешествие с OneKey

View details for Магазин OneKeyМагазин OneKey

Магазин OneKey

Самый продвинутый аппаратный кошелек в мире.

View details for Загрузить приложениеЗагрузить приложение

Загрузить приложение

Предупреждения о мошенничестве. Поддержка всех монет.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Ясность в криптовалюте — на расстоянии одного звонка.