Web3 как ключевая концепция интернета нового поколения объединяет блокчейн, децентрализацию, токеномику и технологии повышения конфиденциальности, преобразуя способы взаимодействия в цифровом мире. Однако вместе с этой технологической волной пришла и всё более активная мошенническая деятельность. Только за 2022 год мошенничество и хакерские атаки в сфере Web3 привели к убыткам, превышающим 3 миллиарда долларов. Для каждого пользователя, входящего в эту новую область, понимание механизмов работы мошенников и освоение практических стратегий защиты стали необходимыми навыками для сохранения собственных цифровых активов.

В отличие от традиционного интернета, децентрализованная природа Web3 означает, что совершённая транзакция необратима — ни банк, ни централизованная организация не могут вмешаться, заморозить средства или отменить перевод. Эта необратимость является одновременно ключевым преимуществом блокчейн-технологии и основной причиной, по которой мошенники действуют безнаказанно. Когда ваши цифровые активы переведены на кошелёк мошенника, вероятность их возврата практически равна нулю. Поэтому профилактика значительно важнее постфактумных мер. В этой статье мы рассмотрим причины возникновения мошенничества, наиболее распространённые типы, конкретные шаги по предотвращению и практические рекомендации, чтобы предоставить вам комплексную систему защиты в Web3.
Мошенничество в Web3 продолжает процветать по ряду структурных причин. Во-первых, анонимность и псевдонимность блокчейн-технологии предоставляют мошенникам естественное укрытие. Большинство адресов кошельков не привязаны к реальной личности, а отслеживание движения средств требует профессиональных инструментов анализа блокчейна, что является крайне сложной задачей для обычных пользователей. Во-вторых, техническая сложность сферы Web3 создаёт огромный информационный дисбаланс. Многие пользователи вкладывают средства, не до конца понимая принципы работы смарт-контрактов, управления закрытыми ключами и протоколов децентрализованных финансов, что создаёт условия для мошенников, использующих разрыв в знаниях.

Кроме того, регуляторная база текущей экосистемы Web3 всё ещё находится на ранней стадии: во многих юрисдикциях ещё не приняты целевые законы и нормативные акты, а правоохранительные органы сталкиваются с двойными трудностями — вопросами юрисдикции и технической экспертизы — при расследовании трансграничных криптомошеннических дел. Наконец, распространение социальных сетей и мессенджеров позволяет мошенникам с минимальными затратами охватывать большое количество потенциальных жертв, а тщательно разработанные сайты фиктивных проектов и поддельные аккаунты службы поддержки делают крайне сложным для обычных пользователей отличить подделку от оригинала. Совокупность этих факторов создаёт благодатную почву для процветания мошенничества в Web3.
Мошенничество с фиктивными проектами обычно заманивает обещанием высокой доходности: мошенники выпускают бесполезные токены, создают ажиотаж через социальные сети, привлекают инвесторов к покупке, а затем продают свои активы и исчезают — это так называемые схемы «раг-пулл» (выдёргивание коврика). Мошеннические вакансии — один из самых быстрорастущих типов в последнее время: мошенники выдают себя за рекрутеров в сфере Web3, заманивают обещаниями высокооплачиваемой удалённой работы и просят соискателей загрузить так-called «тестовое приложение» или подключить кошелёк для прохождения процедуры трудоустройства. На практике эти действия активируют вредоносный контракт, который напрямую похищает цифровые активы из кошелька. Даже основатель Binance Чанпэн Чжао публично заявлял, что своими глазами видел, как подобные схемы опустошали кошельки жертв за несколько минут.
Мошенничество с вредоносными смарт-контрактами ещё более скрытно. При взаимодействии с внешне нормальным децентрализованным приложением пользователь может непреднамеренно подписать транзакцию на предоставление разрешения, позволяющую мошеннику неограниченно переводить определённые токены из кошелька. Такие атаки эксплуатируют незнание обычными пользователями механизма предоставления разрешений смарт-контрактам и часто происходят без ведома пользователя, постоянно похищая активы.
Конкретные шаги по защите активов
Шаг второй: выработайте привычку тщательно проверять каждое взаимодействие с кошельком. Прежде чем нажать «Подтвердить», внимательно изучите детали транзакции, особенно содержание разрешений смарт-контракта. Если вы видите «неограниченное разрешение» или адрес контракта неизвестного происхождения, немедленно отмените транзакцию. Рекомендуется регулярно проверять и отзывать ненужные разрешения контрактов с помощью таких инструментов, как Revoke.cash. Шаг третий: проверяйте подлинность всех ссылок и проектов. Перед посещением любого Web3-приложения перекрёстно проверьте URL-адрес через официальные аккаунты проекта в социальных сетях, репозитории GitHub и авторитетные платформы, такие как CoinGecko. Не переходите по ссылкам, присланным незнакомцами, и сохраняйте бдительность даже при получении сообщений, похожих на отправленные друзьями, поскольку случаи рассылки фишинговых ссылок с взломанных аккаунтов весьма распространены.
Шаг четвёртый: используйте аппаратный кошелёк для хранения крупных сумм. Аппаратные кошельки, такие как Ledger, хранят закрытые ключи на автономном устройстве, и даже при заражении компьютера вредоносным ПО закрытый ключ не будет скомпрометирован. Совместное использование аппаратного кошелька с программными кошельками, такими как MetaMask, позволяет значительно снизить риск кражи активов, сохраняя при этом удобство использования DeFi. Шаг пятый: создайте несколько адресов кошельков для разных целей. Храните долгосрочные активы на холодном кошельке, а на горячем кошельке держите лишь небольшое количество средств для повседневных операций. Таким образом, даже при компрометации горячего кошелька потери будут ограничены.
Действия при подозрительных ситуациях и рекомендации по долгосрочной защите
Если вы подозреваете, что стали целью мошенников или уже понесли убытки, в первую очередь прекратите любое взаимодействие с подозрительным адресом и переведите оставшиеся активы на новый, не затронутый кошелёк. Немедленно отзовите все разрешения контрактов, связанные с этим адресом. Одновременно сообщите о случившемся в соответствующие платформы и правоохранительные органы: хотя вероятность возврата средств невелика, заявления помогают правоохранительным органам отслеживать модели поведения мошенников. Вы также можете пометить мошеннические адреса на платформах анализа блокчейна, таких как Chainalysis и Etherscan, помогая другим пользователям распознавать риски.
В долгосрочной перспективе непрерывное обучение — важнейшая гарантия безопасности в Web3. Регулярно следите за последними новостями в сфере безопасности, подписывайтесь на уведомления организаций, специализирующихся на безопасности Web3, и участвуйте в обсуждениях безопасности в сообществе. Выработайте мышление «не доверяй — проверяй»: в мире Web3 слишком красивые обещания — это почти всегда ловушка. Всегда помните главный принцип: если вы не полностью понимаете риски какого-либо действия, не выполняйте его. Прежде чем подключиться к новому протоколу DeFi или принять участие в продаже токенов, потратьте время на изучение команды проекта, отчётов аудита кода, отзывов сообщества и токеномической модели. Настоящие инвестиционные возможности не требуют принятия решения за считанные минуты, а мошенники именно на это и рассчитывают — эксплуатируя спешку и жадность людей.
Bitcoin в последнее время сильно движется, но прибыль нужно оценивать вместе с риском.
Перед переводом стоит проверить комиссии сети и правила площадки.
Статья практично объясняет безопасность кошелька, выбор биржи и контроль рисков.