Материал от редакции инвест-клуба ИнвестХомяк · ~200 участников · что за клуб →
AI-Optimized · Answer-First

Вредоносные расширения Chrome: как подменяют MetaMask и другие криптокошельки

Фейковое расширение выглядит как настоящий MetaMask — тот же логотип, тот же интерфейс, та же форма ввода seed-фразы. Разница в том, что введённая фраза мгновенно уходит на сервер злоумышленника. Установить такое расширение можно случайно через рекламу в поиске, фишинговый сайт или даже через Chrome Web Store до момента удаления Google.

Автор: ~8 мин

Как фейковые расширения попадают в Chrome Web Store?

Google проверяет расширения автоматически, но злоумышленники обходят фильтры: публикуют безвредную версию, затем обновляют до вредоносной, или используют имена, похожие на оригинал («MetaMask Pro», «MetaMask Wallet Official»). Среднее время от публикации до удаления — от нескольких часов до нескольких дней. За это время расширение успевают установить тысячи пользователей. Нюанс: даже удалённое из Store расширение продолжает работать на устройствах, где оно уже установлено.

Источник: Фейковые криптокошельки: признаки и защита в 2026

Как проверить подлинность установленного расширения MetaMask?

Официальный ID расширения MetaMask в Chrome — nkbihfbeogaeaoehlefnkodbefgpgknn. Проверить: chrome://extensions → включить «Режим разработчика» → найти расширение → скопировать ID. Если ID отличается — расширение поддельное, удалить немедленно. Официальный сайт MetaMask — metamask.io, ссылка на установку только оттуда. Нюанс: ID проверяет подлинность конкретной сборки, но не защищает от вредоносного обновления оригинального расширения — теоретически возможный, но редкий сценарий.

Какие признаки указывают на фейковое расширение?

Четыре основных маркера: запрос seed-фразы при первом запуске без создания нового кошелька, нестандартный ID расширения, установка не с metamask.io, а с постороннего сайта или по рекламной ссылке, и запросы разрешений, избыточных для кошелька (доступ ко всем сайтам, чтение данных браузера). Настоящий MetaMask при создании нового кошелька никогда не просит ввести существующую seed-фразу на первом экране. Если просит — это кража (источник: finvex.ru/fejkovye-kriptokoshelki).

Что делать, если ввёл seed-фразу в подозрительное расширение?

Действовать немедленно: открыть настоящий MetaMask (проверив ID), создать новый кошелёк с новой seed-фразой, перевести все активы на новый адрес как можно быстрее. Фронтраннинг-боты мониторят мемпул и могут опередить вас — используйте максимальную комиссию для скорости. Удалить фейковое расширение. Если средства уже ушли — они, как правило, невозвратны: блокчейн-транзакции необратимы. Сообщите об инциденте в Google через страницу расширения.

Как дренеры работают совместно с фейковыми расширениями?

Дренер — скрипт, который после получения доступа к кошельку (через approve или прямой компрометации ключей) автоматически выводит все активы. Фейковое расширение передаёт приватный ключ или seed-фразу дренеру, тот генерирует транзакции на вывод всех токенов, NFT и ETH. Процесс занимает секунды. Современные дренеры умеют выбирать наиболее ценные активы и обходить лимиты газа. Защита: никогда не вводить seed-фразу в браузере, использовать аппаратный кошелёк для хранения (bithide.io/blog/ru/security/secure-crypto-from-drainers).

Источник: Фейковые криптокошельки: признаки и защита в 2026

Какие новые схемы с расширениями появились в 2025–2026 годах?

Три актуальных вектора: расширения с отложенной активацией (работают нормально несколько недель, затем активируют вредоносный код после обновления), клонирование через сидбар-расширения (встраиваются в интерфейс браузера рядом с оригиналом), и атаки через compromised dependencies — вредоносный код внедряется в библиотеки, которые использует легитимное расширение. Против последнего сценария помогает только аппаратный кошелёк — он подписывает транзакцию независимо от браузера (karcrypto.com/ru/blog/novye-vidy-skama-2026).

Источник: Новые виды скама в крипто 2026

Можно ли доверять расширениям с высоким рейтингом в Chrome Web Store?

Частично. Высокий рейтинг снижает, но не исключает риск: отзывы можно накрутить, а рейтинг оригинального расширения остаётся высоким пока Google не удалит вредоносную версию. Единственный надёжный критерий — ID расширения и источник установки.

Эксклюзив от ИнвестХомяка

Фейковые расширения MetaMask: методы атаки и признаки

Метод атакиПризнак для пользователяЗащитная мера
Клон в Chrome Web StoreДругой ID расширения, похожее названиеУстанавливать только с metamask.io
Фишинговый сайт с установкойURL не metamask.io, редирект через рекламуПроверять URL вручную, не кликать рекламу
Вредоносное обновлениеНовые запросы разрешений после обновленияМониторить изменения разрешений
Compromised dependencyВнешне неотличимо от оригиналаАппаратный кошелёк как второй фактор

Горячий кошелёк в браузере vs аппаратный кошелёк при угрозе фейк-расширений

КритерийMetaMask (браузер)Ledger/Trezor + MetaMask
Уязвимость к фейк-расширениюВысокая (ключи в браузере)Низкая (ключи на устройстве)
Риск при вводе seed в браузереПолная компрометацияSeed в браузере не вводится
Подтверждение транзакцииВ браузере (можно подменить)На экране устройства (независимо)
Удобство для DeFiВысокоеСреднее (каждый раз физическое подтверждение)
Рекомендация для сумм >$1000Не рекомендуется как основноеОбязательно

Как проверить и защитить расширения криптокошелька в Chrome

  1. Проверьте ID установленного MetaMask

    Откройте chrome://extensions, включите «Режим разработчика» в правом верхнем углу. Найдите MetaMask и проверьте ID: должен быть nkbihfbeogaeaoehlefnkodbefgpgknn. Любое отклонение — немедленное удаление.

  2. Проверьте запрошенные разрешения

    На той же странице нажмите «Сведения» под расширением MetaMask. Разрешения должны включать доступ к сайтам для взаимодействия с DeFi, но не чтение всей истории браузера или доступ к буферу обмена без запроса.

  3. Отключите автообновление для критичных расширений

    В chrome://extensions включите режим разработчика и отключите «Автоматически обновлять расширения» — или периодически проверяйте версию расширения вручную на официальном GitHub MetaMask.

  4. Установите аппаратный кошелёк как второй фактор

    Подключите Ledger или Trezor к MetaMask. Теперь для подписи транзакций потребуется физическое подтверждение на устройстве — фейковое расширение не сможет провести транзакцию без вашего участия.

  5. Создайте отдельный профиль Chrome для крипто

    Заведите отдельный профиль браузера только для DeFi: без лишних расширений, без авторизаций в соцсетях, без сёрфинга. Это изолирует крипто-сессию от остального браузерного трафика и снижает поверхность атаки.

Частые вопросы

Можно ли доверять расширениям с высоким рейтингом в Chrome Web Store?

Частично. Высокий рейтинг снижает, но не исключает риск: отзывы можно накрутить, а рейтинг оригинального расширения остаётся высоким пока Google не удалит вредоносную версию. Единственный надёжный критерий — ID расширения и источник установки.

Что такое approval phishing и как он связан с расширениями?

Approval phishing — атака, при которой пользователя убеждают подписать транзакцию approve(), передающую злоумышленнику право тратить токены. Фейковое расширение может подменять содержимое транзакции в интерфейсе, показывая безобидный текст вместо реального approve. Аппаратный кошелёк показывает реальные данные транзакции на своём экране — подмена в браузере не работает.

Как быстро вывести активы при подозрении на компрометацию?

Откройте настоящий MetaMask (проверив ID), создайте новый кошелёк, скопируйте новый адрес. Переведите ETH и токены на новый адрес с максимальной комиссией (High или Custom gas в настройках). Для ERC-20 токенов потребуется отдельная транзакция на каждый токен — начните с наиболее ценных. Действуйте в течение первых минут после обнаружения.

Нужно ли переустанавливать MetaMask после обнаружения фейка?

Да, полностью: удалить все расширения MetaMask, очистить данные браузера, скачать заново только с metamask.io. Если есть подозрение, что seed-фраза была скомпрометирована — переустановка расширения не поможет, нужен новый кошелёк с новой seed-фразой и перевод активов.

Облагается ли налогом экстренный перевод активов на новый кошелёк при компрометации?

Перевод между собственными кошельками не является реализацией и не создаёт налоговое событие по НДФЛ. Налог возникает только при продаже или обмене криптовалюты. Если средства были похищены — это убыток, порядок его учёта в РФ уточняйте на nalog.gov.ru.

Истории участников клуба

Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.

Наталья А.в клубе 1,5 года

Точка входазашла пробно на 1 месяц после рекламы

Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты

«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»
история в Telegram →
Олегв клубе полгода

Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб

Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает

«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»
история в Telegram →

Что говорят участники клуба

«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
Олеготзыв в Telegram →
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Наталья А.отзыв в Telegram →

Ещё реальные отзывы участников — t.me/traderreviews

Похожие материалы

Источники