Фишинговые домены — точные копии OpenSea, Blur и Magic Eden с отличием в одном символе URL — подписывают жертву на передачу всей коллекции в одной транзакции. Потеря происходит мгновенно и необратима: блокчейн-переводы не отменяются. Проверка домена перед подключением кошелька занимает 10 секунд и закрывает большинство векторов атаки.
Мошенники регистрируют домен, визуально идентичный оригиналу: opensea-io.com, blur-nft.org, 0pensea.io. Сайт предлагает «подключить кошелёк» и подписать транзакцию — фактически аппрув на передачу всех NFT с адреса. После подписи активы уходят на кошелёк атакующего. Единственная защита — проверять URL до подключения, а не после.
Три главных маркера: домен не совпадает с официальным (opensea.io, blur.io, magiceden.io), в URL есть дефисы или дополнительные слова (opensea-market.com), сертификат SSL выдан на имя, отличное от торговой марки. Дополнительно: страница требует «верификацию» или «обновление безопасности» перед показом коллекции — легитимные маркетплейсы этого не делают.
Сравните домен с закладкой или официальным Twitter/X проекта — не с результатами поиска Google, где фишинг покупает рекламные места. Используйте расширение ScamSniffer: оно анализирует домен и предупреждает о совпадении с базой фишинговых сайтов. Проверьте домен через PhishTank или Google Safe Browsing. Любое сомнение — не подключайтесь.
Атака на минтинг работает иначе: мошенники анонсируют «эксклюзивный дроп» в Discord или Telegram, ссылка ведёт на фейковый сайт минта. Жертва платит ETH за «минтинг» — деньги уходят мошеннику, NFT не приходит. Параллельно страница может запрашивать аппрув на существующие токены. Проверяйте адрес контракта минта на Etherscan до отправки транзакции.
Немедленно зайдите на revoke.cash и отзовите все аппрувы, выданные в последний час. Если NFT уже переведены — транзакция необратима. Зафиксируйте адрес получателя для возможной жалобы в OpenSea (они могут заморозить торговлю украденными токенами) и в профильные базы мошенников (NFT Scam DB). Смените пароли от почты, привязанной к Discord и маркетплейсам.
Кража не является реализацией актива, поэтому дохода для целей НДФЛ не возникает. Однако доказать факт кражи в РФ-юрисдикции затруднительно: законодательство о NFT как имуществе формируется. При получении страховой выплаты или компенсации от платформы — это уже доход, облагаемый НДФЛ по ставке 13–15%.
В большинстве случаев — нет. Транзакция в блокчейне необратима. OpenSea и другие маркетплейсы могут заморозить торговлю украденными токенами по жалобе, но вернуть NFT в кошелёк они не способны. Шанс есть только если мошенник ещё не продал активы и готов идти на контакт — что крайне редко.
| Тип атаки | Механизм | Результат для жертвы |
|---|---|---|
| Клон маркетплейса | Поддельный домен + аппрув setApprovalForAll | Вся коллекция уходит атакующему |
| Фейковый минт | Объявление дропа → оплата ETH на адрес мошенника | Потеря ETH, NFT не приходит |
| Discord-компромисс | Взлом официального Discord → фишинговая ссылка от имени команды | Жертвы доверяют «официальному» анонсу |
| Google Ads фишинг | Реклама в поиске по запросу «opensea» ведёт на клон | Пользователи кликают на первый результат без проверки URL |
| Критерий | Оригинал | Фишинг |
|---|---|---|
| Домен | opensea.io / blur.io / magiceden.io | opensea-io.com, blur-nft.org, 0pensea.io |
| SSL-сертификат | Выдан на торговую марку | Может быть выдан на случайное имя или тот же домен |
| Запрос при входе | Подключение кошелька стандартной подписью | «Верификация», «обновление», нетипичные разрешения |
| Реакция ScamSniffer | Нет предупреждений | Красный алерт или запись в базе фишинга |
| История домена | Зарегистрирован годы назад | Домен создан недавно (проверить через whois) |
Никогда не переходите на маркетплейс через Google-поиск или рекламу. Держите официальные URL в закладках браузера или берите ссылки только с верифицированных Twitter/X-аккаунтов проектов.
Добавьте ScamSniffer в Chrome или Firefox — расширение проверяет домен по базе фишинговых сайтов и блокирует подключение кошелька на опасных страницах. Обновляйте расширение регулярно.
Зайдите на who.is или icann.org/lookup, введите домен. Дата регистрации меньше 6 месяцев при заявленной «популярности» сервиса — красный флаг. Владелец скрыт через privacy-сервис — не критично само по себе, но в сочетании с новым доменом настораживает.
Перед подтверждением транзакции MetaMask показывает, что именно вы подписываете. Функция setApprovalForAll со значением true при «простом входе» — немедленно отклоняйте. Легитимные маркетплейсы используют стандартную подпись Sign-In with Ethereum.
Зайдите на revoke.cash после каждого взаимодействия с незнакомым маркетплейсом и отзовите лишние разрешения. Это занимает 2–3 минуты и стоит cents в L2-сетях.
В большинстве случаев — нет. Транзакция в блокчейне необратима. OpenSea и другие маркетплейсы могут заморозить торговлю украденными токенами по жалобе, но вернуть NFT в кошелёк они не способны. Шанс есть только если мошенник ещё не продал активы и готов идти на контакт — что крайне редко.
Частично. Ledger или Trezor требуют физического подтверждения каждой транзакции, что исключает фоновое списание. Но если вы сами подтверждаете вредоносный аппрув на экране устройства — кошелёк не остановит вас. Аппаратный кошелёк снижает риск, но не заменяет проверку URL и текста транзакции.
Через контекстную рекламу Google Ads по брендовым запросам («opensea», «blur nft»). Рекламные объявления отображаются выше органической выдачи и визуально похожи на обычные результаты. Решение: игнорируйте первые 2–3 результата с пометкой «Реклама» при поиске маркетплейсов, используйте только закладки.
SetApprovalForAll — функция стандарта ERC-721/ERC-1155, которая даёт указанному адресу право управлять всеми NFT в коллекции. Легитимные маркетплейсы запрашивают её для листинга. Фишинговые сайты используют её, чтобы получить полный контроль над вашей коллекцией. Если запрос приходит не в момент листинга — это атака.
Классических страховых продуктов для NFT в РФ нет. Децентрализованные крипто-страховки (Nexus Mutual, Sherlock) покрывают риски смарт-контрактов, но не социальную инженерию и фишинг. Единственная «страховка» — превентивные меры: проверка URL, ScamSniffer, аппаратный кошелёк, минимальные аппрувы.
Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.
Точка входазашла пробно на 1 месяц после рекламы
Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты
«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»история в Telegram →
Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб
Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает
«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»история в Telegram →
«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Ещё реальные отзывы участников — t.me/traderreviews
