Около 40% всех потерь в DeFi-хаках 2025 года пришлись на фишинг через фейковые dApp и social engineering. Мошенники просят подписать approve‑транзакцию, после чего списывают весь лимит токенов с кошелька. Холодный кошелёк не спасёт, если вы сами подтвердите вредоносный контракт.
Мошенник создаёт клон популярного dApp (Uniswap, Aave, Lido). Пользователь подключает кошелёк и видит интерфейс, который просит «подтвердить газ» или «уполномочить контракт». На самом деле подпись даёт доступ к бесконечному списанию токенов (ERC‑20 approve). После подписания злоумышленник вызывает transferFrom и выводит средства. В 2026 году такие атаки составляют >50% фишинговых инцидентов (источник: SlowMist).
Перевод — это tx с изменением баланса отправителя. Approve — разрешение для стороннего контракта на управление вашими токенами в пределах лимита. Фишинговая approve может быть на сумму MAX_UINT, то есть все токены. Даже если вы перевели 1 USDT, approve даёт доступ ко всему одноимённому токену. Нюанс: отозвать approve можно только новой транзакцией, и часто жертва замечает это постфактум.
Минимум: (1) проверьте домен — часто заменяют букву в URL (uniswap.org → uniswaap.org); (2) откройте Etherscan или Solscan для контракта, посмотрите verified status, возраст контракта, количество Txs; (3) используйте расширения Wallet Guard или Pocket Universe, которые предупреждают о подозрительных approve‑запросах. Нюанс: даже verified контракт может быть вредоносным, если он написан хитромудро.
Немедленно отзовите approve через Revoke.cash, Etherscan («Revoke Approval») или Rabby Wallet. Если мошенники ещё не вывели средства — успеваете. Если нет — срочно переведите оставшиеся активы на новый кошелёк (с новым сидом). Нюанс: в 2026 году появились автоматические боты, которые выводят токены за секунды, так что скорость критична.
Для активной торговли на сумму до ~5 % портфеля, ежедневных игр и тестовых транзакций. На горячем кошельке не держите крупные суммы (>30 % портфеля). Нюанс: даже при подключении к легитимному dApp есть риск взлома расширения или фишинга seed‑фразы. Аппаратный кошелёк снижает этот риск, но не исключает полностью подпись вредоносной транзакции.
Выделите cold wallet (Ledger, Trezor, OneKey Pro) с отдельным seed‑фразом, который никогда не подключается к браузеру. Используйте протоколы с мультиподписью (Safe, Zinc) для розовых сумм. Доля доходности в DeFi исторически составляет 3–8 % годовых, но стоимость ошибки при фишинге — потеря всего баланса. Нюанс: налог на прибыль от крипты в РФ — 13 % НДФЛ (с 2026 года возможно изменение шкалы), убытки от фишинга, к сожалению, не вычитаются из налоговой базы.
Безопасный approve обычно связан с конкретным протоколом и отображает точную сумму (например, ~100 USDT). Если сумма указана как MAX_UINT (максимальная) — это почти всегда признак фишинга. Но есть исключения: некоторые протоколы (MakerDAO) используют бесконечный approve для удобства.
| Признак | Что смотреть | Как проверить |
|---|---|---|
| Домен | uniswap.finance.app вместо uniswap.org | Зайдите на официальный сайт протокола через CoinMarketCap или DefiLlama |
| Запрос approve без объяснения | Любой approve, который не нужен для операции (например, approve при простом свапе) | Читайте данные транзакции в симуляторе (Etherscan, Blockaid, Wallet Guard) |
| Кнопка «Sign» без чёткого описания | Подпись в формате EIP‑1559 без decode данных | В аппаратном кошельке смотрите raw‑транзакцию; если видите 0x095ea7b3 (селектор approve) — немедленно отменяйте |
| Отсутствие verified‑статуса | Контракт не верифицирован или код с маскировкой | Etherscan → Contract → Code; если код не читается — это почти гарантированный фишинг |
| Критерий | Hot Wallet (MetaMask, Rabby) | Cold Wallet (Ledger, Trezor) |
|---|---|---|
| Защита seed‑фразы | Зависит от антивируса и чистоты системы | Фраза никогда не покидает чип (недоступна для ОС) |
| Подпись транзакции | Подписывается в расширении (возможна подмена данных) | Вы подтверждаете данные на экране устройства (гарантия Human->Device) |
| Стоимость | Бесплатно | От ~8 000 ₽ (Ledger Nano S Plus) до ~20 000 ₽ (Trezor Model T) |
| Удобство | Мгновенные свапы, DeFi, NFT | Требуется подключение и подтверждение каждой tx |
| Риск approve‑фишинга | Высокий (пользователь может не заметить подмену) | Понижается, если вы читаете данные на экране, но не исключается полностью (при невнимательности) |
Создайте отдельный холодный кошелёк (Ledger/Trezor) с seed‑фразой, записанной на листе бумаги без доступа к софту. Не вводите эту фразу ни в какой интерфейс. Переведите туда >70 % портфеля. Для DeFi используйте только средства, которые готовы потерять.
В браузер добавьте Wallet Guard или Pocket Universe — они анализируют approve‑транзакции и блокируют подозрительные. Дополнительно поставьте блокировщик рекламы (uBlock Origin) — фишинговые ссылки часто идут через рекламные сети поисковиков.
Перед подключением кошелька откройте DefiLlama или CoinMarketCap, найдите официальный контракт. Сравните его адрес с тем, что отображается в dApp. Если адреса не совпадают — уходите. Даже одно несовпадение символа может быть фишингом.
Перед подтверждением в аппаратном кошельке переключитесь на расширенный режим. Убедитесь, что type of operation — «Approve» или «Transfer». Если видите call к контракту с неизвестными function selector — отменяйте. На Ledger используйте Ledger Live для симуляции.
Раз в месяц заходите на Revoke.cash или используйте встроенный «Token Approval» в Rabby Wallet. Отзывайте лимиты для контрактов, которыми не пользовались >30 дней. Это снижает риск атаки на старые approve.
Безопасный approve обычно связан с конкретным протоколом и отображает точную сумму (например, ~100 USDT). Если сумма указана как MAX_UINT (максимальная) — это почти всегда признак фишинга. Но есть исключения: некоторые протоколы (MakerDAO) используют бесконечный approve для удобства.
Да, но не гарантированно. На Ledger/Trezor вы видите точную сумму approve и адрес контракта. Если вы читаете экран — вы заметите, что адрес не соответствует leяgitimnиkun. Если «слепо подтверждать» все popup — кошелёк бессилен.
Согласно ФНС РФ, утраты средств в результате фишинга не являются расходной операцией, но и не освобождают от налога на доход (если вы успели продать до взлома). Если взломаны токены, которые не были проданы — налог не возникает. Но если вы зафиксировали прибыль в сделке до взлома — задекларируйте и заплатите 13 % (на 2026 год).
На Web3 Security Reports от Chainalysis, SlowMist, CertiK. В РФ — ForkLog (https://forklog.com) публикует дайджесты взломов. Не ориентируйтесь на новости, ищите отчёты с полными метриками и временем recovery.
Приоритезируйте отзыв, даже если газ стоит дорого (часто $5–30). Если вы откладываете — мошенник может вывести токены. В 2026 году можно использовать L2 (Arbitrum, Optimism) для дешёвых транзакций revoke. Если сеть перегружена — подождите ночного слота (с 02:00 до 06:00 UTC).
Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.
Точка входазашла пробно на 1 месяц после рекламы
Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты
«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»история в Telegram →
Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб
Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает
«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»история в Telegram →
«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Ещё реальные отзывы участников — t.me/traderreviews
