Фишинговые боты в Telegram копируют интерфейс известных проектов и обещают «халявные» токены, чтобы украсть приватные ключи или сид-фразы. Разберём три конкретных признака мошенничества: поддельные ссылки, требования подключения кошелька и обещания гарантированной раздачи. Защита — проверка контракта через блокчейн-обозреватель и использование аппаратного кошелька.
Это аккаунт, который выдаёт себя за официального представителя проекта (например, Uniswap или Lido) и рассылает сообщения с предложением «бесплатной раздачи токенов». Бот просит подключить кошелёк через поддельный сайт, скопировать подозрительную ссылку или ввести сид-фразу. Цель — получить доступ к вашим средствам. Легитимные проекты никогда не запрашивают приватные ключи через мессенджеры.
Настоящий аирдроп всегда анонсируется в официальных соцсетях проекта (Twitter, Discord, Medium) за несколько дней. Условия раздачи чёткие и не требуют перехода по ссылкам из личных сообщений. Проверьте адрес контракта на CoinMarketCap или в блокчейн-обозревателе (Etherscan, Solscan): если у контракта нет ликвидности или он создан вчера — это скам. Никогда не подключайте кошелёк по ссылке из бота.
Немедленно отзовите все разрешения для подозрительного смарт-контракта через Revoke.cash или вручную в обозревателе. Если вы вводили сид-фразу — переведите средства на новый кошелёк, созданный на аппаратном устройстве (Ledger, Trezor). Смените пароли ко всем связанным аккаунтам. Свяжитесь со службой поддержки блокчейна, если средства уже украдены — вернуть их почти невозможно, но фиксация в полиции может помочь.
Абсолютно безопасных ботов, запрашивающих подключение кошелька, не существует. Если бот утверждает, что он «официальный», проверьте ссылку на канал: настоящий бот всегда опубликован в описании верифицированного канала (с голубой галочкой). Даже верифицированные каналы могут быть взломаны. Лучший способ — заходить на сайт проекта только через букмарки и не кликать по ссылкам из сообщений.
Это стандартный приём — кнопка «Connect Wallet» на поддельном сайте передаёт ваш адрес и подписывает вредоносную транзакцию (setApprovalForAll или transferFrom). Мошенники получают разрешение на использование ваших токенов, вплоть до полного вывода средств. Никогда не подписывайте транзакции из непроверенных источников. Легитимный аирдроп может попросить только адрес для отправки токенов, но не приватные ключи или seed-фразу.
Используйте отдельный кошелёк только для получения аирдропов — храните на нём минимум средств. Основные активы держите на аппаратном кошельке (Ledger/Trezor) с отдельным счетом. Включите двухфакторную аутентификацию (2FA) в Telegram и почте. Регулярно проверяйте разрешения смарт-контрактов через Revoke.cash. Не переходите по ссылкам из неподтверждённых источников.
Да, если сайт содержит вредоносный смарт-контракт, который при подключении создаёт запрос на подпись (setApprovalForAll). Само подключение без подписи транзакции обычно безопасно, но на подозрительных сайтах часто идёт скрытая транзакция. Всегда проверяйте, что именно вы подписываете.
| Признак | Описание | Как проверить |
|---|---|---|
| Подозрительный URL-адрес | Ссылка ведёт на сайт с опечатками (tеlеgram, uniswap-fake.io) | Сравнить с официальным доменом проекта вручную (букмарк) |
| Требование seed-фразы или приватного ключа | Бот просит ввести сид-фразу или закрытый ключ | Никогда не вводить; легитимный аирдроп не запрашивает ключи |
| Обещание гарантированной раздачи | Фразы «получи 1000 токенов всем», «минимальная сумма гарантирована» | Проверить в официальных соцсетях проекта (Twitter, Discord) |
| Искусственная срочность | «Осталось только 100 мест», «предложение действительно 5 минут» | Не поддаваться; мошенники давят на скорость; настоящие аирдропы не ограничивают по времени |
| Критерий | Легитимный аирдроп | Фишинговый бот |
|---|---|---|
| Запрос приватных данных | Никогда не запрашивает seed-фразу или приватный ключ | Запрашивает сид-фразу, пароль от кошелька или просит скопировать ключ |
| Ссылка на кошелёк | Ссылка на официальный сайт (проверенный вручную) | Ссылка с опечатками или через QR-код в сообщении |
| Источник информации | Анонс от верифицированного канала с перекрёстной ссылкой из Twitter/Discord | Личное сообщение от бота без верификации |
| Наличие смарт-контракта | Контракт существует >6 месяцев, с аудитом и реальной ликвидностью | Контракт создан на днях, нулевой объем транзакций |
| Проверка через обозреватель блокчейна | Адрес контракта указан в документации проекта (GitHub, Medium) | Адрес не публикуется; если дать — ведёт на поддельный обозреватель |
Используйте Ledger или Trezor для подписи транзакций. Подключайте его через Web3-расширение (MetaMask с аппаратным подтверждением). Никогда не вводите seed-фразу в браузер или мессенджер.
Сверяйте адрес сайта вручную перед подключением кошелька. Используйте букмарки для входа на децентрализованные биржи и DeFi-протоколы. Не кликайте по ссылкам из сообщений Telegram.
Ни один легитимный сервис не запрашивает сид-фразу или приватные ключи. Если бот или сайт просит ввести их с клавиатуры — это 100% мошенничество.
Создайте дополнительный адрес кошелька (например, в MetaMask) с минимальным балансом для получения токенов. Основные средства храните на аппаратном кошельке с отдельным счетом.
Ищите официальный адрес контракта в документации или Twitter проекта. Введите адрес в блокчейн-обозревателе, посмотрите количество держателей, ликвидность и код. Если он не верифицирован — не участвуйте.
Да, если сайт содержит вредоносный смарт-контракт, который при подключении создаёт запрос на подпись (setApprovalForAll). Само подключение без подписи транзакции обычно безопасно, но на подозрительных сайтах часто идёт скрытая транзакция. Всегда проверяйте, что именно вы подписываете.
Перейдите на страницу проекта в CoinMarketCap — там указан их официальный Telegram. Сверьте название канала с тем, что указано в Twitter (закреплённый твит). Не доверяйте каналам из рекламы в сторонних чатах.
Если у вас осталась seed-фраза — восстановите кошелёк на новом устройстве и немедленно переведите все средства на новый адрес. Если seed-фраза скомпрометирована — считайте кошелёк пустым. Обратитесь в полицию (заявление о краже), но вероятность возврата низкая из-за анонимности блокчейна.
Согласно ФНС РФ, аирдроп считается безвозмездным получением имущества и облагается НДФЛ по ставке 13% (для резидентов) или 30% (для нерезидентов). Налоговая база — рыночная стоимость токенов на дату получения (по данным бирж). Сделка должна быть отражена в декларации 3-НДФЛ за тот год. Рекомендуется вести учёт кошельков и стоимости токенов.
Сид-фраза — это 12 или 24 слова, которые являются полным контролем над всеми ключами кошелька. Кто знает сид-фразу — может перевести все средства без дополнительных разрешений. Никогда, ни при каких обстоятельствах не вводите её на сайтах, в ботах или по просьбе «поддержки».
Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.
Точка входазашла пробно на 1 месяц после рекламы
Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты
«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»история в Telegram →
Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб
Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает
«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»история в Telegram →
«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Ещё реальные отзывы участников — t.me/traderreviews
