Взлом аккаунта на бирже — главная угроза для криптоинвестора. Защита строится на трёх настройках: двухфакторная аутентификация, белые списки адресов и лимиты на вывод. Без них ваши монеты — лёгкая добыча хакеров.
Лучший вариант — TOTP-приложение (Google Authenticator, Authy) или аппаратный ключ (YubiKey). SMS-подтверждение уязвимо: SIM-своп атаки в РФ реальны. TOTP работает офлайн, код меняется каждые 30 секунд — перехватить его почти невозможно. Минус: при потере телефона доступ к аккаунту восстанавливается через саппорт (нужен запасной код или бэкап). Аппаратный ключ дороже (2–5 тыс. ₽), но взломать его нельзя.
Это секретный код, который вы задаёте в настройках биржи. Все легитимные письма от биржи будут содержать этот код. Если письмо пришло без кода или с неверным — это фишинг. Хакеры часто рассылают поддельные уведомления о «подозрительном входе» с ссылкой на фейковый сайт. Антифишинг-код — простой способ отличить реальное письмо от мошеннического. Установите его сразу после регистрации.
В настройках безопасности найдите раздел «Whitelist withdrawal addresses» или «Белый список». Добавьте адреса своих кошельков (например, Ledger, холодный кошелёк). Теперь вывод средств возможен только на адреса из списка. Даже если хакер получит пароль и 2FA, он не сможет вывести монеты на свой кошелёк — адрес не пройдёт проверку. Многие биржи требуют подтверждения по email или через саппорт при добавлении нового адреса.
Суточный лимит — сумма, которую вы готовы потерять при взломе. Оптимально: на уровне дневного объёма ваших торгов (или чуть больше). Например, если вы торгуете на 0,5 BTC — лимит 0,5 BTC или 1 BTC. Для сумм, которые вы не планируете трогать, храните их в холодном кошельке — на бирже оставляйте только рабочий капитал. Лимит можно менять — для крупных выводов поднимите его заранее, но после подтверждения через саппорт.
Не переходите по ссылкам, не вводите данные. Проверьте адрес отправителя (обычно домен биржи, а не похожий с одной переставленной буквой). Сравните антифишинг-код в письме с вашим. Если код не совпадает — письмо фейк. Зайдите на сайт биржи через закладку или вручную вбейте адрес в браузере. Если есть подозрения, смените пароль и отзовите сессии в настройках. Сообщите в саппорт биржи.
Да, обязательно. Если не торгуете через API — удалите все существующие ключи. Хакеры могут подобрать или украсть API-ключи через вредоносное ПО. Даже если ключ с ограниченными правами, его могут использовать для вывода средств. Настройте API-ключи только с минимальными правами (запрет на вывод) и ограничьте доступ по IP. Лучше вообще не создавать лишних ключей.
SMS — худший вариант. В РФ часты случаи SIM-своп: мошенники убеждают оператора перевыпустить SIM-карту, получают доступ к коду. Используйте только TOTP или аппаратный ключ.
| Биржа | Тип 2FA | Белый список |
|---|---|---|
| Binance | TOTP, аппаратный ключ | Есть, до 50 адресов |
| Bybit | TOTP, аппаратный ключ | Есть, до 30 адресов |
| OKX | TOTP, аппаратный ключ | Есть, до 20 адресов |
| HTX (Huobi) | TOTP | Есть, до 10 адресов |
| Критерий | TOTP-приложение (Google Authenticator) | Аппаратный ключ (YubiKey, Ledger) |
|---|---|---|
| Взломостойкость | Средняя (уязвим к фишингу сессии, но код одноразовый) | Высокая (физический носитель, атака только при наличии ключа) |
| Удобство использования | Высокое (есть в телефоне, доступен всегда) | Среднее (нужен USB или NFC, можно забыть дома) |
| Стоимость | Бесплатно | 2 000–5 000 ₽ (YubiKey), 150–400 $ (Ledger) |
| Риск потери доступа | При потере телефона — восстановление через биржу (сроки 1–7 дней) | При потере ключа — полная блокировка (без резервного кода — потеря аккаунта) |
| Поддержка биржами | Практически все | Крупные биржи (Binance, Bybit, OKX, Coinbase) |
Скачайте Google Authenticator (Android / iOS) или Authy. Откройте, привяжите аккаунт биржи в настройках биржи: отсканируйте QR-код. Сохраните резервный код восстановления (на бумаге, не в облаке).
Перейдите в раздел «Безопасность» → «Двухфакторная аутентификация». Выберите TOTP. Подтвердите кодом из приложения. Теперь при входе и выводе средств будет запрашиваться 6-значный код.
В разделе «Безопасность» → «Белый список адресов» (Whitelist). Добавьте адреса ваших холодных кошельков (Ledger, Trezor, бумажный кошелёк). Подтвердите добавление по email. Ждите 24–48 часов перед активацией (многие биржи дают задержку для безопасности).
Найдите «Лимиты на вывод» или «Withdrawal limits». Поставьте значение, равное вашему дневному торговому объёму или чуть больше. Например, 0,1 BTC. Если понадобится вывести большую сумму — заранее увеличьте лимит на сутки.
В настройках безопасности найдите «Антифишинг-код» (Anti-phishing code). Придумайте фразу (например, «ХомякБезопасность2026»). Сохраните её в менеджере паролей. Теперь каждое письмо от биржи будет содержать эту фразу. Если нет — письмо мошенническое.
SMS — худший вариант. В РФ часты случаи SIM-своп: мошенники убеждают оператора перевыпустить SIM-карту, получают доступ к коду. Используйте только TOTP или аппаратный ключ.
Если у вас есть резервный код восстановления — введите его на бирже и настройте новое приложение. Если нет — обращайтесь в саппорт. Придётся пройти верификацию личности (загрузить паспорт, ответить на вопросы). Обычно занимает 1–3 дня.
Раз в 3–6 месяцев. Не используйте пароль от биржи на других сайтах. Лучше задать сложную фразу из 15+ символов (строчные, заглавные, цифры, символы) и хранить в менеджере паролей (Bitwarden, KeePass).
Нет. Централизованные биржи — для трейдинга, а не для хранения. Оставьте на бирже только сумму, необходимую для торговли в течение дня. Всё остальное выводите в холодный кошелёк (Ledger, Trezor). Даже с идеальными настройками вы не застрахованы от банкротства или хакерской атаки на саму биржу.
Да, если вы получаете письма от биржи. Он не защищает от взлома самого аккаунта, но полностью исключает фишинговые атаки на email. Установите его сразу — это бесплатно и требует 30 секунд.
Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.
Точка входазашла пробно на 1 месяц после рекламы
Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты
«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»история в Telegram →
Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб
Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает
«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»история в Telegram →
«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Ещё реальные отзывы участников — t.me/traderreviews
