Угон NFT-аккаунта на маркетплейсе чаще всего происходит из-за двух ошибок: привязки номера телефона к 2FA и хранения seed-фразы в ненадёжном месте. Рассказываем, как это работает и как избежать потери активов.
Использование SMS-кода. При SIM-свопе злоумышленник перевыпускает вашу SIM и получает доступ к кодам. Даже если пароль надёжен, 2FA через SMS становится однофакторной. Риск особенно высок в РФ из‑за случаев подмены номеров через поддержку оператора.
На маркетплейсах нет механизма возврата транзакций. NFT переходит к атакующему мгновенно. Банк может оспорить перевод, блокчейн — нет. Кроме того, NFT часто стоят дороже, чем остаток на карте, и мошенники целенаправленно охотятся за коллекциями.
Атакующий получает дубликат SIM через поддельную доверенность или социальную инженерию. После этого он сбрасывает пароль на маркетплейсе через SMS. Под ударом все, кто использует номер телефона как второй фактор. В 2026 году в РФ по-прежнему распространены SIM-свопы через салоны связи.
Немедленно отключить SMS-2FA в настройках безопасности и заменить на TOTP (Google Authenticator, Authy). Затем привязать физический ключ безопасности (YubiKey или Trezor) — это единственный вариант без SIM-риска. Не забудьте сохранить резервные коды восстановления в офлайн.
Google Authenticator или Authy — стандарт для крипторынка. Встроенные приложения площадок часто не дают резервных кодов или привязывают 2FA к тому же устройству, что чревато потерей доступа при краже телефона. Используйте внешний TOTP, а ключи храните отдельно.
Никогда не храните seed-фразу в скриншотах, облаке или заметках. Запишите на физическом носителе (бумага, металлическая пластина) и спрячьте в сейф. Никто не должен знать её. Даже при включении 2FA на маркетплейсе — если seed-фраза утекла, все NFT можно вывести через другой интерфейс.
Да, приложение генерирует уникальные коды для каждого аккаунта. Главное — не терять устройство. Для удобства используйте Authy с облачной синхронизацией, но тогда доверяйте провайдеру.
| Способ 2FA | Как угоняют | Уровень защиты |
|---|---|---|
| SMS-код | SIM-своп: злоумышленник перевыпускает SIM | Низкий / не рекомендуется |
| TOTP (Authenticator) | Фишинг кода, кража телефона | Средний / резервные коды обязательны |
| Email-код | Взлом почты через восстановление пароля | Низкий / не используйте |
| Физический ключ (FIDO2/WebAuthn) | Требует физического доступа к ключу | Высокий / лучший вариант |
| Критерий | SMS-2FA | App-2FA (TOTP) |
|---|---|---|
| Устойчивость к SIM-свопу | Нулевая — атакующий получает код | Высокая — код генерируется локально |
| Необходимость телефона | Да, номер телефона | Да, устройство с приложением |
| Восстановление доступа | Только через поддержку оператора | Через резервные коды (должны быть офлайн) |
| Риск потери ключей | Минимальный (номер не потеряешь) | Высокий — потеря устройства или кодов без бэкапа |
| Совместимость с маркетплейсами | Почти везде | Поддерживается OpenSea, Rarible, LooksRare |
Зайдите в настройки безопасности маркетплейса, уберите номер телефона из списка методов 2FA. Если площадка требует обязательный способ — выберите TOTP, а не SMS.
Скачайте Google Authenticator, Authy или 2FA от Bitwarden. Не используйте встроенные браузерные менеджеры паролей. Запишите мастер-пароль приложения, если оно его требует.
На странице безопасности нажмите «Добавить 2FA», отсканируйте QR-код приложением. Сохраните резервные коды (16-20 символов) — распечатайте и спрячьте в сейф. Проверьте, что 2FA работает: выйдите и войдите.
Если маркетплейс поддерживает FIDO2/WebAuthn (OpenSea — да), привяжите YubiKey или аппаратный кошелёк. Ключ даёт защиту даже при компрометации телефона.
Даже с защищённой 2FA, если seed-фраза (12–24 слова от кошелька) попадёт к злоумышленнику, он выведет NFT минуя маркетплейс. Только бумага/металл, никаких файлов, скриншотов, облаков.
Да, приложение генерирует уникальные коды для каждого аккаунта. Главное — не терять устройство. Для удобства используйте Authy с облачной синхронизацией, но тогда доверяйте провайдеру.
Мошенник под видом вас приходит в салон связи, предъявляет поддельные документы и получает дубликат SIM. После этого все SMS с кодами приходят ему. Так угоняют не только NFT, но и телеграм-аккаунты, банки.
Зайдите в «Настройки профиля» → «Безопасность». Если там указан номер телефона или параметр «Two-Factor Authentication» выключен — срочно измените. Некоторые площадки включают 2FA по умолчанию при первом входе.
OpenSea, Rarible и LooksRare поддерживают WebAuthn (YubiKey). Blur — пока нет. Всегда проверяйте документацию площадки перед покупкой ключа. Для DeFi-маркетплейсов часто достаточно аппаратного кошелька (Ledger).
Используйте резервные коды — их нужно заранее сохранить в офлайн. Если кодов нет — свяжитесь с поддержкой маркетплейса, предоставьте документы о личности. Процедура может занять недели, и доступ может не вернуться. Поэтому резервные коды — обязательно.
Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.
Точка входазашла пробно на 1 месяц после рекламы
Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты
«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»история в Telegram →
Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб
Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает
«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»история в Telegram →
«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Ещё реальные отзывы участников — t.me/traderreviews
