Ошибки при подключении кошелька: как защитить seed-фразу

Мошенники копируют сайт популярного проекта (например, LayerZero или zkSync) и при подключении показывают окно, якобы от MetaMask, с полем для ввода seed-фразы. Реальный MetaMask никогда не запрашивает seed — он просит пароль разблокировки расширения, а seed хранится локально. В 2026 году такие подделки часто маскируют под «верификацию кошелька для клейма». Единственный способ защиты — всегда разворачивать кошелёк вручную через расширение, не вводить seed на сайтах и использовать аппаратный кошелёк (Ledger/Trezor) — тогда seed физически не покидает устройство.

Подпись сообщения — легитимная операция для доказательства владения адресом. Но если в интерфейсе dApp просят ввести seed-фразу в текстовое поле и нажать «Sign», это скам. Настоящая подпись использует приватный ключ, который браузер не показывает. В 2026 популярен трюк: сайт имитирует окно подписи от MetaMask, но на деле отправляет seed на сервер. Решение: если видишь поле для seed при подписи — закрывай вкладку. Подписывай только через расширение кошелька, где seed-фраза никогда не отображается.

Approve — это разрешение смарт-контракту тратить твои токены. В 2026 мошенники создают dApp, которые при подключении просят подписать транзакцию approve на бесконечный лимит (например, 10^60 USDT). Ты не вводишь seed-фразу, но подписываешь разрешение — и злоумышленник выводит все токены с кошелька одной транзакцией. Как избежать: перед подписью проверяй адрес контракта в окне MetaMask (должен совпадать с официальным), используй Revoke.cash после каждого клейма, никогда не подписывай approve для контрактов, которые не можешь верифицировать на Etherscan.

Копируй адрес контракта из официальной документации проекта (X, Discord, Mirror) и сравнивай с тем, что показывает dApp. В 2026 распространён «клон регистрации»: домен отличается буквой (например, not-opti.online вместо optimism.io). Используй bookmark, а не ссылки из поиска. Подключай пустой кошелёк без активов для тестового клейма — если после подписи исчезают токены, значит dApp скам. Аппаратный кошелёк полностью исключает утечку seed, но не защищает от approve-скама — поэтому проверять контракт нужно всегда.

Немедленно переведи все активы на новый кошелёк, созданный на свежей seed-фразе. Не используй этот адрес никогда — злоумышленники могут ждать неделю, чтобы усыпить бдительность. В 2026 есть скрипты, которые мониторят свежие транзакции через мемпул и выводят токены до того, как ты успеешь что-то перевести. Если на старом кошельке есть DeFi-позиции (ликвидность, стейкинг), отзови approve через Revoke.cash, потом выведи средства. После смены кошелька смени пароли на CEX, где был привязан старый адрес — мошенники могут использовать его для социальной инженерии.

Официальные раздачи никогда не просят seed-фразу, не требуют платы за «газ» высокой монетой (например, ETH вместо нативного токена сети) и не предлагают «гарантированный клейм» без проверки соответствия условиям. В 2026 скамеры часто клонируют популярные тестовые сети (Sepolia, Goerli) и просят подписать транзакцию с переводом на их адрес «для активации права». Чекай контракты на блокчейн-эксплорере: если контракт не верифицирован, отсутствуют исходники или содержит функции transferOwnership — это 100% скам. Сверяй адреса с Forbes Crypto, CoinMarketCap или официальными GitHub-репозиториями.

Seed-фраза (12 или 24 слова) — это мастер-пароль к вашему кошельку. Тот, кто её знает, может восстановить кошелёк на любом устройстве и вывести все активы. Её нельзя хранить в облаке, в текстовом файле на рабочем столе или пересылать в мессенджерах.