Вредоносные расширения для аирдропов — главный вектор компрометации кошельков в 2025–2026. Одно нажатие «установить» с неофициального сайта передаёт злоумышленникам полный доступ к вашим seed-фразам и приватным ключам. Восстановить украденные криптоактивы невозможно.
Вредоносное расширение внедряет JavaScript-код на страницы кошельков (MetaMask, Phantom, OKX Wallet). Когда вы подписываете транзакцию, расширение отправляет подписанное сообщение на сервер злоумышленника. Ключи физически не покидают кошелёк, но мошенник получает право перевести любые активы. Метод называется clipboard hijacking или inject phishing — за 2025 год раскрыто более 300 подобных схем.
Файрволлы, торренты, ссылки в Telegram-каналах «аирдропхантеров», сайты с опечатками в названии (Metamask вместо MetaMask). Расширения, выложенные на GitHub как «форкнутые» версии без аудита. Chrome Web Store не гарантирует безопасность на 100%, но вероятность наткнуться на вредонос там ниже — Google удаляет 20–30 подозрительных расширений ежедневно.
1. Немедленно отключить расширение в браузере (chrome://extensions). 2. Создать новый кошелёк на чистом устройстве. 3. Перевести все активы со старого кошелька на новый через одноразовый офлайн-адрес, предварительно проверив каждую транзакцию в explorer. 4. Заменить seed-фразы на всех связанных аккаунтах. 5. Просканировать систему антивирусом с крипто-модулем (Bitdefender, Kaspersky подойдут).
Расширения с открытым исходным кодом, опубликованные в Chrome Web Store более года назад, с 10 000+ установок и положительными отзывами. Примеры — Rabby Wallet, Frame (для Ethereum), backpack (для Solana). Любое расширение, запрашивающее разрешение «чтение и изменение данных на всех сайтах» — красный флаг. Проверяйте код через Etherscan или GitHub перед установкой.
ФНС не компенсирует потери от кражи криптовалюты. Убыток от хакерской атаки не уменьшает налогооблагаемую базу — Минфин в письме №03-04-05/12980 от 2024 подтвердил: случайная утрата не учитывается как расход. За доход от аирдропа (оценённого в рублях на дату получения) нужно подать 3-НДФЛ и заплатить 13% — даже если токены украдены до продажи.
Создайте отдельный «фарм-кошелёк» с минимальным балансом (1–5 USDT для газа). Используйте профиль в браузере без seed-фразы основного кошелька. Никогда не подписывайте транзакции approvals (бесконечные апрувы) — давайте доступ ровно на сумму газа. Для хранения долгосрочных активов применяйте аппаратный кошелёк (Ledger, Trezor) и не подключайте его к расширениям.
Любые, запрашивающие чтение буфера обмена и доступ к «всем сайтам» — это маркер фишинг-схемы.
| Тип угрозы | Частота сценария | Риск для инвестора |
|---|---|---|
| Clipboard hijacking (перехват данных буфера) | 45% атак через расширения | Полная потеря seed-фразы при копировании |
| Inject фальшивых транзакций (approval-фишинг) | 35% | Утрата всех токенов на кошельке |
| Сбор cookie и сессионных токенов | 12% | Перехват аккаунтов бирж (Binance, Bybit) |
| Майнер без согласия (криптоджекинг) | 8% | Утилизация GPU, рост счетов за электричество до 15 000 ₽/мес |
| Критерий | Chrome Web Store (официальные) | Сторонние сайты / Telegram-ссылки |
|---|---|---|
| Проверка кода | Автоматический скан Google Safe Browsing, но не аудит вручную | Никакой: кто угодно загружает бинарник без проверки |
| Доступ к данным | Настраиваемые разрешения, можно отозвать вручную | Часто запрашивают all sites — сразу доступ ко всем страницам |
| Обновления | Автоматические, версия контролируется Google | Без контроля — злоумышленник меняет код через push-обновление |
| Репутация | Отзывы пользователей, рейтинг, жалобы | Фейковые отзывы в каналах / на GitHub |
| Риск для активов | Средний: 0,04% шанс наткнуться на вредонос | Высокий: ~30% расширений из неофициальных источников — фишинг |
В Chrome: настройки → профили → добавить нового пользователя. Назовите его «Фарминг». Никогда не входите в основной кошелёк в этом профиле. Используйте отдельный пароль для профиля.
Chrome Web Store с фильтром отзывов. Перед установкой откройте «Подробнее» и проверьте, не совпадает ли ID разработчика с известным проектом. Скачайте расширение с GitHub через releases, а не через архивную кнопку.
Сразу после установки перейдите в chrome://extensions → подробнее → просмотр разрешений. Запретите доступ к clipboardRead, clipboardWrite, сайтам с кошельками и банковскими доменами. Для работы расширения нужны только домены конкретного проекта.
Используйте кошелёк с функцией preview транзакции (MetaMask — «Показать детали»). Если расширение просит approve без подробностей — отклоните. Для Gas-операций выставляйте лимит 1–5 USDT, не давайте бесконечный апрув.
Подключите Zerion или Zapper в изолированном профиле — они отслеживают все исходящие трейды. Установите оповещение при транзакции на лимит >1 ETH (в рублёвом эквиваленте ~250 000 ₽). При подозрениях немедленно отзывайте утверждения через Revoke.cash.
Любые, запрашивающие чтение буфера обмена и доступ к «всем сайтам» — это маркер фишинг-схемы.
Загрузите его код в VirusTotal, посмотрите отчёты на Reddit/ X (бывший Twitter) по ID расширения. Ищите упоминания «malware wallet drainer».
Да, через chrome://extensions → нажмите «Просмотр разрешений» и отключите галочки. Но если код уже встроился — лучше удалить и очистить кэш браузера.
Немедленно: отключите интернет, скопируйте все кошельки на аппаратный Ledger, замените seed-фразы. Подайте заявление в МВД через портал Госуслуг (статья 159 УК РФ — мошенничество в сфере цифровых технологий).
Да, для фарминга достаточно сайта проекта и документации. Расширения нужны только для тех, кто проверяет код смарт-контракта — но это задача для разработчика, не для инвестора.
Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.
Точка входазашла пробно на 1 месяц после рекламы
Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты
«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»история в Telegram →
Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб
Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает
«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»история в Telegram →
«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Ещё реальные отзывы участников — t.me/traderreviews
