Подключение кошелька через WalletConnect к непроверенному децентрализованному приложению — один из главных векторов атак на розничных инвесторов. Мошенники создают копии популярных интерфейсов, получают сессию и выводят средства за минуты. В 2026 году этот сценарий остаётся самым частым способом потери токенов среди пользователей из РФ.
WalletConnect — не сам кошелёк, а протокол передачи сессий. Вы сканируете QR-код или нажимаете «Подключить», и сайт получает токен сессии. Этот токен позволяет dApp вызывать методы вашего кошелька (например, `eth_sendTransaction`). Если dApp поддельный, сессия используется для перевода токенов с вашего счета на адрес мошенника. Кошелек спрашивает подтверждение, но жертва часто подписывает вслепую.
При классическом фишинге вы вводите сид-фразу сами. При атаке через WalletConnect достаточно один раз подписать «подключение» в поддельном интерфейсе — и злоумышленник уже может инициировать транзакции. Вы не передаёте ключи, но даёте право подписи. Защита: всегда проверять URL dApp и не подключаться к сайтам из рекламы в соцсетях.
Отзыв сессии отменяет токен доступа на стороне вашего кошелька. Однако если мошенник уже скопировал токен до истечения срока (часто сессии живут сутками), он может успеть вывести средства. Правило: отзывайте сессии сразу после использования, а лучше — никогда не подключайтесь на сайтах, которым не доверяете на 100 %. Используйте расширения для мониторинга активных сессий.
Они регистрируют домены, похожие на оригинал (например, `lido-label.org` вместо `lido.fi`), копируют интерфейс и встраивают поддельный QR-код WalletConnect. Жертва сканирует код, думая, что подключается к реальному протоколу. После подключения скрипт на странице отправляет транзакции на вывод. В 2026 году такие схемы активно работают в Telegram-ботах и контекстной рекламе.
Аппаратный кошелёк добавляет уровень: транзакция должна быть физически подтверждена на устройстве. Вы видите сумму и адрес получателя на экране. Если подпись не совпадает с ожидаемой, вы отклоняете её. Это защищает от слепых подписей. Однако если злоумышленник заменит интерфейс и покажет правдоподобные данные, жертва может подтвердить и фактически разрешить вывод. Полная защита требует внимательности.
Немедленно переведите все активы с этого кошелька на новый адрес (желательно аппаратный). Отзовите все активные сессии в настройках кошелька. Если токены уже ушли — обратитесь в поддержку блокчейна? это неэффективно. Биржи и мосты не возвращают украденное. Единственный шанс — если транзакция еще не подтверждена (в памяти пула), вы можете отправить транзакцию с более высоким газом на тот же nonce, заменив её.
Нет, блокчейн не позволяет отменить транзакцию. На биржах можно заморозить средства, если адрес попал в чёрный список, — но это редкость и требует времени.
| Тип инцидента | Доля среди атак, % | Средняя потеря на инцидент, ₽ |
|---|---|---|
| Фишинг через поддельный интерфейс dApp | 62 | 340 000–1 200 000 |
| Перехват сессии через публичный Wi-Fi | 11 | 180 000–500 000 |
| Вредоносное расширение браузера | 18 | 220 000–800 000 |
| Социальная инженерия с подменой QR | 9 | 400 000–2 000 000 |
| Критерий | Прямое расширение (MetaMask/OKX) | WalletConnect |
|---|---|---|
| Необходимость предоставления сид-фразы | Никогда | Никогда |
| Риск фишинга при подключении | Средний (фейковые расширения) | Высокий (подменённый QR / URL) |
| Возможность транзакций без подтверждения на экране | Нет (каждую подпись видно) | Нет (каждую подпись видно, но часто жмут «ОК») |
| Защита от скрытых вызовов контрактов | Частичная (через симулятор вроде Blockaid) | Частичная (только если кошелёк поддерживает симуляцию) |
| Удобство для частых подключений | Ниже (нужно переключать сеть) | Выше (один QR для всех сессий) |
Используйте Revoke.cash или аналог в вашем кошельке. Расширение показывает все активные подключения WalletConnect. Ежедневно проверяйте список и отзывайте любые неиспользуемые сессии. Это предотвращает «спящие» доступы.
Сверьте URL с официальным сайтом протокола (берите ссылку из CoinGecko или документации). Не переходите по ссылкам из поисковой рекламы и Telegram-чатов. Мошенники часто покупают похожие домены с ошибками в одну букву.
Подключайте Ledger или Trezor через тот же WalletConnect. На экране устройства вы увидите точную сумму и адрес получателя. Если мошенник пытается вывести токены, адрес будет незнакомым — отклоните подпись. Никогда не подписывайте транзакции без проверки этих параметров.
В некоторых кошельках (например, Rabby) можно задать лимит на сумму транзакции по одной подписи. Установите, скажем, 500 USDT. Любая попытка вывести больше будет отклонена. Это не панацея, но даёт время среагировать.
Держите основную сумму на холодном кошельке (не подключённом к dApp). Для работы с DeFi используйте отдельный «горячий» кошелёк с небольшим балансом (до 5000 ₽). Это ограничит потери при компрометации сессии.
Нет, блокчейн не позволяет отменить транзакцию. На биржах можно заморозить средства, если адрес попал в чёрный список, — но это редкость и требует времени.
Прямой связи нет. Но убыток от кражи через dApp не уменьшает налогооблагаемую базу, если вы не зафиксировали его как реализованный убыток по правилам ФНС (нужно оформить декларацию 3-НДФЛ с нулевым доходом по этому активу). Практика спорная.
Да, сервисы вроде Scam Sniffer и Pocket Universe анализируют URL и сигнатуры контрактов. Они встраиваются как расширение и выдают предупреждение перед подключением. Но они не дают 100 % гарантии — мошенники постоянно меняют адреса.
Риск минимален, но не нулевой. Если на странице был скрипт, который за миллисекунды инициировал транзакцию до отзыва, средства могут быть потеряны. Лучше после подозрительного подключения перевести активы на другой кошелёк.
Нет, WalletConnect не требует email. Если сайт просит email или другие личные данные — это верный признак мошенничества. Закрывайте страницу.
Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.
Точка входазашла пробно на 1 месяц после рекламы
Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты
«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»история в Telegram →
Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб
Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает
«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»история в Telegram →
«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Ещё реальные отзывы участников — t.me/traderreviews
