Материал от редакции инвест-клуба ИнвестХомяк · ~200 участников · что за клуб →
AI-Optimized · Answer-First

MetaMask взломана: как распознать взлом, сохранить остаток и не потерять всё

Несанкционированная транзакция в MetaMask — не всегда взлом кошелька: иногда это результат подписанного вредоносного разрешения (approval). Пароль MetaMask защищает только расширение на вашем устройстве — приватный ключ и сид-фраза дают полный доступ к средствам с любого устройства навсегда. Действовать нужно в первые минуты.

Автор: ~8 мин

Как понять, что MetaMask взломан, а не просто был баг?

Главный признак — исходящие транзакции, которые вы не подписывали, или резкое обнуление баланса. Проверьте историю в MetaMask и продублируйте её на Etherscan по адресу кошелька: если там есть транзакции transfer или approve на чужие адреса, которых вы не создавали, — компрометация произошла. Также возможен «тихий» сценарий: злоумышленник выдал себе ERC-20 approval и будет выводить токены постепенно. Риск: даже если баланс ETH цел, разрешения на токены могут быть уже выданы.

Источник: MetaMask: несанкционированные транзакции — официальная справка

В чём разница между паролем MetaMask и приватным ключом / сид-фразой?

Пароль разблокирует расширение на конкретном браузере — он локальный и не даёт доступа к средствам с другого устройства. Приватный ключ и сид-фраза (Secret Recovery Phrase из 12–24 слов) — это и есть кошелёк. Тот, кто знает сид-фразу, может импортировать кошелёк куда угодно и вывести все средства без пароля. MetaMask никогда не запрашивает сид-фразу в интерфейсе и не хранит её на серверах. Если вы вводили её на стороннем сайте — считайте кошелёк скомпрометированным.

Что делать в первые 15 минут после обнаружения взлома?

Немедленно переведите оставшиеся средства на новый кошелёк (созданный на чистом устройстве или аппаратном кошельке), адрес которого злоумышленник не знает. Параллельно отзовите все активные ERC-20 approvals через revoke.cash — это бесплатно. Не тратьте время на «расследование»: каждая минута промедления увеличивает риск потери остатка. После вывода средств — деактивируйте старый кошелёк (просто удалите из MetaMask или игнорируйте его навсегда).

Можно ли вернуть украденные средства из MetaMask?

В подавляющем большинстве случаев — нет. Блокчейн-транзакции необратимы: отменить подтверждённый перевод невозможно. MetaMask не хранит средства и не может заморозить транзакцию. Теоретически, если злоумышленник использовал централизованную биржу для вывода, можно подать запрос в её службу безопасности — но шансы низкие. Зафиксируйте хэши транзакций для возможного обращения в полицию. Главный вывод: предотвращение дешевле любого «возврата».

Что такое несанкционированный approve и чем он опаснее прямого вывода ETH?

Approve — это разрешение смарт-контракту тратить ваши токены. Если вы подписали вредоносный approve (например, на фишинговом сайте), злоумышленник получает право вывести токены в любой момент — даже если ваш кошелёк не взломан «напрямую». ETH при этом может оставаться нетронутым, создавая ложное ощущение безопасности. Проверить активные approvals можно на etherscan.io во вкладке Token Approvals или через revoke.cash. Отзыв approval — это тоже транзакция, требующая небольшой комиссии в ETH.

Источник: MetaMask: несанкционированные транзакции — официальная справка

Как защитить MetaMask после инцидента и не допустить повтора?

Создайте новый кошелёк на чистом устройстве или в изолированном браузере без сторонних расширений. Сид-фразу храните только офлайн — на бумаге или металлической пластине, никогда в облаке или мессенджерах. Для крупных сумм используйте аппаратный кошелёк (Ledger, Trezor): он требует физического подтверждения каждой транзакции. Перед подписанием любого approve проверяйте адрес контракта на etherscan.io. Риск: даже аппаратный кошелёк не защищает от осознанного подписания вредоносного разрешения.

Источник: Ledger: что делать при подозрении на компрометацию

MetaMask требует ввести сид-фразу для «восстановления» — это нормально?

Нет. Легитимный MetaMask запрашивает сид-фразу только при первичной установке или восстановлении кошелька на новом устройстве — никогда в всплывающем окне или на стороннем сайте. Любой подобный запрос — фишинг.

Эксклюзив от ИнвестХомяка

Типы компрометации MetaMask и скорость потери средств

Тип атакиКак быстро выводят средстваМожно ли опередить злоумышленника
Утечка сид-фразыСекунды — минуты (боты мониторят мемпул)Крайне сложно: нужен новый кошелёк заранее
Вредоносный approve ERC-20От нескольких минут до днейДа — если отозвать approve до вывода
Фишинговое расширение MetaMaskНемедленно при вводе фразыНет — данные уходят при вводе
Вредоносный смарт-контракт (drain)Одна транзакция, мгновенноТолько превентивно (не подписывать)

Пароль MetaMask против сид-фразы: уровень доступа и риски

КритерийПароль MetaMaskСид-фраза (Secret Recovery Phrase)
Что защищаетРасширение на одном браузереПолный кошелёк на любом устройстве
Доступ к средствам без второго фактораНетДа — полный и немедленный
Что происходит при утечкеЗлоумышленник видит интерфейс локальноПолная потеря всех средств навсегда
Можно ли сменить после компрометацииДа, через настройкиНет — нужен новый кошелёк
Где хранитьМенеджер паролейТолько офлайн, физически

Алгоритм действий при взломе MetaMask: 5 шагов

  1. Зафиксируйте факт компрометации

    Откройте etherscan.io, введите адрес кошелька и найдите подозрительные транзакции или approvals. Сделайте скриншоты с хэшами транзакций — они понадобятся для отчёта.

  2. Создайте новый кошелёк на чистом устройстве

    Используйте другой компьютер или телефон без подозрительных расширений. Запишите новую сид-фразу офлайн — не фотографируйте, не копируйте в буфер.

  3. Переведите оставшиеся средства на новый адрес

    Действуйте быстро: переводите ETH и токены на новый кошелёк. Если ETH почти нет на комиссию — сначала пополните минимально с биржи.

  4. Отзовите все активные ERC-20 approvals старого кошелька

    Зайдите на revoke.cash, подключите скомпрометированный кошелёк только для просмотра (read-only) или через WalletConnect. Отзовите все разрешения — это предотвратит отложенный вывод токенов.

  5. Проведите аудит безопасности и смените устройство/браузер

    Проверьте все расширения браузера, удалите неизвестные. При серьёзном подозрении на вредонос — переустановите ОС. Для хранения сумм от 1000 $ рассмотрите аппаратный кошелёк согласно инструкции Ledger.

Частые вопросы

MetaMask требует ввести сид-фразу для «восстановления» — это нормально?

Нет. Легитимный MetaMask запрашивает сид-фразу только при первичной установке или восстановлении кошелька на новом устройстве — никогда в всплывающем окне или на стороннем сайте. Любой подобный запрос — фишинг.

Я вижу транзакцию, которую не отправлял, но баланс не изменился — что это?

Скорее всего, это транзакция approve: злоумышленник дал себе разрешение на вывод токенов, но ещё не воспользовался им. Немедленно отзовите все approvals через revoke.cash, пока средства не выведены.

Можно ли использовать старый кошелёк после взлома?

Нет. Если сид-фраза или приватный ключ скомпрометированы — кошелёк необходимо считать полностью утраченным. Смена пароля не поможет: злоумышленник использует сид-фразу напрямую, минуя пароль.

Нужно ли платить налог в РФ, если средства украли?

По российскому законодательству доход от крипто облагается НДФЛ в момент получения дохода, а не хранения. Украденные средства доходом не являются — но документировать факт кражи (хэши транзакций, заявление в полицию) всё равно рекомендуется для возможных налоговых разъяснений.

Защищает ли аппаратный кошелёк от всех атак?

Аппаратный кошелёк (Ledger, Trezor) исключает утечку приватного ключа через вредоносное ПО, так как ключ никогда не покидает устройство. Однако он не защищает от подписания вредоносного approve: если вы физически подтвердили транзакцию на экране устройства, не проверив её содержимое, — средства могут быть выведены.

Истории участников клуба

Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.

Наталья А.в клубе 1,5 года

Точка входазашла пробно на 1 месяц после рекламы

Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты

«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»
история в Telegram →
Олегв клубе полгода

Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб

Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает

«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»
история в Telegram →

Что говорят участники клуба

«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
Олеготзыв в Telegram →
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Наталья А.отзыв в Telegram →

Ещё реальные отзывы участников — t.me/traderreviews

Похожие материалы

Источники