Мошеннические сайты под видом OpenSea предлагают «листинг» NFT и запрашивают разрешение на управление всем контрактом коллекции — после подписи атакующий переводит каждый токен без дополнительных транзакций. Одно нажатие «Confirm» в MetaMask — и коллекция пуста. Единственная защита — проверять адрес сайта и читать, что именно вы подписываете, до клика.
Стандарт ERC-721 содержит функцию setApprovalForAll — она разрешает указанному адресу управлять всеми токенами контракта от вашего имени. Легитимный OpenSea использует её для листинга, но только для своего верифицированного контракта. Фейк подставляет адрес кошелька атакующего — и после подписи тот переводит NFT одной транзакцией. Нюанс: транзакция технически легальна, блокчейн её выполнит — отменить нельзя.
Обычный approve (ERC-20) разрешает потратить конкретное количество токенов. SetApprovalForAll (ERC-721/ERC-1155) разрешает распоряжаться всеми NFT в коллекции без ограничений по количеству и времени. Это и делает атаку катастрофической: один approve — вся коллекция. Риск: разрешение остаётся активным бессрочно, даже если вы давно не пользуетесь сайтом.
Проверьте домен: настоящий OpenSea — opensea.io, LooksRare — looksrare.org, Blur — blur.io. Любое отклонение — opensea.market, opensea-nft.com, open-sea.io — подделка. Дополнительный сигнал: легитимный маркетплейс не просит setApprovalForAll при первом заходе, только при реальном листинге. Нюанс: поддельный сайт может иметь идентичный дизайн и SSL-сертификат — только домен выдаёт обман.
Да, но только если NFT ещё не переведены. Зайдите на revoke.cash, подключите кошелёк и отзовите setApprovalForAll для подозрительного адреса. Операция отзыва стоит gas. Если атакующий уже выполнил transferFrom — активы ушли, отзыв не поможет. Действовать нужно в течение минут: автоматизированные drainer-боты мониторят новые разрешения и реагируют быстро.
MetaMask с 2023 года показывает предупреждение при setApprovalForAll и выделяет «All» красным. Но пользователи привыкли кликать «Confirm», не читая. Фейковые сайты имитируют легитимный флоу листинга — контекст выглядит привычно. Нюанс: Ledger при подключении к dApp отображает разрешение на экране устройства — это дополнительная точка проверки перед подписью.
Частично. Ledger и Trezor требуют физического подтверждения каждой транзакции на экране устройства. Это даёт секунды перечитать, что подписываете. Но если пользователь нажал кнопку на устройстве, не проверив адрес получателя разрешения — аппаратник выполнит транзакцию. Холодный кошелёк защищает приватный ключ, но не от осознанно подписанного вредоносного разрешения.
В большинстве случаев нет. Транзакция в блокчейне необратима. MatchSystems и аналогичные компании могут отследить адрес получателя и идентифицировать атакующего через биржи, но возврат активов требует судебного производства и редко завершается успехом.
| Параметр | Легитимный OpenSea | Фейковый маркетплейс |
|---|---|---|
| Адрес получателя разрешения | Верифицированный контракт OpenSea | Кошелёк атакующего или вредоносный контракт |
| Момент запроса setApprovalForAll | При первом реальном листинге NFT | При заходе на сайт или «активации аккаунта» |
| Домен сайта | opensea.io | opensea-nft.com / open-sea.io и др. |
| Что происходит после подписи | NFT можно листить на продажу | Все NFT коллекции переводятся атакующему |
| Критерий | Безопасный сценарий | Опасный сценарий |
|---|---|---|
| Источник ссылки на маркетплейс | Личная закладка opensea.io | Ссылка из Discord или Telegram |
| Проверка домена | Домен совпадает с официальным | Не смотрю — дизайн похож |
| Чтение запроса в MetaMask | Читаю адрес получателя разрешения | Кликаю Confirm привычно |
| Действие после сессии | Отзываю ненужные разрешения через revoke.cash | Оставляю активными |
| Аппаратный кошелёк | Проверяю адрес на экране Ledger/Trezor | Подтверждаю не глядя |
Введите адрес вручную один раз, сохраните в браузере. Никогда не переходите по ссылкам из чатов — даже если отправитель кажется знакомым аккаунтом.
Найдите строку «Approved for» или «Set Approval For All» и проверьте адрес получателя. Официальный контракт OpenSea — публично верифицирован на Etherscan; незнакомый адрес — отклоните.
Подключите кошелёк на revoke.cash и просмотрите список активных approve и setApprovalForAll. Отзовите всё, чем не пользуетесь активно прямо сейчас.
Ledger и Trezor отображают детали транзакции на физическом экране. Сверьте адрес получателя разрешения с официальным контрактом маркетплейса до нажатия кнопки на устройстве.
В MetaMask: Settings → Connected Sites → Disconnect. Активное соединение с сайтом позволяет ему инициировать запросы даже после закрытия вкладки — особенно критично, если сайт вредоносный.
В большинстве случаев нет. Транзакция в блокчейне необратима. MatchSystems и аналогичные компании могут отследить адрес получателя и идентифицировать атакующего через биржи, но возврат активов требует судебного производства и редко завершается успехом.
Большинство — да, это стандартный механизм ERC-721. Разница в том, чей адрес получает разрешение. На легитимных платформах это их собственный верифицированный контракт; на фейках — кошелёк мошенника.
Автоматизированные drainer-боты мониторят новые setApprovalForAll on-chain и выполняют transferFrom в течение одного-двух блоков (секунды). Ручная реакция жертвы через revoke.cash практически всегда опаздывает.
Нет. Атака происходит на уровне блокчейна, минуя аккаунт маркетплейса. Мошеннику не нужен доступ к вашему профилю OpenSea — достаточно подписи в кошельке.
Да. Доход от продажи криптоактивов, включая NFT, облагается НДФЛ по стандартным ставкам. Декларирование — обязанность налогоплательщика; механику расчёта уточняйте на nalog.gov.ru, поскольку практика применения норм к NFT продолжает формироваться.
Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.
Точка входазашла пробно на 1 месяц после рекламы
Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты
«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»история в Telegram →
Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб
Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает
«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»история в Telegram →
«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Ещё реальные отзывы участников — t.me/traderreviews
