Безопасность

Криптовалютное мошенничество в 2026 году: главные схемы и как защитить активы

Аппаратный криптокошелёк под защитным щитом, к которому тянутся фишинговые крючки — иллюстрация защиты активов

Главные потери в криптовалюте в 2026 году приносит не взлом шифрования, а социальная инженерия: пользователей убеждают самостоятельно подписать транзакцию или отправить средства мошеннику. По оценке Chainalysis, только в 2025 году скам-операции получили ончейн не менее $14 млрд, и это ещё неполная картина. Хорошая новость в том, что большинство схем строятся на нескольких повторяющихся приёмах — разобравшись в их механике, защититься реально. Ниже — актуальные типы мошенничества и практические шаги, которые снижают риск потерять активы.

Масштаб проблемы: что говорят данные

Согласно отчёту Chainalysis 2026 года, в 2025 году адреса, связанные со скамом, получили как минимум $14 млрд, а с учётом ещё не размеченных кошельков итог может превысить $17 млрд. Меняется и структура атак: схемы с выдачей себя за других (impersonation) выросли примерно на 1400% год к году, а средний платёж жертвы поднялся с $782 в 2024-м до $2 764 в 2025-м. Отдельно исследователи отмечают роль искусственного интеллекта: операции с признаками использования ИИ-сервисов приносили в среднем около $3,2 млн против сотен тысяч у «традиционных» схем — дипфейки и сгенерированные легенды делают обман убедительнее.

Компания CertiK в отчёте Hack3D за первое полугодие 2026 года оценивает суммарные потери Web3 примерно в $1,315 млрд по 344 инцидентам. Формально это на 46,8% меньше, чем годом ранее, но аналитики предупреждают: падение обманчиво — прошлогоднюю статистику раздул один гигантский взлом Bybit, а без него потери, наоборот, выше. Крупнейшие векторы полугодия — компрометация кошельков (около $444,5 млн) и фишинг (около $366,3 млн). Показательно, что число фишинговых инцидентов упало более чем вдвое, а сумма ущерба — лишь примерно на 11%: мошенники перешли от массовых кампаний к точечным атакам на состоятельные кошельки.

Фишинг и подпись-фишинг

Классический фишинг — поддельные сайты бирж и кошельков, письма и сообщения «от поддержки», фейковые airdrop-страницы, — по-прежнему работает. Но в 2026 году опаснее его подвид: подпись-фишинг. Здесь у вас не крадут сид-фразу и не подбирают ключ — вас убеждают подписать транзакцию или сообщение, которое сами же и разрешает списание активов.

Ключевые механизмы, которыми злоупотребляют мошенники:

  • approve на неограниченную сумму. Стандарт токенов ERC-20 требует «одобрения» (approval), чтобы контракт мог тратить ваши токены. Вредоносный контракт запрашивает разрешение на неограниченный объём — и позже выводит весь баланс.
  • Permit и setApprovalForAll. Эти функции позволяют выдать разрешение офчейн-подписью, без транзакции и без комиссии. Такое действие кажется безобидным («просто подпись»), но одним кликом можно отдать доступ к токену или целой коллекции NFT.

Именно поэтому «слепое подписание» (blind signing) — одобрение операции без чтения её деталей в человекочитаемом виде — специалисты называют одной из главных причин потерь. Если вы не понимаете, что именно подписываете, считайте, что подписываете что угодно.

Дренеры кошельков

Дренер (drainer) — это связка вредоносного контракта и скрипта, задача которых — вывести активы сразу после того, как вы выдали разрешение. Дренер не «ломает» кошелёк: он получает право распоряжаться средствами с вашего же согласия. Часто такие сервисы продаются как «drainer-as-a-service» и встраиваются в поддельные сайты, фейковые mint-страницы и вредоносные браузерные расширения, которые маскируются под легитимные крипто-утилиты и на лету подменяют реквизиты транзакции. По наблюдениям сервиса Scam Sniffer, в начале 2026 года убытки от подпись-фишинга резко выросли при снижении числа жертв — подтверждение курса на «меньше целей, но крупнее».

Отравление адреса и нулевые переводы

«Отравление адреса» (address poisoning) — простая, но эффективная схема. Атакующий изучает вашу историю транзакций в публичном блокчейне, генерирует адрес, похожий на тот, которым вы часто пользуетесь (совпадают первые и последние символы), и отправляет вам мелкий «пылевой» перевод. Фейковый адрес оседает в истории — и когда вы копируете «знакомый» адрес из недавних операций, средства уходят мошеннику. Разновидность — нулевые переводы (zero-value transfers): транзакции на $0, которые всё равно отображаются в истории и почти ничего не стоят атакующему, что позволяет автоматизировать их в огромных масштабах. Масштаб проблемы иллюстрирует исследование Carnegie Mellon CyLab (январь 2026): за 2022–2024 годы оно насчитало более 270 млн попыток отравления адресов против свыше 17 млн кошельков.

Поддельные биржи, кошельки и приложения

Отдельный пласт — фальшивая инфраструктура. Это клоны сайтов известных бирж, поддельные мобильные приложения кошельков в сторах и мессенджерах, «инвестиционные платформы» с красивым интерфейсом и нарисованной доходностью. Логика одна: получить ваши логин и пароль, сид-фразу или прямой перевод «на пополнение». Часто вывод средств блокируют под предлогом «налога» или «верификации», вынуждая доплачивать. Выбор площадки — сам по себе вопрос безопасности: на что смотреть при подборе биржи, мы подробно разбирали в отдельном материале о том, как выбрать криптобиржу в 2026 году.

Pig butchering: долгая игра на доверии

Схема «pig butchering» («откорм свиньи») сочетает романтическую или дружескую манипуляцию с фальшивыми инвестициями. Жертву неделями «прогревают» в мессенджерах и на сайтах знакомств, выстраивают доверие, затем подводят к «выгодной» криптоплатформе. Сначала позволяют вывести небольшую прибыль, чтобы усыпить бдительность, а потом убеждают внести всё больше — и в нужный момент площадка исчезает вместе со средствами. По данным Chainalysis, такие сети (во многом базирующиеся в Юго-Восточной Азии) остаются одной из доминирующих категорий по объёму и активно используют ИИ для правдоподобных легенд и общения. Ущерб от подобных схем измеряется миллиардами долларов в год, а первые четыре месяца 2026 года, по оценке Chainalysis, дали больше правоприменительных действий против pig butchering, чем всё предыдущее десятилетие.

Атаки на управление протоколами: кейс BonkDAO

Новый по массовости класс угроз — атаки не на код, а на управление децентрализованными протоколами. Яркий пример произошёл в июле 2026 года с BonkDAO — сообществом вокруг мем-токена BONK в сети Solana. Как сообщил CoinDesk, атакующий потратил около $4,4 млн на покупку чуть более 1% всех токенов BONK, а затем провёл через ончейн-голосование вредоносное предложение, единственным действием которого был перевод казны на его собственный кошелёк. В результате из казны ушло около $20 млн (4,43 трлн BONK).

Технически это не взлом: смарт-контракт сработал ровно так, как был запрограммирован. Сработала низкая явка. По данным CoinDesk, в голосовании поучаствовало лишь около 2,9% участников — фактически семь кошельков «за», при более чем 18 000 воздержавшихся. Кворум был преодолён с минимальным перевесом: 882,38 млрд BONK «за» против порога в 879,95 млрд — почти ровно та доля, которую атакующий заранее скупал. BonkDAO подтвердил инцидент, заявил, что вычислил использованные биржевые кошельки, и сообщил о совместной работе с биржами, мостами и Solana Foundation. Урок для держателей управляющих токенов: концентрация голосов и низкая явка сами по себе становятся уязвимостью, а «одобренное голосованием» действие не значит «безопасное».

Общие тревожные признаки

Схемы разные, но красные флаги повторяются. Насторожитесь, если видите хотя бы один из них:

  • обещание «гарантированной» или аномально высокой доходности, срочность и давление «успей сейчас»;
  • просьба сообщить сид-фразу, приватный ключ или коды 2FA — легитимные сервисы этого не делают никогда;
  • предложение подписать непонятную транзакцию, «разблокировать» кошелёк или подтвердить подпись ради airdrop;
  • ссылка из личного сообщения, комментария или рекламы вместо перехода по проверенной закладке;
  • «поддержка», написавшая вам первой, и требование доплатить «налог» или «комиссию» за вывод средств;
  • новый онлайн-знакомый, который постепенно переводит разговор на инвестиции в криптовалюту.

Как защитить активы: практические шаги

Универсального «выключателя» рисков нет, но дисциплина и правильные инструменты кардинально снижают вероятность потерь.

  • Используйте аппаратный кошелёк. Приватные ключи хранятся офлайн, а каждую транзакцию нужно физически подтвердить на устройстве. Это финальный рубеж: даже заражённый компьютер не подпишет операцию без вашего нажатия.
  • Берегите сид-фразу. Никогда не вводите её на сайтах и не храните в цифровом виде — ни в заметках, ни в фото, ни в облаке. Настоящая поддержка и настоящие приложения никогда не просят сид-фразу.
  • Читайте то, что подписываете. Избегайте «слепого» подписания. Проверяйте, что показывает приложение, и сверяйте это с экраном аппаратного устройства. Функции вроде «понятной подписи» (clear signing) и симуляции транзакций помогают увидеть последствия до подтверждения.
  • Регулярно отзывайте разрешения (approvals). Старые и неограниченные одобрения — тлеющая угроза: контракт могут позже обновить или скомпрометировать. Периодически проверяйте и отзывайте ненужные разрешения через официальные инструменты вроде revoke.cash или раздела approvals в блокчейн-эксплорере.
  • Проверяйте адрес целиком. Не полагайтесь на первые и последние символы — именно на этом строится отравление адреса. Сверяйте весь адрес, а лучше пользуйтесь проверенной адресной книгой и небольшим тестовым переводом при первой отправке.
  • Включите двухфакторную аутентификацию. Для биржевых аккаунтов и почты используйте 2FA через приложение-аутентификатор или аппаратный ключ, а не SMS, уязвимый к подмене SIM.
  • Проверяйте источники. Заходите на биржи и кошельки по проверенным закладкам, скачивайте приложения только из официальных источников, не переходите по ссылкам из личных сообщений и не доверяйте «гарантированной доходности».
  • Разделяйте кошельки. Держите основной капитал на «холодном» адресе, а для взаимодействия с новыми dApp и airdrop заведите отдельный «горячий» кошелёк с небольшой суммой.

Базовое понимание того, как устроен блокчейн и почему транзакции необратимы, тоже часть защиты — если вы только начинаете, стоит разобраться, что такое биткоин и как он работает.

Что делать, если уже подписали вредоносную транзакцию

Действуйте быстро. Первым делом отзовите выданные разрешения (approvals) для скомпрометированного адреса, чтобы перекрыть доступ дренеру. Переведите оставшиеся активы на новый безопасный кошелёк, созданный на «чистом» устройстве, — если есть подозрение, что скомпрометирована сама сид-фраза, старый адрес нужно считать потерянным навсегда. Зафиксируйте хеши транзакций и адреса злоумышленника, сообщите бирже (если средства ушли на биржевой кошелёк) и правоохранителям. Полностью вернуть средства удаётся редко, но оперативная реакция иногда позволяет спасти то, что ещё не выведено.

Криптовалюта не прощает невнимательности: транзакции необратимы, а «отдела возврата» здесь нет. Зато почти все массовые схемы 2026 года требуют одного — вашего собственного действия: клика, подписи или перевода. Пауза перед подтверждением, проверка адреса и деталей, аппаратный кошелёк и гигиена разрешений закрывают подавляющее большинство сценариев атаки.

Читайте по теме:

Источники

  1. Chainalysis — 2026 Crypto Crime Report: Scams
  2. CertiK — Hack3D: H1 2026 Report
  3. CoinDesk — BONK faces $20 million treasury drain after attacker spends $4 million to pass malicious proposal
  4. crypto.news — What is a governance attack? How BonkDAO lost $20M in a single vote
  5. Ledger Academy — Crypto Security 2026: How To Avoid Scams and Hacks
  6. Analytics Insight — Crypto Phishing Scams in 2026: New Threats and How to Stay Protected

Факты проверены: 2026-07-09

Материал носит информационный характер и не является индивидуальной инвестиционной рекомендацией. Криптовалюты связаны с высоким риском.

Редакция Novosti Crypto

Материалы под подписью «Редакция Novosti Crypto» подготовлены командой издания по единым редакционным стандартам: отбор тем, проверка фактов, нейтральная подача и своевременные исправления. См. Редакционную политику и Политику исправлений. Редакционная политика · Политика исправлений