Гаманець, попередження та слабкі місця

Найважливіше — це базові звички безпеки.

Автор: Prathik Desai

Переклад: Block unicorn

Усе починається з одного повідомлення. Бренд виглядає дуже переконливо, логотип відповідає очікуванням, а в профілі LinkedIn видно спільних контактів. Рекрутер каже, що знайшов твій проект на GitHub і хоче запропонувати контрактну роботу у добре фінансованій компанії, яка поєднує AI з DeFi-протоколом. Ти швидко переглядаєш їхній сайт. Дизайн сайту лаконічний і сучасний, контент викликає довіру, але всюди, де ти й очікував, — лише професійна термінологія. На сайті є відбірковий тест, який надсилають у вигляді ZIP-файлу.

Ти розпаковуєш архів і одразу запускаєш інсталятор — на екрані на мить з’являється запит на авторизацію гаманця. Ти не задумуючись натискаєш «Підтвердити». Але нічого не відбувається, комп’ютер не зависає. Через п’ять хвилин твій гаманець Solana вже порожній.

Це не вигадка. Це майже повна схема багатьох атак, які у 2025 році фіксують експерти з блокчейн-аналітики та пов’язують із північнокорейськими хакерськими угрупованнями. Вони використовують фейкові вакансії, заражені троянами тестові файли та шкідливе ПЗ для злому гаманців.

У сьогоднішній статті я розповім про еволюцію методів атак у криптовалюті у 2025 році та про те, як захистити себе від найпоширеніших on-chain атак.

Тепер перейдемо до суті.

Найбільші зміни у криптоатаках 2025 року

З січня по вересень 2025 року хакери, пов’язані з Північною Кореєю, вкрали криптовалюти на суму понад 2 мільярди доларів. За даними блокчейн-аналітичної компанії Elliptic, 2025 рік уже став рекордним за обсягом злочинів із цифровими активами.

Найбільша одноразова втрата сталася під час злому біржі Bybit у лютому, коли ця криптобіржа втратила 1.4 мільярда доларів. Загальна вартість криптоактивів, викрадених північнокорейським режимом, вже перевищила 6 мільярдів доларів.

Окрім шокуючих цифр, у звіті Elliptic найбільше вражає зміна способів використання вразливостей у криптовалюті. У звіті зазначено: «Більшість хакерських атак 2025 року здійснювалися через соціальну інженерію», що суттєво відрізняється від попередніх випадків, коли Північна Корея отримувала величезні суми через злом інфраструктури. Наприклад, у сумнозвісних атаках на Ronin Network у 2022 та 2024 роках, а також у зламі The DAO у 2016 році.

Сьогодні вектор атак змістився з інфраструктури на людський фактор. Звіт Chainalysis також вказує, що у 2024 році найбільша частка крадіжок криптовалюти (43.8%) була пов’язана з компрометацією приватних ключів.

Очевидно, що з розвитком криптовалют і посиленням безпеки на рівні протоколів і блокчейнів, зловмисникам стало простіше націлюватися на власників приватних ключів.

Такі атаки стають дедалі організованішими, а не випадковими діями окремих осіб. Останні повідомлення Федерального бюро розслідувань США (FBI) та Агентства з кібербезпеки та безпеки інфраструктури (CISA), а також новини, описують атаки, пов’язані з Північною Кореєю, які поєднують фейкові вакансії для криптоінженерів, троянізоване програмне забезпечення для гаманців і шкідливі атаки на open-source спільноти. Хоча інструменти хакерів технічні, точка входу — це людська психологія.

Злам Bybit став найбільшою одноразовою крадіжкою криптовалюти на сьогодні та показав, як такі проблеми виникають у масштабних транзакціях. Коли з кластеру гаманців було вкрадено Ethereum на суму близько 1.4 мільярда доларів, початковий технічний аналіз показав, що підписант не перевірив належним чином зміст авторизації. Мережа Ethereum виконала дійсну та підписану транзакцію, але проблема виникла через людський фактор.

Аналогічно, у випадку з Atomic Wallet, через атаку шкідливого ПЗ на спосіб зберігання приватних ключів на комп’ютерах користувачів було втрачено криптоактиви на суму від 35 мільйонів до 100 мільйонів доларів.

У багатьох випадках ситуація саме така. Коли люди не перевіряють повністю адресу гаманця під час переказу або зберігають приватні ключі з низьким рівнем безпеки, сам протокол майже безсилий.

Самостійне зберігання — не панацея

Принцип «Не твій приватний ключ — не твоя монета» залишається актуальним, але проблема в тому, що на цьому люди зупиняються у своїх роздумах.

За останні три роки багато користувачів вивели кошти з бірж — як через побоювання повторення краху FTX, так і з ідеологічних міркувань. За цей час сукупний обсяг торгів на децентралізованих біржах (DEX) зріс більш ніж удвічі — з 3.2 трильйона доларів до 11.4 трильйона доларів.

Зовні культура безпеки ніби покращилася, але ризики перемістилися з кастодіальних заходів безпеки до хаотичного самостійного вирішення проблем користувачами. Браузерні розширення на комп’ютері, seed-фрази, збережені у чатах на телефоні чи у чернетках електронної пошти, а також приватні ключі у незашифрованих нотатках — усе це не захищає від прихованих загроз.

Самостійне зберігання вирішує проблему залежності: не потрібно довіряти біржам, кастодіанам чи будь-яким третім сторонам, які можуть заморозити виведення коштів або збанкрутувати. Але воно не вирішує «когнітивну» проблему. Приватний ключ дає тобі контроль, але й повну відповідальність.

То як же вирішити цю проблему?

Апаратні гаманці зменшують ризики

Холодне зберігання частково вирішує проблему. Воно дозволяє зберігати активи офлайн, у своєрідному сейфі.

Чи вирішує це всі проблеми? Лише частково.

Вилучаючи приватний ключ із загального пристрою, апаратний гаманець позбавляє від ризиків браузерних розширень чи «одноразового підтвердження транзакції». Вони впроваджують фізичний механізм підтвердження, який може захистити користувача.

Але апаратний гаманець — це лише інструмент.

Команди безпеки багатьох постачальників гаманців прямо про це говорять. Ledger повідомляє про численні фішингові атаки з використанням їхнього бренду — зловмисники створюють фейкові браузерні розширення та клони Ledger Live. Інтерфейс виглядає знайомо, що розслабляє користувача, але на певному етапі його просять ввести seed-фразу. Якщо вона потрапляє до зловмисників — наслідки катастрофічні.

Деякі користувачі також можуть бути ошукані, ввівши seed-фразу на фейковій сторінці оновлення прошивки.

Тому справжня роль апаратного гаманця — це зміщення вектора атаки, збільшення тертя й зменшення ймовірності атаки. Але він не усуває ризики повністю.

Відокремлення — це ключ

Апаратний гаманець працює найкраще, якщо куплений у офіційного чи надійного продавця, а seed-фраза повністю офлайн і надійно зберігається.

Люди, які давно працюють у цій сфері — фахівці з реагування на інциденти, блокчейн-детективи та інженери гаманців — радять розділяти та диверсифікувати ризики.

Один гаманець — для щоденного використання, інший майже ніколи не підключається до інтернету. Невеликі суми — для експериментів і DeFi-майнінгу, великі — у сейфі, доступ до якого потребує кількох кроків.

І понад усе — базові звички безпеки.

Деякі, на перший погляд, нудні звички можуть дуже допомогти. Яким би терміновим не було спливаюче вікно, ніколи не вводьте seed-фразу на сайті. Після копіювання адреси обов’язково перевірте її повністю на екрані апаратного гаманця. Перед тим, як підтвердити будь-яку транзакцію, яку ви не ініціювали самостійно, добре подумайте. Будьте підозрілими до невідомих посилань і «служби підтримки», доки не переконаєтесь у їхній справжності.

Жоден із цих заходів не гарантує абсолютної безпеки — ризик завжди існує. Але кожен додатковий крок зменшує його ще трохи.

Зараз для більшості користувачів найбільша загроза — це не zero-day вразливості, а неуважність до інформації, інсталяція програм лише тому, що робоча пропозиція виглядає привабливо, і запис seed-фрази на тому ж папірці, що й список покупок у супермаркеті.

Коли люди, які керують мільярдами доларів, сприймають ці ризики як фоновий шум, вони зрештою стають кейсами, які отримують ярлик «вразливість».