Чеклист + источники · 8 минут чтения

Безопасность крипто-кошельков

7 правил, которые реально защищают деньги. Каждое — со ссылкой на официальный гайд или видео. В конце — кому верить, чтобы учиться дальше.

Кошельки крадут не AI-агенты и не «продвинутые хакеры». В 9 случаях из 10 — это фейковое расширение в браузере, фишинг-ссылка или seed-фраза в текстовом файле. Эти 7 правил закрывают почти всю поверхность атаки.
1
Самое важное

Hardware wallet для всего, что > $500

Ledger или Trezor. Приватный ключ никогда не покидает устройство — ни Anthropic, ни Google, ни даже твой собственный компьютер его не видят. Любая транзакция подтверждается кнопкой на железке.

Hot wallet (MetaMask/Phantom в браузере) — только для оперативных мелких сумм.

📺 Подробнее
2
Самое важное

Seed-фраза только на бумаге или металле

НЕТ: фото, скриншот, txt-файл, Telegram «Избранное», iCloud-заметки, менеджер паролей, Google Docs.

ДА: бумага в сейфе или металлическая пластина (Cryptosteel / Billfodl). Две копии в разных физических местах.

📺 Подробнее
3
Структура

Отдельный браузер только для крипты

Brave или отдельный профиль Chrome. В нём — только кошельки и биржи. Никакой почты, соцсетей, ссылок из чатов, никаких лишних расширений.

Рабочий браузер с перепиской, ссылками от коллег и AI-агентами — отдельно.

📺 Подробнее
4
Установка

Расширения — только с официального сайта

В Chrome Web Store десятки клонов MetaMask и Phantom — они выглядят 1-в-1, но крадут seed при первом вводе. В апреле 2025 фейковое «обновление MetaMask» опустошило сотни кошельков.

Ставим только по ссылке с metamask.io, phantom.app, trezor.io. Проверяй URL до установки.

📺 Подробнее
5
Транзакции

Читай что подписываешь · revoke.cash раз в месяц

Если кошелёк просит approve unlimited для незнакомого контракта — это разрешение опустошить твой токен в любой момент. Прошлый approve может выстрелить через год.

Заходи на revoke.cash раз в месяц — отзывай старые approve. Только официальный URL — есть фейки.

📺 Подробнее
6
Аккаунты

2FA через Yubikey или authenticator-app, не SMS

SMS-2FA взламывают через SIM-swap — это уже не редкость, а индустрия. Атакующий звонит в твой мобильный салон, прикидываясь тобой, переносит твой номер на свою симку — и получает все твои SMS-коды. У биржи аккаунт с SMS-2FA = аккаунт без 2FA.

Yubikey ($50) или Google Authenticator/Authy. Резервные коды — на бумаге, рядом с seed.

📺 Подробнее
7
Для крупных сумм

Multi-sig для всего, что > $50K

Safe (бывший Gnosis Safe) — кошелёк, где транзакцию должны подписать 2 ключа из 3. Один ключ украли — деньги остались.

Бизнес-казна, DAO, личные сбережения — только так.

📺 Подробнее

Как работает атака drainer'а — схема

1. ПРИМАНКА Фейк-сайт «Airdrop / claim» в TG / Discord / X 2. ПОДКЛЮЧЕНИЕ Connect Wallet пользователь подключает MetaMask 3. ПОДПИСЬ approve unlimited для контракта-drainer'а (маскируется под «verify») 4. КРАЖА drainer выводит токены через 1-7 дней ГДЕ РАЗОРВАТЬ ЦЕПОЧКУ Правило 3 отдельный браузер — фишинг-ссылка из чата просто не туда ведёт блокирует шаг 1-2 Правило 4 официальное расширение — фейк-MetaMask не подменит интерфейс блокирует шаг 2 Правило 5 читаешь approve — видишь «unlimited для незнакомого контракта» → отказ блокирует шаг 3 Правило 1 + 7 hardware wallet + multi-sig — approve должен быть подтверждён физически блокирует шаг 3-4

Каждое правило — это отдельный замок на цепочке атаки. Атаке нужно пробить ВСЕ замки. Установишь 4 из 7 — тебя уже почти не достать.

«А AI-агенты крадут кошельки?»

Нет. AI-агент (Claude Code, Cursor, ChatGPT desktop) работает локально на твоей машине. Он видит ровно то, что ты ему открыл в редакторе или терминале. Никакого «бэкдор-доступа» к расширениям браузера у него нет.

Если переживаешь: запускай AI-агента в отдельном профиле OS или в Docker-контейнере, без mount'а кошелькового браузера. Тогда даже теоретическая утечка изолирована.

Реальные угрозы кошельку — фейковые расширения (правило 4), фишинг (правило 5) и seed в файле (правило 2). AI в этом списке не появляется.

Кому верить — топ источников для самообучения

Читать/смотреть по очереди. Все ссылки проверены 02.05.2026.

📚 Платформа · официальная
Ledger Academy
Топ-1 для новичков. Сотни статей и видео-курсов от производителя hardware-кошельков. Уровни: Beginner / Advanced. На английском, есть RU.
📚 Платформа · официальная
Trezor Learn
Альтернатива Ledger. Очень глубокие материалы по криптографии, multi-sig, Shamir backup. Ориентир для тех, кому важен open-source.
🛡 Tool + блог
Revoke.cash Learn
Энциклопедия по approve-эксплойтам. База exploits — реальные кейсы как тащили деньги, что подписали жертвы. Лучшее место чтобы понять «что я подписываю».
🐦 X (Twitter) · daily threats
@realScamSniffer
Лента активных скамов в реальном времени. Каждый день — свежие фишинг-кампании, фейк-сайты, drainer'ы. Подписаться обязательно если играешь в DeFi.
🐦 X · хантер скам-аккаунтов
Officer's Notes (@officer_cia)
Практические гайды по OPSEC от человека из crypto-security. Регулярные нити «как сегодня крадут кошельки». На английском, простой язык.
🔬 Аналитика · enterprise
Check Point Research
Глубокие технические разборы крипто-атак. Не для новичков, но там самое подробное «что произошло». Кейс drainer-тактик — обязательно к чтению.
📖 Книга · фундамент
Andreas Antonopoulos — Mastering Bitcoin / Mastering Ethereum
Если хочешь понять «как это вообще работает» — начинай отсюда. Глава про seed phrase, BIP39, HD wallets, multisig — вся теория без воды. Открыто на GitHub бесплатно.
🎓 Курс · разработчики
Cyfrin Updraft
Бесплатные курсы по smart contract security. Полезно если хочешь понимать что подписываешь на уровне кода. Курс «Security & Auditing» — для крипто-инвесторов с серьёзными суммами.
📺 YouTube · еженедельный обзор
Whiteboard Crypto
Простые объяснения сложных вещей: drainer'ы, флешлоуны, MEV-боты, фишинг. Анимированные схемы, по 5-10 мин на тему. Лучше всего для людей, которые не любят читать.
Дмитрий Васильев — крипто/финтех консалтинг
ex-CEO WEX (восстановил биржу после изъятия BTC-e ФБР, $800M возвращены пользователям)
vda.vc · @Posbitcoin
обновлено 02.05.2026 · v2 c источниками