Самый большой анти-скам гайд. Тебя не обманут!

В этом гайде мы разберем самые распространенные виды и способы кражи крипты, обмана и прочего плохого, что может тебе навредить. 

Статейку написали ребята из Moni Talks, то есть мы. Чтобы быть в курсе самых важных новостей, не пропускать топовые гайды по активностям и безопасности - советуем подписаться на наш Telegram-канал. 

Словарик: 

Скам – мошенничество.

Скамер – мошенник.

Стиллер –  программа, которая ворует данные твоего кошелька или другую инфу.

Сид-фраза – 12 или 24 слов, при помощи которых можно зайти на твой кошелек.  

DeFi – децентрализованная платформа (например, 1inch).

Фарминг, стейкинг – предоставление ликвидности проекту. Короче, когда ты бабки свои пихаешь, а тебе проценты с этого капают.

Существует очень много способов, как можно отдать свою крипту недобросовестным людям. Причем они могут либо сами ее увести как те же дрейнеры, а могут воспользоваться твои доверием и получить от тебя добровольную транзакцию, развести тебя на минт NFT и прочее.

Мы не утверждаем, что наш гайд – это таблетка от всех способов мошенничества, совсем нет. Но он защитит тебя на 95% точно, если ты внимательно прочитаешь его, будешь использовать инфу из гайда на практике и перешлешь его другу. Да, последнее обязательно :) 

Лет’с гоу! 

Этот тип мошенничества подразумевает выманивания твоей крипты, сид-фразы, ключа от кошелька путем… как бы так сказать, заблуждения. Например приходит тебе на почту письмо или сообщение в дискорде, твиттере, телеге от проекта, за которым ты давно следишь и мечтаешь попасть в него, купить его токены первым и так далее. 

Аккаунт, который тебе написал, выглядит как реальный. В сообщении/письме указано, что ты получил шанс на минт или на покупку токенов, а там и сразу ссылка на сам минт или покупку. Ты переходишь - подключаешь кошелек, и… все. Плакали твои денежки! Скамеры украли у тебя бабло. 

Кстати, да! Phishing происходит от слова Fishing. То есть, рыбалка. По сути, тебя ловят на крючок. 

Проекты сами первыми практически не пишут, а объявляют победителей у себя в анонсментах каналах, и ссылку на минт также не отправляют в личные сообщения.

Из этого следует правило: в личные сообщения очень редко кто пишет первым, а если и пишут, то не ссылками :D.

Еще один фишинг-способ обмануть тебя – это создание фейкового сайта какой-нибудь платформы для свопов или стейкинга. Например того же Pancakeswap или 1inch.  

Оригинальная ссылка того же Панкейка выглядит как “pancakeswap.finance”. В то же время скаммеры, могут создать сайт на домене “pancakeswap . com” или “pancake . swap”. И полностью повторить вид сайта и его функционал.

Разница лишь в том, что твоя крипта пойдет не в стейкинг или фарминг, а напрямую на кошельки мошенников. Иногда это может происходить даже на домене, который выглядит как настоящий, тогда мы уже проверяем https сертификат.

Это такой замок, который стоит слева от ссылки, если на твоей DeFi-ке его нет, или он красный – лучше сейчас с ней не работать. Поскольку этот сертификат обеспечивает безопасное соединение между вами. Также советуем использовать вот эту утилиту для проверки ссылок.

Из этого следует правило: всегда дотошно проверяй ссылки проекта. Занеси себе в закладки браузера DeFi-йки, которыми ты регулярно пользуешься, или используй Tools от Crypton, чтобы точно не попасться на скамеров. 

Регулярные проверки отобьются с головой финансово и ментально при первом крупном случае фишинга. И помни, что часто мошеннические ссылки появляются прямо в Google первыми! Вот запомни это. В Twitter иногда они прямо рекламируются. Да-да, как на вкус красная таблетка? Даже такие гиганты как Google и Twitter иногда ненамеренно рекламируют скам.   

Еще момент. Если ты хочешь купить на условном Uniswap какой-то токен, обязательно найди контракт этого токена и только после этого ищи этот токен по контракту. Например, когда хайповала $PEPE, скамеры насоздавали десятки токенов с таким же именем (дело 30-ти секунд) и в результате люди теряли крупные суммы. А все потому что искали токен по имени, а не контракту.

Контракты ты найдешь на официальных источниках проекта или на CoinGecko в разделе “Contract (см скрин снизу)”. 

Для каждого блокчейна свой контракт. Например, для USDT на Ethereum он выгляит так: 0xdac17f958d2ee523a2206206994597c13d831ec7

Но помни! Что и на CoinGecko может оказаться скам-монета, а в официальных источниках случайно или специально могут подсунуть мошеннический контракт. Потому все всегда очень аккуратно. 

Подводим итог фишинга

Задача этого типа мошенничества – выманить нужные данные или транзакцию путем прикидывания оригинальным проектом, либо известным человеком. 

Также важным напоминанием станет то, что ни один проект в этом мире не попросит у тебя твою сид-фразу или закрытый ключ. Любую нужную операцию в крипте можно провести и без них.

Известные аккаунты в соцсетях, мессенджерах или дискорде никогда первыми не пишут, а вот скаммеры, которые притворяются ими – всегда, то же и с письмами на почту от проектов, с выигрышами. Если уж и напишет человек из проекта в личные сообщения, то явно не с поздравлениями о выигранном миллионе :D. 

Этот пункт покажется мегабанальным для большинства, но тем не менее он все еще собирает множество денег с различных криптанов, как правило новичков.

Этих схем с каждым днем все больше, но мы остановимся на актуальных на момент написания статьи. Наверняка тебе знакомы вот такие сообщения в чатах или личных сообщениях тг: “Дам схему арбитража, всему обучу, за руку до первых денег доведу. Доход 9999$ в секунду, работаем 50 на 50”.

Арбитраж – это по факту игра на разнице курсов. Этот вид заработка имеет множество своих подводных камней, требует больших сумм, а также имеет свои риски. Те, кто пишут в чатах и предлагают работать с ними - мошенники. Никто тебя в “рабочую схемку-темку” брать не будет, увы.

Пример арбитража: на какой-то бирже биток стоит 28 000, а на каком-то обменнике 28 200. И ты за счет разницы этих курсов переводишь большое количество денег и за каждый такой “круг” у тебя получается прибыль по 0.5-1%. 

Вот только такие связки как правило не сливают в общий доступ, и уж тем более не умоляют тебя заработать на них. Ими пользуются сами арбитражники. 

И все же, в чем выгода этим спамерам? Они работают с твоим капиталом, дают тебе схему, в которую будет вшит их карманный обменник. Например, схема “биток купи на банане за 28 000$, заходи вот сюда TiLOH . finance и продавай по 29 000$”. Обменник скаммеры создают сами, ну и естественно, заводя на него крипту – ты ее лишишься.

Вторая схема, которая также очень популярна, это сайт ноушн с инсайтом “НАШЕЛ СХЕМУ ЗАРАБОТКА” или… “АБУЗИМ ГЕМ”. И там рассказывается что на определенном сайте ты получаешь 0.1 соланы за то, что сжег NFT на солане, и дальше ссылка на минт коллекции скаммера по более дешевой цене, чем ты “должен получить” за сжигание.

Вроде профит, но нет, ничего ты не получишь, а просто заминтишь пустышку скамера, которую можно минтить сколько угодно.

Еще часто скамеры пишут о “курсах по криптовалюте”. Типа, вот, прошел курс - готов отдать бесплатно. Как правило они дадут тебе либо ссылку на мошеннический сайт, либо будут впаривать свои услуги после того, как дадут ссылку на настоящий нормальный курс, который они скачали где-то в интернете. 

Пример: в чатике некий чел пишет “Ребят) Прошел курсы по крипте) Поделюсь - не жалко)”. Ты клюнул и попросил его закинуть тебе этот курс. Челик кидает ссылочку, которая просит тебя подключить кошелек. Либо это может быть PDF-файл с вирусом. 

* С PDF-файлами, кстати, особенно в крипте очень аккуратно. Крайне часто они содержат вирусы. Не открывай PDF-ки лучше никогда и проси прислать тебе материал в форме google-дока. 

Либо чел кидает тебе не PDF-файл или скам-ссылку, а реальный курс. Конечно же, если ты новичок, одного курса для погружения в крипту тебе будет мало - и чел предложит тебе наставничество за какую-то сумму. Ты платишь деньги, человек исчезает. Тут очень тонкий психологический момент. Человек дал тебе что-то бесплатно и подсознательно ты хочешь как бы вернуть ему его должок. Скамеры этим пользуются, чтобы выдоить с тебя бабло и исчезнуть. 

Ну и самое тупое. Человек создает аккаунт донельзя похожий на аккаунт известно криптана. Ставит его аватарку, пишет похожий никнейм. Например, скамер хочет скопировать аккаунт Грязина. 

Реальный: @gryazin 

Скамер: @gryazinn 

И челик начинает всем писать и просить в долг. Мол, СРОЧНО, ПОПАЛ В БЕДУ!!! ДАЙ $500 ДО ЗАВТРА! Ну, тут ясно, что давать ничего никому нельзя, пока ты не подтвердишь личность человека. 

Знаешь номер - позвони. Не знаешь - перепроверь имя аккаунта. Ну и помни, что аккаунт могут взломать, потому лучше имей способы подтвердить личность просящего, ок? 

Подводим итог банальных скам-схем

Никто не принесет тебе на блюдечке готовую кнопку бабло. Если тебе кто-то предлагает схему с помощью которой можно заработать – всегда пробуй понять выгоду человека для него самого, и это уж точно не “процент с выхлопа”.

Таких схем существует миллион, и мы все не перечислим в силу того, что банально нет смысла. Все они сводятся к одному: “купи это, продай тут, выхлоп пополам с твоего заработка”. Мы даже не рассматриваем варианты отдавать свой капитал, кому-то, чтобы “с него сделали больше”.

Под вредоносным программным обеспечением в крипте чаще всего подразумевают стиллеры (от англ. Steal – украсть). Он ждет и проверяет весь твой буфер обмена. Буфер обмена – это такая часть оперативной памяти, куда заносятся файлы, которые ты копируешь/вырезаешь.

И потом, как только стиллер видит, что в буфер обмена попало 12 или 24 отдельных слова (один из самых распространенных механизмов действия, они сами бывают разными). Он и передает эту информацию своему создателю. 

Из этого следует правило: не копируй сид-фразы, только переписывай.

Это конечно не совсем относится к вредоносному ПО, но тем не менее: не работай с DeFi с общедоступных Wi-Fi точек, тем более они как правило без защиты.

Банальный перехват трафика сможет передать всю нужную информацию, чтобы впоследствии украсть твою крипту и другую не менее важную информацию. Будь аккуратен! Вообще про безопасность кошельков мы писали вот тут.  

Подводим итоги по вредоносному ПО

Лучше всего использовать для крипты и повседневных задач разные пк/ноутбуки. Ну или в крайнем случае создать отдельную виртуальную машину.

Также было бы хорошо проработать безопасность своей винды. Или в идеале использовать закрытые операционные системы, по типу той же OS X на маках. Понятное дело, что это не сделает тебя неуязвимым, но больше половины, причем более злостной половины, вирусов тебе удастся избежать.

Также старайся изо всех сил использовать лицензированные программы, ведь однажды скачанный крякнутый фотошоп для обработки фото из папки “море 2008” может лишить тебя крипты, что также не круто. 

Ну и не игнорим правило общедоступных сеток Wi-Fi.

А еще мы обязаны упомянуть холодные кошельки! Их преимущество как раз в том, что у тебя не уведут деньги, поскольку они защищены, и с кошельком нельзя взаимодействовать, пока он не подключен к интернету. В этом и есть их кайф. Не надо 24/7 боятся, что дрейнер украдет сид-фразу или совершит перевод напрямую с твоего компа. Но холодный кошелек могут украсть физически - потому много про свои профиты не болтай. 

Также, конечно же, VPN. Не бесплатный, лучше купи, если есть возможность. Вот тут мы подбирали VPN’ы - клик и клик. Лично мы используем Express и пока не жалуемся. Публичный вайфай должен пользоваться ИСКЛЮЧИТЕЛЬНО через VPN. 

Мы уже не раз их упоминали, но чтобы гайд был полным, расскажем еще разочек. Подписи ты оставляешь практически каждый раз, когда взаимодействуешь с различными DeFi. 

Зачастую ты оставляешь подпись для того, чтобы произвести своп. В чем загвоздка подписей - оставляя ее даже добросовестному проекту, ты все равно рискуешь своими активами, ведь при взломе платформы хакер получит доступ и к твоим средствам тоже.

И как от этого уберечься? Первое и самое главное – отдельные кошельки для активностей и хранения своей основной крипты.

Второе! Постоянно проверяй подписи, которые ты давал через сервисы, и если что – отзывай их. Все максимально подробно расписано в нашем гайде – Как сделать Revoke и спасти свои деньги от взломов?

Также ты можешь использовать вот этот инструмент, он будет симулировать твои транзакции перед их выполнением и говорить тебе о добропорядочности сервиса. Ну это в большинстве нужно, если ты подозреваешь сайт в фишинге. Или если уж совсем в какие-то дебри залез и не до конца уверен, что сделает та или иная кнопочка :D.

Blowfish – это не панацея. Это во-первых. Во-вторых, есть еще Fire и Stelo, например. Используй разные и найди свой. 

Что тут упомянуть? Например, проекты, которые созданы чтобы прибрать к рукам деньги инвесторов или пользователей. 

С таким не поможет никакое расширение, но благо со временем такие проекты стало намного легче уличить благодаря собственному ресерчу.

Не менее популярными также сейчас являются схемы “exit-liquidity”. Когда кто-то создает токен, шиллит (рекламирует) его сам, или с помощью других людей. Цена пампится, а потом в один момент человек выводит всю ликвидку. Например есть пара SCAM/ETH. 

Люди накупили в целом токена SCAM на 10 Эфиров, то есть ликвидка токена составляет 10 Эфиров. И потом, тот кто создал токен выводит этих самых 10 Эфиров, график токена замирает, и те кто купил токен не могут обменять его обратно в эфир, поскольку нет нужной ликвидности.

Мы все понимаем, иногда так и хочется наварится на очередном щитке, который шиллит половина твиттера и никто тебя не остановит. Но хотя бы перед тем как это сделать проверяй его тут. 

Сервис тебе покажет, что данный токен из себя представляет. Бывает такое, что токен может быть залочен, или имеет возможность кидать все адреса в черные списки, тем самым не давая шансов на вывод даже без лока. 

Если такие вещи прописаны в его контракте, то DeFi Scanner покажет тебе это. Также прочитай гайд по DeFi-гигиене.

Не попасться на фишинг и скам-схем, которые предлагают тебе миллионы с ничего – довольно несложно. Так как тебе не надо ничего делать. А как раз таки надо НИЧЕГО не делать. 

А вот с более технически сложными видами мошенничества уже интереснее. Надо придерживаться дисциплины, иметь стойкость проверять различные проекты и токены, а не залетать с двух ног. 

Также постоянно проверять свои подписи, правильно хранить данные, сид-фразы и тд. Напомним, что мы разбирали вообще все способы хранения сид-фраз в нашем гайде по метамаску. 

Правила, которые мы вывели: 

1) Игнорируй личные сообщения со всякими предложениями 

2) Никому не давай сид-фразу или ключ

3) Не верь тем, кто обещает тебе легких денег

4) Всегда проверяй ссылки проекта через сервисы из нашей статьи

5) Не копируй сид-фразы, только переписывай

6) Старайся использовать отдельный пк/ноут, ну или в крайнем случае виртуальную машину для крипты и всех остальных задач.

7) ВАЖНО до невозможности! Разные кошельки для разных задач. Минты на одном кошельке. Ретродропы на другом. Тестнеты на третьем. Хранить банк на четвертом, в идеале на холодном кошельке.

8) Не используй кошельки, DeFi-ки и тд, когда подключен к общедоступной сетке Wi-Fi.

9) Регулярно следи за подписями, которые ты давал на своих кошельках. Вот тебе гайд как проверять и как в случае чего их отозвать.

10) Ищи токен по его контракту, который ты взял из официальных ресурсов проекта или с CoinGecko. А также проверяй на сканере.

Вот и все. Важно отметить, что скамеры прогрессируют и правила выше - БАЗА, но никак не 100%-ная защита. Мы регулярно сообщаем о новых видах скама и способах противодействия в нашем Telegram-канале. 

Подпишись на Moni Talks, точно будет кстати!