Як відбуваються шахрайства з мультипідписними гаманцями? Посібник із ідентифікації та захисту

Мультипідписний гаманець відіграє важливу роль у безпеці криптовалют, але через свою особливість він також став новою мішенню для шахраїв. Як саме зловмисники використовують мультипідписні гаманці для обману користувачів? І як їх розпізнати та захиститися? У цій статті детально розглянемо механізми таких шахрайств і надамо практичні рекомендації з безпеки.

Знайомство з основами — правильне використання мультипідписних гаманців

Перш ніж говорити про ризики, давайте зрозуміємо справжню цінність мультипідписних гаманців. Це тип гаманця, для авторизації транзакції якого потрібні кілька приватних ключів. За своєю суттю, він є розширеною версією двофакторної аутентифікації (2FA), що вимагає затвердження з двох або більше джерел для завершення переказу.

Наприклад, можна налаштувати мультипідписний гаманець так, щоб для транзакції потрібно було затвердити її трьома з п’яти ключів — ніби сейф, який відкривається лише за участю кількох осіб. Така конструкція особливо підходить для бізнесу, децентралізованих автономних організацій (DAO), спільних проектів і сімейних фондів, де потрібно колективне рішення.

Мультипідписний гаманець створений для підвищення безпеки, але шахраї вже навчилися використовувати незнання користувачів щодо цієї технології для обману. Саме тому важливо розуміти схеми шахрайств із мультипідписними гаманцями.

Відкриття шахрайських схем — як зловмисники здійснюють злочини у системі мультипідписів

Логіка шахрайств із мультипідписними гаманцями досить проста: шахрай переконує жертву, що вона може повністю контролювати криптовалютний гаманець, і веде її до виконання певних дій.

На платформах YouTube, Twitter і Telegram можна побачити різноманітні варіанти шахрайських повідомлень, але їхній основний меседж майже однаковий — обіцяють надати приватний ключ або мнемонічний фразу, стверджуючи, що користувач може миттєво отримати доступ до гаманця.

Особливо поширені такі схеми у мережі Tron. Деякі складні шахрайські схеми намагаються обдурити користувачів, щоб ті додали зловмисника до спільних власників гаманця. Отримавши контроль, шахраї можуть блокувати кошти або навіть безпосередньо красти їх. Такі шахрайства часто пов’язані з фішингом або підробкою особистості, коли зловмисники видають себе за довірених службовців підтримки.

Найбільш поширені жорсткі шахрайські схеми — це коли шахраї спонукають користувачів надсилати криптовалюту на мультипідписний гаманець для оплати комісії. Це досить проста пастка, яка ефективно обманює тих, хто поспішає «заробити гроші».

Практичний приклад — шахрайство з SafePal

Щоб показати, як працює таке шахрайство, розглянемо конкретний випадок. Зловмисник розгорнув у мережі Tron мультипідписний гаманець із 2022 USDT (стабільна монета, випущена за стандартом TRC-20).

Користувач, встановивши розширення SafePal і імпортуючи гаманець за допомогою мнемонічної фрази, отриманої від шахрая, справді бачить ці USDT. Але ключовий момент у тому, що у гаманці немає достатньо TRX (токен для оплати комісій у мережі Tron).

Саме цього й чекає шахрай. Жадібний жертва, побачивши багато USDT, поспішає надіслати TRX для оплати комісії. Але швидко стикається з жорсткою реальністю: оскільки це мультипідписний гаманець, для підписання транзакції потрібно кілька приватних ключів, і він не може переказати кошти. В результаті, він втрачає TRX, які використовував для оплати.

Щаслива новина — у таких шахрайствах збитки зазвичай обмежені: користувачі втрачають лише плату за транзакцію, а не весь баланс. Але це все одно гіркий урок.

Перевірка у блокчейні — розпізнаємо шахраїв

Прозорість блокчейну — потужний інструмент для виявлення шахрайства. За допомогою таких сервісів, як TronScan, можна досліджувати будь-який гаманець і дізнатися правду.

Знаходячись у пошуку адреси шахрая з попереднього прикладу, можна побачити цікаву структуру — цей гаманець фактично контролюється іншим адресом. Це типовий випадок мультипідписних гаманців у Tron: справжній контроль належить «власнику», а адреса, яку використовують для заманювання жертв, — лише марионетка.

Мультипідписні гаманці Tron можна налаштовувати різними способами, і права доступу до них можна розподіляти між кількома адресами. У шахрайських схемах головний контроль належить одному «власнику», а адреса, що залучена для обману, має обмежені можливості. Такий розподіл прав залишається непомітним для користувачів до моменту спроби переказу коштів.

7 головних порад — як захистити мультипідписний гаманець

Після ознайомлення з шахрайськими схемами стає зрозуміло, що захист — цілком можлива задача. Ось основні рекомендації для безпеки мультипідписних гаманців:

Перша порада: зберігайте приватні ключі та мнемонічні фрази у таємниці

Жодна легальна компанія, постачальник гаманців або біржа не запитуватиме у вас приватний ключ або мнемонічну фразу. Зберігайте ці дані у безпечному місці і ніколи не діліться ними з іншими. Якщо хтось просить у вас цю інформацію, незалежно від того, хто він — негайно будьте обережні.

Друга порада: користуйтеся лише офіційними додатками

Завантажуйте гаманці та додатки лише з офіційних джерел. На ринку багато підробок криптогаманців і платформ, тому перед встановленням перевіряйте посилання і підтверджуйте справжність додатку. Перевіряйте рейтинги в магазинах, офіційні сайти та авторство розробників.

Третя порада: регулярно перевіряйте дозволи гаманця

Власники мультипідписних гаманців мають звикнути періодично переглядати, хто має доступ до їхнього кошика. Більшість гаманців дозволяють у налаштуваннях переглядати список дозволених адрес. У разі виявлення підозрілих або незнайомих — негайно видаляйте їх. Також слід відкликати дозволи у тих додатків DeFi, які вже не використовуєте.

Четверта порада: використовуйте апаратний гаманець

Апаратний гаманець — це фізичний пристрій для зберігання цифрових активів у офлайн-режимі. Навіть якщо зловмисник зуміє зламати ваш мультипідписний налаштування, без фізичного підтвердження на апаратному пристрої він не зможе переказати кошти. Це додатковий рівень захисту.

П’ята порада: активуйте двофакторну аутентифікацію (2FA)

Більшість сервісів і платформ пропонують 2FA. Навіть якщо ваш пароль буде скомпрометований, ефективний 2FA запобігатиме несанкціонованому доступу. Обирайте додатки-автентифікатори (Google Authenticator або аналогічні), а не SMS — оскільки повідомлення легко перехопити.

Шоста порада: слідкуйте за новинами у сфері безпеки

Безпека у криптовалютах — постійно розвивається. Нові схеми шахрайств і атаки з’являються регулярно, тому важливо бути в курсі останніх новин і рекомендацій. Слідкуйте за офіційними повідомленнями, долучайтеся до спільнот безпеки, підписуйтеся на авторитетні блоги.

Сьома порада: звертайте увагу на сигнали тривоги

Розпізнати, чи є гаманець мультипідписним, не завжди просто. Але з ростом кількості шахрайств багато сервісів додали функції попереджень. SafePal і Trust Wallet, наприклад, можуть попередити користувача, що гаманець потенційно ризикований або його кошти заблоковані. Такі сигнали — важливий інструмент безпеки, їх не можна ігнорувати.

Остаточне попередження — дві сторони мультипідписного гаманця

Мультипідписний гаманець — це чудовий інноваційний інструмент безпеки, що дає змогу колективно приймати рішення і додатково захищати активи. Але, як і будь-який потужний інструмент, він може бути зловживаний злочинцями.

Зловмисники використовують не недоліки самої технології, а людські слабкості — жадібність і незнання. Від фішингу до пасток із комісіями — усі ці схеми базуються на інформаційній нерівності.

Найкращий спосіб захистити себе — бути пильним, зберігати конфіденційність, регулярно перевіряти налаштування і підвищувати свою обізнаність у безпеці. Бережіть приватні ключі, контролюйте дозволи, перед натисканням на підозрілі посилання або переказами — подумайте двічі. За допомогою цих заходів ви зможете безпечно користуватися мультипідписними гаманцями і ефективно уникати шахрайських схем.