Я пишу код кошельков и вижу три ошибки, на которых теряют криптоактивы чаще всего

Зачем читать

За восемь минут разберём три категории ошибок, на которые в 2025 году пришлась большая часть потерь криптоактивов у обычных пользователей, и под каждую получишь короткую защиту, которую можно вшить в свои привычки уже сегодня.

Это не "общие советы про безопасность", а три конкретные механики - как именно люди теряют деньги, и три конкретные привычки, которые их останавливают.

Кто я

Меня зовут Радмир, я разрабатываю Gem Wallet - open-source криптокошелёк, и за четыре с лишним года в индустрии вижу одно и то же: люди теряют криптоактивы почти всегда на одних и тех же ошибках. Не на падении рынка, не на взломах блокчейна, а на конкретных действиях, которые можно было не совершать.

В 2025 году только через скомпрометированные личные кошельки пострадали около 80 000 уникальных пользователей, общая сумма украденного по всем направлениям превысила 3,4 миллиарда долларов. Большая часть этих потерь укладывается ровно в три категории, которые я и собрал в этот гайд.

Ошибка 1. Социальная инженерия. Взлом человека, а не машины

Самая частая категория, и самая обидная. Деньги уходят добровольно, потому что мошенник убедил.

Сценарий выглядит обыденно. Человек заходит в публичный чат проекта, задаёт вопрос про кошелёк, и через минуту в личку пишет вежливый "администратор" с правильной аватаркой и почти правильным никнеймом. Дальше ласковая инструкция "пришлите seed-фразу для верификации", и кошелёк уже не твой.

Или другой сценарий, который особенно вырос в 2024-2025 годах. Тебе пишут в LinkedIn или в Telegram с предложением о работе или сотрудничестве, всё профессионально, без ошибок, с конкретикой про твой профиль. Предлагают созвониться через Google Meet, присылают ссылку. Ты переходишь, видишь привычный экран входа Google, вводишь логин и пароль, и через час биржевой аккаунт пуст, а в облаке найдены все скриншоты с фразами и паролями.

Третий сценарий - permit-фишинг. На красивом сайте просят подписать "сообщение" вместо транзакции. Подпись бесплатная, комиссии нет, всё кажется безопасным. На самом деле эта подпись даёт мошеннику право списать твои токены, и через день они уходят. Только в январе 2024 года через эту схему украли 55 миллионов долларов за один месяц.

Что делать прямо сейчас:

• Никогда не отвечай на личное сообщение от "поддержки" или "администратора". Настоящая поддержка не пишет первой и не просит мнемонику.
• Заходи на криптосервисы только через сохранённые закладки. Не через рекламу в поиске, не через ссылки из писем, не через ссылки из чатов.
• Никогда не вводи мнемонику на сайтах. Настоящий кошелёк никогда не попросит её через браузер.
• Если запрос на подпись содержит слова permit, spender, value, deadline - это разрешение на доступ к твоим токенам. Читай внимательно, не подписывай вслепую.
• Для видеозвонков используй только официальные сервисы - meet.google.com, Zoom, Teams. Никакие "новые удобные приложения для звонка" не качай.

В моём открытом руководстве "Криптовалюты. Для осознанного безопасного пользования" под эту категорию выделено сразу несколько глав, в которых я разбираю реальные домены подделок (g00gle-meet.com и подобные), пошагово показываю как отличить настоящую страницу Google от фейковой, и подробно расписываю свежие схемы 2024-2025 годов с фейковыми собеседованиями.

Ошибка 2. Неправильное хранение мнемоники и ключей

Если первая категория - это про "у меня украли", то вторая чаще звучит как "я сам не понимаю, как они попали в кошелёк". А попали обычно через бэкап.

Самые типичные места, где мнемоника не должна храниться никогда: заметки на телефоне, скриншот в Google Photos или iCloud, переписка в мессенджере "сам себе", любая облачная синхронизация. Если злоумышленник получит доступ к твоему почтовому аккаунту или облачному хранилищу - а это случается чаще, чем кажется, - он автоматически получит мнемонику.

Менее очевидная утечка - через клавиатуру. Современные клавиатуры вроде Gboard или SwiftKey "учатся" словам, которые ты вводишь, и синхронизируют этот словарь в облако для удобства. Когда ты восстанавливал кошелёк и вводил seed-фразу, клавиатура запомнила все 12 или 24 слова. Они теперь в облачном словаре твоего аккаунта Google или Microsoft. Даже если ты удалил кошелёк с телефона, эти слова продолжат подсказываться при наборе текста, и любое вредоносное приложение или скомпрометированный аккаунт открывает к ним доступ.

Отдельная история - рутованные и джейлбрейкнутые устройства. Снятые ограничения системы означают, что любое приложение с повышенными правами может прочитать данные, которые в обычном устройстве защищены. Для криптокошелька это критично.

Что делать прямо сейчас:

• Мнемонику храним только в одном из четырёх безопасных мест: на бумаге в надёжном физическом месте, на металлической пластине, в аппаратном кошельке (Tangem, Trezor, Ledger), либо в зашифрованном менеджере паролей вроде 1Password, Bitwarden или Apple Passwords.
• Никаких заметок, скриншотов, мессенджеров, облачных бэкапов, Google Photos, Google Keep.
• Если хоть раз вводил seed-фразу с клавиатуры, зайди в её настройки и удали выученные слова, отключи синхронизацию словаря в облако.
• Не используй для криптокошелька рутованное или джейлбрейкнутое устройство. Если такое устройство уже есть - заведи отдельное чистое для крипты.
• Для крупных сумм - аппаратный кошелёк, для активных операций - отдельный мобильный кошелёк, для DeFi - третий, экспериментальный.

В моём руководстве отдельная глава посвящена тому, как настроить менеджер паролей именно под мнемонику, чтобы она хранилась удобно и при этом без рисков. Там же глава про подготовку устройства, в которой я как разработчик кошелька рассказываю, какие настройки реально влияют на безопасность, а какие - просто пыль в глаза.

Ошибка 3. Отправил не на тот адрес или не в ту сеть

Эту категорию люди недооценивают. Кажется, что "ну я же копирую адрес, что тут может пойти не так". Очень многое.

В декабре 2025 года один пользователь потерял 50 миллионов USDT. Не из-за взлома, не из-за фишингового сайта. Он скопировал адрес получателя из своей же истории транзакций, проверил начало и конец адреса - всё совпало, отправил, и деньги ушли мошеннику. У мошенника был сгенерирован адрес с такими же первыми и последними символами, как у настоящего получателя, разница только в середине. А кошельки и эксплореры по умолчанию показывают адрес сокращённо: первые шесть символов, многоточие, последние четыре. Середину не видно.

Эта атака называется "отравление адресов". Мошенник отправляет тебе нулевую транзакцию с адреса-двойника, чтобы засорить твою историю транзакций. Ты этот адрес даже не заметил, а в следующий раз можешь машинально его скопировать вместо настоящего.

Отдельный пласт ошибок - не та сеть и не тот токен. USDT в Ethereum, USDT в Tron, USDT в BNB Chain - это три разных токена в трёх разных сетях, у каждого свой смарт-контракт. Перед отправкой важно понимать что именно ты отправляешь и в какую сеть, особенно если активов много и сети у них разные. Если перепутать, в лучшем случае биржа или кошелёк отклонит перевод, в худшем токены окажутся не там где ты ждёшь, и вытаскивать их придётся через поддержку, а это бывает долго и не всегда успешно.

И ещё одна ловушка - покупка биткоина у незнакомца через P2P. Покупатель отправляет тебе bitcoin, ты видишь входящую транзакцию со статусом "ожидает подтверждения", есть и txid, и сумма, и твой адрес как получатель. Всё выглядит легитимно. Ты переводишь свой товар или фиат - и через час эта транзакция просто исчезает, потому что отправитель её заменил на другую с той же входной монетой, но с другим получателем (механика называется RBF, Replace-By-Fee). Деньги вернулись к нему, ты остался ни с чем.

Что делать прямо сейчас:

• Никогда не копируй адрес получателя из истории транзакций. Бери его из защищённого канала связи (личное сообщение от проверенного контакта, официальный сайт, адресная книга кошелька).
• Перед крупным переводом отправь тестовую сумму в долларе-двух. Подожди, пока получатель её увидит, и только потом отправляй основную сумму.
• Проверяй адрес целиком, не только первые и последние символы. Это занимает 10 секунд, потеря - месяцы нервов.
• Перед отправкой проверяй сеть. USDT в Ethereum, USDT в Tron, USDT в BNB Chain - это три разных токена в трёх разных сетях. Адрес из одной сети в другой не работает.
• В Bitcoin не считай оплату полученной, пока транзакция не получила хотя бы одно подтверждение в блоке. Pending - это намерение, а не получение.

В руководстве отдельная глава разбирает отравление адресов на конкретных примерах, и отдельная глава учит читать блокчейн-эксплорер, чтобы ты мог за минуту убедиться, что транзакция действительно прошла, а не висит в pending.

Что делать дальше

Эти три категории закрывают подавляющее большинство ситуаций, в которых обычные пользователи теряют криптоактивы. Если хочешь системно разобраться со всем, что происходит вокруг защиты, открой моё бесплатное руководство "Криптовалюты. Для осознанного безопасного пользования". В нём 6 разделов и 43 главы, и из них 12 целиком посвящены безопасности - это самый большой раздел руководства. Каждая глава - это конкретная ловушка с подробной защитой, написано текстом со скриншотами реальных интерфейсов, без часовых видео и воды.

Ещё кейсы из 2024-2025

• 3,4 миллиарда долларов украдено в крипте за 2025 год по данным Chainalysis, из них 1,5 миллиарда - в одном февральском взломе биржи Bybit.
• 158 000 личных кошельков скомпрометированы в 2025 году, около 80 000 уникальных пользователей пострадали.
• 65,4 миллиона транзакций отравления адресов зафиксировано за 2025 год, в среднем 160 000 попыток в день. По оценкам, примерно 1 из 200 попыток заканчивается тем, что человек реально отправляет деньги на адрес-двойник.
• 80 миллионов долларов унесла одна кампания отравления адресов в 2024 году, мошенники сгенерировали в ней более 80 000 поддельных адресов-двойников.
• Sweeper-боты, которые крадут любой ETH мгновенно после поступления на скомпрометированный кошелёк, и поэтому пытаться "оживить" такой кошелёк бесполезно.

Если хочешь идти быстрее. Личное сопровождение

Гайд и руководство дают тебе систему. Но у каждого есть своя ситуация - свои кошельки, свой портфель, свои привычки, свои уже совершённые шаги, которые надо разобрать.

Если хочешь пройти эту базу быстрее и в живом диалоге, у меня есть личное сопровождение. Я отвечаю на твои вопросы в реальном времени, разбираю твою конкретную обстановку и помогаю довести защиту до состояния автоматизма, чтобы привычки начали работать без усилий.

Дисклеймер

Этот гайд носит исключительно информационно-образовательный характер. Содержание не является индивидуальной инвестиционной рекомендацией. Любые упоминания конкретных протоколов, сервисов или схем приведены в образовательных целях и не являются призывом к их использованию.

Работа с криптоактивами сопряжена с рисками, включая полную потерю средств. Я не несу ответственности за финансовые решения и действия, принятые на основе этого материала. Перед любыми операциями с криптоактивами проводи собственное исследование (DYOR, Do Your Own Research).