Урок 6: Обережно, шахраї!

Що розуміють під «скамом» у криптоіндустрії?

Зловмисники часто використовують криптовалюту як засіб оплати в схемах на кшталт «романтичного» шахрайства або фішингу. Однак у блокчейн-індустрії сформувалося своєрідне розуміння «скаму».

Зазвичай цей термін використовують для позначення проєкту або інструменту, який з якоїсь причини припинив виконувати свої зобов’язання перед власниками. Наприклад, якщо розробники привласнили інвестиції та купили на них щось на кшталт яхти або особняка, після чого зникли.

Однак у цю категорію можуть потрапити й інші дії, націлені на заволодіння чужими активами. Особливість криптоспільноти в тому, що її учасники часто застосовують цей термін до чесних проєктів і ринку загалом, якщо втрачають гроші через волатильність активів.

Конкретних методів «заскамити» користувачів безліч, і деякі ми розглянемо докладніше. Але спочатку трохи історії.

Фінансове шахрайство — це не феномен крипторинку. Випадки обману інвесторів для власного збагачення з’явилися задовго до створення біткоїна і характерні для більшості країн. Ось лише кілька відомих прикладів:

• чарівна країна Пояїс. У 1822 році шотландець на ім’я Грегор МакГрегор загітував британців інвестувати в країну, якої насправді не існувало. Він оголосив себе принцом вигаданої держави Пояїс і розгорнув широку рекламну кампанію, кінцевою метою якої був продаж облігацій Пояїса жителям Великої Британії. У перерахунку на сучасний курс долара США хитрий шотландець збагатився за рахунок вкладників на $32 млн;
• Bernard L. Madoff Investment Securities LLC. Бернард Мейдофф — американський фінансист і один із найактивніших учасників ранньої біржі Nasdaq. Він створив інвестиційний фонд, якому вдалося залучити $65 млрд інвестицій, але виявилося, що за ширмою структури ховається найбільша у світі фінансова піраміда.
• «МММ». Про Сергія Мавроді та його проєкт «МММ», заснований у 1990-х роках, багато хто з нас чув від батьків, а дехто й пережив особисто. Ця схема вирізняється продуманою економічною моделлю, що провокує жадібність і ажіотаж серед інвесторів.

Перераховані вище історії трапилися в різних країнах і в різний час, але в їхній основі лежить одна й та сама схема — продаж інвесторам активу без реального прибутку або цінності. Мейдофф виплачував своїм вкладникам високі річні відсотки за рахунок нових коштів нових «клієнтів», МММ поширювала «сувенірні» квитки, курсом яких повністю керувала компанія, ну а Пояїс був просто міфом.

У криптоіндустрії подібних випадків набагато більше. Деякі з них, наприклад FTX, перевершують за масштабом багато скандалів традиційних фінансів, інші, на кшталт шахрайських токенів, орієнтовані на отримання невеликого, але швидкого прибутку за рахунок вкладників. При цьому шахраї регулярно придумують нові способи обману або запозичують уже відомі схеми, адаптуючи їх під особливості блокчейн-індустрії.

Популярні шахрайські схеми

Найвідоміші випадки «скаму» на крипторинку належать до інвестиційного шахрайства. Його жертвами стають довірливі вкладники або покупці токенів, але загалом такі схеми відносно безпечні, оскільки їх можна уникнути за допомогою ретельного аналізу інструменту, проєкту і спілкування з командою або спільнотою.

Новачки ж частіше втрачають свої активи через простіші методи скаму, орієнтовані на соціальну інженерію, шкідливий софт, а також слабке розуміння технічних особливостей блокчейна.

Щедрий розіграш

Поширений вид скаму, розрахований на довірливих користувачів соціальних мереж. Схема проста:

1. Шахраї створюють фейкову сторінку відомої особистості, наприклад, у Х (Twitter), і запускають від її імені трансляцію.
2. Глядачам пропонують відправити на певний гаманець певну кількість монет, обіцяючи натомість повернути набагато більше.

Відправлені на таку адресу токени вам уже не повернуть, а через децентралізований характер блокчейна скаржитися на ці гаманці або вимагати компенсації просто ні в кого.

Більш небезпечні випадки, коли хакери отримують доступ до реальної сторінки відомої особистості або проєкту. Від їхнього імені вони публікують посилання на розіграші, дропи або іншу щедру винагороду. Ці посилання, як правило, ведуть на фішингові сайти, які автоматично спустошують підключені гаманці.

Congratulations, you win!

Схема набула поширення в X, Telegram і Discord. Її суть полягає в тому, що шахраї аналізують сторінки, які готуються до проведення продажу або розподілу токена, а потім пишуть учасникам від імені адміністраторів або представників проєкту.

Подібні повідомлення містять «щедру» пропозицію взяти участь у «закритому продажі» або повідомлення про перемогу в конкурсі, а також заклик до дії з подальшою інструкцією щодо отримання нагороди. Як правило, потрібно перевести стейблкоїни на певний гаманець або «заклеймити» нагороду на сайті зі зловмисним кодом.

Підроблені соціальні мережі

Наступний різновид скаму — фейкові чати, канали та блоги. Ця схема схожа на попередню, тільки тут шахраї створюють чати-клони. Працює це так:

1. Користувачі приєднуються до справжнього чату або сторінки проєкту.
2. Шахраї відстежують списки підписників та додають їх у канал-клон зі схожою назвою, контентом, а інколи й набором учасників.
3. У клоні публікують фейкову інформацію про продаж токенів або копіюють пости з офіційних джерел, підміняючи посилання або адреси смарт-контрактів.

Щоб захиститися від цього шахрайства, досить відключити в налаштуваннях конфіденційності дозвіл на додавання вашого облікового запису в групи і канали.

Як правило, що більший і відоміший проєкт, то більше в нього підроблених профілів, тому завжди звіряйте назви джерел і сайтів, а також посилання. Особливо якщо в повідомленнях є заклик до дії.

Підроблений смарт-контракт

Багато проєктів проводять перший запуск токена через децентралізовані торгові біржі (DEX) на кшталт Uniswap або PancakeSwap. Особливістю цих сервісів є те, що список доступних активів тут не регулюється, і кожен користувач може створити свій токен, пул ліквідності і почати торги. При цьому не існує обмежень за назвами й тікерами.

Суть схеми полягає в тому, що шахраї створюють підроблений пул ліквідності, наприклад, для торгової пари ETH/USDT. Ці токени в інтерфейсі застосунку не відрізняються від справжніх, але мають зовсім іншу адресу смарт-контракту, тож ETH у пулі може виявитися просто «фантиком», який нічого спільного зі справжнім Ethereum, крім назви, не має.

Захиститися від підроблених токенів можна тільки за допомогою верифікації смарт-контракту. Перевірити справжність адреси можна двома способами:

• якщо цей токен доступний на агрегаторах даних на кшталт CoinMarketCap або CoinGecko, то дані оригінального смарт-контракту можна знайти на цих сайтах;

• якщо ж активу немає в списку агрегатора даних, то знайти адресу справжнього смарт-контракту можна на інформаційних ресурсах проєкту, наприклад, на його сайті, сторінці в Х (Twitter), у Discord та інших джерелах.

Шукаючи інформацію самостійно, не забувайте про фейкові профілі та акаунти. Найнадійніший спосіб захистити себе — перевіряти соціальні мережі та сайт проєкту. Контактні дані та посилання мають збігатися в усіх джерелах.

Фішинг

Фішинг — один із найпоширеніших видів шахрайства в мережі. Його суть у тому, щоб перенаправити користувача на підроблений сайт або профіль, де він здійснить цільові дії, що надають скамерам доступ до активів або гаманця.

Для цього шахраї часто розсилають електронні листи від імені платформ і бірж, змінюючи кілька літер у поштовій адресі. Також вони можуть створювати сайти зі схожим доменним ім’ям, а потім поширювати посилання на них через форуми, соцмережі та блоги. Переходячи за цими посиланнями, користувач потрапляє на підроблену сторінку проєкту, де від нього можуть вимагати:

• підключити гаманець і надати доступ до активів;
• ввести seed-фразу або приватний ключ, що дасть змогу зловмиснику отримати доступ до гаманця;
• авторизуватися в обліковому записі, розкриваючи в такий спосіб персональні дані акаунта (наприклад, на біржі).

Щоб захиститися від фішингу, завжди перевіряйте доменні імена сайтів, на яких вводите свої дані. Також варто створити закладки для часто використовуваних ресурсів і встановити браузерне розширення, що попереджає про помилку або підміну адреси.

Вхідна транзакція

Іноді на ваш гаманець може прийти транзакція, про яку ви не знали. У деяких випадках це дійсно нагорода або розподіл токенів від проєктів, але частіше — ще одна шахрайська схема.

Найімовірніше, вам відправлять підроблені токени, які будуть «торгуватися» в пулі на DEX. При спробі здійснити обмін сервіс запросить доступ до активів, що зберігаються на гаманці, як це роблять справжні DeFi-додатки. Однак у випадку з шахраями гаманець спустошать.

Загалом, запит на доступ до активів під тим чи іншим приводом — найпоширеніший спосіб скаму. Багато користувачів не стикалися з подібним у звичайних цифрових гаманцях, тому одразу надають усі запитувані сервісом дозволи, включно з правом витрачати активи від імені власника.

Саме тому підключати гаманець до платформ і давати їм будь-які дозволи потрібно вкрай обережно. Якщо ви не довіряєте сервісу, то не варто з ним узагалі взаємодіяти і передавати будь-які дані. Перевірити список наданих дозволів і відкликати їх можна на сайті Revoke. Але важливо пам’ятати, що навіть у подібних сервісів існують фішинг-копії, під час взаємодії з якими можна втратити активи.

Як захиститися від скамерів

З розвитком DeFi-екосистеми і криптоіндустрії кількість і складність шахрайських схем тільки зростатиме, тому важливо дотримуватися базових правил для захисту активів і гаманця:

• якщо вам пропонують заробити без зусиль або просять надіслати кошти для отримання нагороди, то, найімовірніше, ви маєте справу з шахраєм;
• спілкування в особистих повідомленнях — ознака скаму. Представники проєктів, адміністратори чи розробники ніколи не пишуть у приватні повідомлення, особливо з «вигідними» пропозиціями;
• якщо з вами дійсно зв’яжеться представник проєкту, то, найімовірніше, він використовує для цього електронну пошту. Обов’язково порівняйте адресу відправника з офіційними контактними даними;
• завжди перевіряйте джерела та посилання. Проявляйте пильність під час взаємодії гаманця зі сторонніми сервісами та DeFi-додатками. Додайте посилання на потрібні платформи в закладки і використовуйте їх для входу;
• перевіряйте адресу смарт-контракту токена перед обміном на децентралізованих майданчиках, під час участі в токенсейлах, мінті NFT та інших операціях з маловідомими активами;
• токени, які шахраї надсилають на вашу адресу, зазвичай неможливо продати або обміняти. У разі спроби зробити це, ви скомпрометуєте свій гаманець і, найімовірніше, втратите кошти.

У міру набуття досвіду і накопичення депозиту користувачі починають застосовувати додаткові запобіжні заходи на кшталт апаратних гаманців, VPN і спеціальних розширень. Згодом ви зможете створити свою ефективну систему безпеки, не обмежуючись наведеними вище правилами.

Наступний урок буде присвячений одному з найважливіших етапів занурення в криптоіндустрію — вибору платформи для торгівлі цифровими активами. Ми розглянемо різні типи бірж, а також розповімо, за якими критеріями оцінювати торговельну платформу і на що звертати увагу під час вивчення сервісу.