Trust Wallet: как люди теряют деньги и никто ничего не … — Transcript

Видео о причинах потери денег в Trust Wallet, разоблачение мошенничества и советы по безопасности криптокошелька.

Key Takeaways

  • Пользователи должны быть внимательны и проверять адреса смарт-контрактов токенов.
  • Никогда не доверять сообщениям от якобы техподдержки, которые пишут первыми.
  • Использование аппаратных кошельков значительно повышает безопасность средств.
  • Trust Wallet улучшил защиту, но мошенники продолжают находить новые способы атак.
  • Импорт чужих сид-фраз — это ловушка мошенников, которая ведет к потере средств.

Summary

  • Trust Wallet — популярный некостодиальный криптокошелёк с 200 млн пользователей, но с низким рейтингом на Trustpilot.
  • Проблемы с потерей средств связаны как с ошибками пользователей, так и с уязвимостями интерфейса и мошенническими схемами.
  • Мошенники используют социальную инженерию, фейковые каналы поддержки и поддельные токены для кражи средств.
  • Trust Wallet не предупреждает пользователей о том, что официальная поддержка никогда не пишет первой и не имеет верифицированных каналов внутри приложения.
  • Пример с поддельным USDT токеном, который визуально неотличим от оригинала, но стоит ноль, показал уязвимость кошелька.
  • Trust Wallet исправил проблему с отображением цены фейковых токенов только спустя несколько месяцев после инцидента.
  • Опасность мультиподписных и 'рабских' адресов, которые могут блокировать доступ к средствам даже при наличии приватного ключа.
  • Предупреждение не импортировать чужие сид-фразы, так как это ловушка мошенников.
  • Встроенная защита Trust Wallet от вредоносных сайтов работает не идеально — есть возможность обхода предупреждений.
  • Рекомендации по использованию аппаратных кошельков для надежного хранения криптовалюты.

Full Transcript — Download SRT & Markdown

00:03
Speaker A
Мне почти каждый день пишут люди, которые потеряли деньги через криптокошелёк Trust Wallet.
00:21
Speaker A
У кого-то зависли средства, у кого-то пропал доступ, а у кого-то активы просто исчезли.
00:41
Speaker A
Почему это происходит? Это ошибка на стороне пользователя или кошелька. И проблема намного масштабнее,
00:58
Speaker A
чем может казаться на первый взгляд. Trust Wallet — один из самых популярных некостодиальных кошельков в мире.
01:18
Speaker A
У него около 200 млн пользователей. Это больше, чем население России. Однако при такой огромной аудитории отрасль валит крайне низкий рейтинг на платформе отзывов
01:37
Speaker A
Trustpilot — 1,7 из пяти. И если посмотреть отзывы, там снова и снова повторяется один и тот же сюжет:
01:45
Speaker A
Потерял деньги, техподдержка не помогла, кошелёк ни о чём не предупредил и так далее. И дело не только в том, что кошелёк
02:05
Speaker A
плохой. Здесь работает другая логика. Чем популярнее продукт, тем чаще именно его атакуют.
02:22
Speaker A
Это как с Windows. Его взламывают чаще не потому, что он обязательно хуже, а потому, что этой операционной системой, в отличие от MacOS и Linux, пользуется почти 70%
02:35
Speaker A
земного шара. То же самое и с Trust Wallet. Огромная аудитория означает, что мошенники отлично знают его интерфейс, понимают, как действуют пользователи, и используют слабые места там, где люди меньше всего ждут опасности. В этом ролике мы разберём три уровня потери
02:56
Speaker A
денег в Trust Wallet. Первый — когда ошибку допускает сам пользователь, а кошелёк никак не помогает её избежать.
03:15
Speaker A
Второй — когда сам интерфейс или логика кошелька подталкивает человека к неправильному действию. И третий, самый тревожный, когда пользователь вообще ничего не делал, а деньги всё равно потерял. Если хотите, чтобы меньше людей теряли деньги через Trust Wallet, поставьте лайк и поделитесь этим
03:35
Speaker A
роликом. Для вас это секунда, а для кого-то это может сохранить капитал. А мы начинаем с самого распространённого — с ошибок пользователей,
03:49
Speaker A
или почему в критический момент кошелёк оказывается не на вашей стороне.
04:04
Speaker A
Задокументированный случай с официального форума Trust Wallet, где пользователь столкнулся с проблемой в кошельке. Он написал о своей проблеме в форме. Через несколько минут письмо на почту: проблема в вашем кошельке.
04:25
Speaker A
Напишите мне в Telegram для дополнительной помощи. Отправитель — Trust Wallet Support. Далее, путём социальной инженерии и специальных уловок мошенник скамет пользователя. Где-то это может быть простая атака, направленная на то, чтобы узнать эту фразу пользователя, а где-то способ разблокировки активов. И
04:47
Speaker A
таких жалоб десятки. Повторяется всегда один и тот же паттерн: человек обратился за помощью, получил помощь и потерял деньги. Почему это работает? Trust Wallet не показывает никакого предупреждения в самом приложении о том, что официальная поддержка никогда не напишет первой. Нет
05:07
Speaker A
баннера, нет уведомления, нет верифицированного списка официальных Telegram-каналов внутри приложения. Более того, буквально пару дней назад, это было 1 апреля, один из авторитетных экспертов по веб-безопасности и расследованиям ZK XBT опубликовал у себя сообщение, что ссылка на Discord Trust
05:29
Speaker A
Wallet была взломана и сейчас ведёт на фишинговый сервер. Помните, любой, кто напишет вам первым и представится техподдержкой Trust Wallet — это мошенник. Официальная поддержка работает только через support.trustwallet.com.
05:38
Speaker A
trustwallet.com. А ещё вам может прийти поддельный USDT. Разберём на примере случая, который произошёл в январе этого года. Жертва по имени Николай продавал Telegram-канал.
05:52
Speaker A
Покупатель перевёл оплату. На экране AS Wallet появилось уведомление плюс 20.019 USDT. Иконка Tezer, актуальный курс, сумма 20.000 долларов. Сделка прошла, канал передан. Через 2 дня Николай попытался вывести деньги, обнаружил, что токен стоит ноль. Как оказалось, мошенник за 10 минут создал SPL токен в
06:00
Speaker A
сети Solana. Имя Tezer USD, символ USDT, иконка оригинальная. Trust Wallet подтягивал рыночную цену любого токена символом USDT без проверки контрактного адреса. Разница между фейком и оригиналом только в самом адресе. Это сорокачетырёхсимвольная строка, которую никто не смотрит. Мало кто знает, что
06:18
Speaker A
официальный адрес смарт-контракта USDT в сети Solana выглядит вот так. Адрес фейкового токена — любой другой. Увидеть разницу можно только через четыре клика в глубь интерфейса. Э кошелёк об этом, естественно, не предупреждает. И наша команда воспроизвела ту же схему, создали идентичный токен, отправили на
06:36
Speaker A
Trust Wallet, пришло уведомление плюс 20.000 USDT, но баланс показал 0 долларов. Trust Wallet перестал подтягивать цену для неверифицированных токенов. Теперь кошелёк сверяет контрактный адрес с реестром, прежде чем отображать стоимость. Пофиксили, отлично. Но Николай потерял деньги в январе. Патч вышел в марте. И, поверьте
06:48
Speaker A
мне, тема фейковых токенов на этом не закончилась. Мошенники находят способы провернуть эту атаку снова и снова.
07:00
Speaker A
Отсюда совет: проверяйте адрес смарт-контракта токена USDT или USDC. Или можете заранее завести эти токены, чтобы вовремя отличить оригинал от подделки.
07:19
Speaker A
Эта атака применима не только к Trust Wallet. Однако, как я говорю часто, мошенники прикрываются громкими именами.
07:44
Speaker A
Или же на форумах, чатах или даже в YouTube комментариях появляется сообщение: "Помогите, у меня проблема с кошельком". Вот сид-фраза, в кошельке реальные деньги, несколько сотен или даже тысяч USD, которые также видны в блокчейне. Далее пользователь импортирует всю эту фразу, видит баланс,
08:01
Speaker A
деньги там, пытается вывести, не хватает TRX на газ, отправляет свои TRX, но мгновенно эти деньги улетают на адрес мошенника, а баланс кошелька остаётся нетронутым. А всё дело в том, что этот адрес является рабом у другого адреса. И это действительно так: у него нет прав
08:20
Speaker A
совершать транзакции, он полностью подчиняется другому адресу. И вот один из таких адресов у меня открыт в обозревателе. Посмотрите на этот адрес.
08:41
Speaker A
Окончание KZC, да, KZC. И здесь даже есть предупреждение, что этот адрес полностью является рабом вот этого адреса UK5UK5.
08:49
Speaker A
То есть, если средства попадут на этот адрес, то даже владелец приватного ключа или сид-фразы, который генерирует именно этот адрес, не сможет ничего сделать, потому что в разделе Permissions указано, кто является реальным владельцем этого адреса. Деньги
09:04
Speaker A
видно, вывести без подписи настоящего владельца нельзя. Trust Wallet отображает такой кошелёк без единого предупреждения о нескольких владельцах. Тронлинк показывает статус мультисиг. Явно Касперский зафиксировал сотни таких активных honeypot адресов. Помните, никто в интернете случайно не публикует сид-фразу с реальными деньгами. Если вы
09:15
Speaker A
видите чужую сид-фразу, это приманка. Ни в коем случае не импортируйте её в кошелёк. И теперь давайте перейдём к случаю, когда мы действуем в рамках обычной логики, оплатим за это всем балансом. Кстати, а если вы хотите приобрести тот кошелёк, который позволит
09:33
Speaker A
вам хранить деньги безопасно и на длинной дистанции, то вы можете воспользоваться нашим магазином SunScript. У нас представлены проверенные временем аппаратные кошельки. Это холодное хранение. Это самое-самое безопасное, что может быть на рынке. У нас есть шоурум, у нас есть техническая
09:56
Speaker A
поддержка, у нас есть гарантия. Заходите к нам в гости. Мы зашли в браузер Trust Wallet на вредоносный сайт, который занесён в базу мошеннических адресов. Trust Wallet встретил нас полноэкранным предупреждением: огромный красный крест, жирный текст. Внимание, вы можете потерять все свои токены. Зелёная кнопка
10:04
Speaker A
прервать, вернуться. И выглядит это всё убедительно. Кажется, защита работает. Но есть маленькая красная ссылка снизу:
10:22
Speaker A
Продолжить без создания. Нажимаем, и мы попадаем на этот вредоносный сайт. Подключаем кошелёк. Trust Wallet снова предупреждает с высоким уровнем риска. Нажимаем connect. Сайт просит подписать контракт.
10:42
Speaker A
Позиционирует как оплати газ и получи крипту. В Trust Wallet открывается экран подтверждения: актив — эфириум, название приложения, комиссия сети 0,27 центов.
11:05
Speaker A
Больше ничего, никаких деталей, что именно подписывается, кнопка "Пополнить эфир". Будь вы новичком, вы бы уже прошли два предупреждения и думали, что самое страшное позади. Теперь просто оплатить 27 центов.
11:16
Speaker A
Распространённое заблуждение. У тебя три кошелька в Trust Wallet, и ты думаешь, что одна сет-фраза покрывает все три.
11:24
Speaker A
Это не так. Каждый отдельно созданный кошелёк имеет собственную фразу. Trust Wallet не акцентирует это явно. Мы проверили сами. Вот что происходит.
11:35
Speaker A
Создаёшь первый кошелёк, на главном экране висит баннер. Создайте резервную копию. Можно не заметить, баннерная слепота, и он выглядит не так, будто это что-то важно. Создаём резервную копию для первого кошелька, баннер исчезает.
11:49
Speaker A
Создаём второй кошелёк. Делаем резервную копию. Баннер снова исчезает. Если мы создадим третий кошелёк, не создадим резервную копию и находясь на первом или на втором кошельке, видим чистый экран без единого предупреждения, потому что у активного кошелька резервная копия есть,
12:08
Speaker A
у третьего нет, но мы об этом не знаем. Именно так происходит потеря. Человек создаёт несколько кошельков, делает резервную копию первого и теряет доступ ко всем остальным. И именно это произошло с одним из наших пользователей в рэбе. Создание сит-фразы - это первый
12:27
Speaker A
шаг до создания самого кошелька. Сначала мы записываем саму фразу, подтверждаем её, что записали, и только потом кошелёк создаётся, и мы начинаем им пользоваться. Невозможно создать кошелёк без резервной копии. В Trust Wallet возможно. Это очень-очень важно. После создания каждого нового кошелька вст
12:47
Speaker A
Wallet убедитесь и запишите отдельную сит-фразу. У вас может быть несколько кошельков, и у каждого своя сит-фраза.
12:59
Speaker A
Мошенник отправляет вам микроперевод, несколько центов с адреса, который начинается и заканчивается также, как адрес, с которого мы уже отправляли, с которым мы работали. Мы видим адрес в истории транзакции. копируем его и отправляем деньги мошеннику. Trust Wallet годами отображал такие
13:19
Speaker A
отравленные адреса, а, и отравленные транзакции, как обычные, без единого предупреждения. И я, на самом деле, рассказывал про Такл с отравлением в своём ролике. Обязательно посмотрите этот ролик. И 10 марта двадцать шестого года Trust Wallet выпустил адрес Poisoning Protection, да, система,
13:39
Speaker A
которая использует базы данных, а, которые показывают оба адреса и подсвечивают, где символы отличаются. Звучит как решение. Мы проверили Trust Wallet без единого предупреждения. Нлин на той же сети предупреждение есть.
13:56
Speaker A
Оказывается, Patch покрывает только 32 EVM совместимых сети. Эфириум, BNB Chain, Полигон и так далее. Трон из Салана в планах, дата не объявлена. При этом большинство пользователей и Trustallet работают именно с USDT на TRC20, то есть на блокчейнет. Именно там
14:15
Speaker A
происходит большая часть атак. Именно там до сих пор нет защиты. Всегда проверяйте адрес полностью, не только начало и конец. Используйте адресную книгу, не копирование из истории транзакций.
14:30
Speaker A
24 декабря двадцать пятого года несколько сотен пользователей Trust Wallet просто открыли кошелёк, не кликали на фишинг, не давали сет-фразу, не подтверждали подозрительные транзакции, просто открыли кошелёк и потеряли всё. Механика. Хакер получил утечку апи ключа в Chrome Web Store.
14:50
Speaker A
Через официальный канал загрузил версию расширения 268 с вредоносным кодом. И модифицированная библиотека перехватывала сит-фразы при каждой разблокировке и отправляла на сервер, зарегистрированный как раз в декабре двадцать пятого года, за 48 часов 7 млн долларов. Атаку первым обнаружил Ончейн
15:12
Speaker A
детектив ZК XBT 25 декабря. Поддержка пообещала полный возврат средств. По итогу пришло 5.000 заявок при а реальных 2.500 жертвах. Получается, что мошенники пытались получить чужие деньги. Трастолт несколько недель разбирал, кто настоящие жертвы. Жертвы должны были предоставить адрес атакующего, хэши транзакции,
15:35
Speaker A
подтверждение владения. То есть после того, как Трастол сам открыл дверь, пострадавшие ещё доказывали, что пострадали. По формам часть жертв до сих пор не получила компенсацию. И природа проблема здесь простая. Само предложение Trustwall для Android закрытый исходный код. Ядро приложения открыто на GitHub,
15:55
Speaker A
но это не то же самое, что само приложение. Например, би полностью открытый код можно скачать, скомпилировать и проверить. Trust Wallet нельзя. Именно закрытая архитектура означает, что никто снаружи не смог заранее обнаружить уязвимость. И здесь можно защититься следующим образом от
16:13
Speaker A
таких атак. При выходе любого обновления расширения trust wallet подождите деньва, неделю, проверьте redдиit, trust wet и официальные ресурсы, прежде чем обновляться.
16:28
Speaker A
Trust Wallet - это популярный инструмент, но в крипте нет банка, который отменит транзакцию. Нет страховки, нет регулятора, который защитит. Травалет никостадиальный, юридический, они не несут ответственности за наши с вами деньги.
16:43
Speaker A
Это не обвинение в их адрес, это просто правило игры, в которую мы играем. Безопасность - это наша ответственность, единственный момент, когда это можно исправить до того, как это произошло. У
Topics:Trust Walletкриптокошелекмошенничествобезопасность криптовалютфейковые токенысоциальная инженериясид-фразааппаратный кошелекмультисигфишинг

Frequently Asked Questions

Почему пользователи теряют деньги в Trust Wallet?

Потери происходят из-за ошибок пользователей, отсутствия предупреждений в интерфейсе, а также из-за мошеннических схем, использующих поддельные токены и социальную инженерию.

Как отличить поддельный токен USDT от настоящего в Trust Wallet?

Нужно проверять адрес смарт-контракта токена, так как визуально поддельные токены почти неотличимы, а кошелек не всегда предупреждает о подделках.

Как избежать мошенничества с сид-фразами и фейковой поддержкой Trust Wallet?

Никогда не импортируйте чужие сид-фразы и не отвечайте на сообщения от техподдержки, которые пишут первыми. Официальная поддержка работает только через support.trustwallet.com.

Get More with the Söz AI App

Transcribe recordings, audio files, and YouTube videos — with AI summaries, speaker detection, and unlimited transcriptions.

Or transcribe another YouTube video here →