Фишинг в крипто-контексте — это практика имперсонации доверенной стороны — поддержки биржи, поставщика кошелька, знакомого KOL, даже друга — чтобы обмануть цель совершить действие, которое они иначе не предприняли бы. До 2017 года фишинг означал "украсть ваш пароль". После 2020 фишинг означает "заставить вас подписать одну плохую транзакцию" — и подписанные транзакции, в отличие от паролей, не могут быть сброшены.
Основные категории в 2026
Approval-фишинг. Фейковая страница "claim airdrop" или "verify wallet" запрашивает подпись setApprovalForAll, передавая custody всех NFT или токенов того адреса злоумышленнику. Злоумышленник дренит активы на досуге, иногда через недели, когда они думают, что пользователь забыл. Inferno Drainer и Pink Drainer превратили это в коммерческие drainer-as-a-service киты, доступные на дарк-форумах за $50/месяц плюс процент от украденных средств.
Permit / Permit2 фишинг. EIP-2612 и Permit2 Uniswap позволяют off-chain signature-based approval. Пользователь подписывает typed-сообщение; злоумышленник использует подпись, чтобы дренить кошелёк. Подпись выглядит как бессмысленная строка в UI кошелька; последствия эквивалентны передаче приватного ключа для этого токена.
Фишинг имперсонации поддержки. Telegram или Discord DM от "Bybit Support", "OKX Security", "WhiteBIT команды". Питч правдоподобен: с вашим аккаунтом проблема, нажмите здесь, чтобы верифицировать. Ссылка ведёт к клону реальной биржи, который захватывает учётные данные и 2FA-коды одновременно. Особенно распространено в РФ через @Bybit_Support_RU, @OKX_Help_Officia1 и подобные ники с подменой букв.
SIM-swap-enabled захват аккаунта. Комбинируется с фишинговой таксономией, потому что пост-захват шаг всегда включает социальную инженерию: однажды у злоумышленника есть номер телефона, они сбрасывают пароли биржи и обходят SMS-based 2FA.
Что реально ловит людей в 2026
Самый распространённый вектор атаки по долларовому объёму — фишинг подписи permit-стиля. Пользователь не видит явно вредоносно выглядящую транзакцию; они видят запрос структурированной подписи, который, если принят, даёт злоумышленнику постоянные права передачи USDC, USDT, WETH или stETH по тому адресу. Drainer обычно ждёт 24-72 часа перед нажатием спускового крючка, поэтому пользователь не связывает подпись с потерей.
Защита: читайте каждую off-chain подпись с той же строгостью, с которой читаете on-chain транзакцию. Display EIP-712 подписи в Rabby и современных прошивках аппаратных кошельков делает это читаемым; более старый display "raw hash" нет.
Разница аппаратного кошелька
Аппаратные кошельки не предотвращают фишинг — они подписывают всё, что вы им скажете — но замедляют достаточно, чтобы внимательные пользователи поймали. Ledger Stax или Trezor Safe 5 отображают адрес назначения и сумму на экране, который хост-компьютер не может подменить. Если отображённый адрес не совпадает с тем, что dApp утверждает, вы отменяете.
Дисциплина: никогда не одобряйте транзакцию без чтения экрана устройства. Шаг подтверждения транзакции на аппаратном кошельке существует именно для этой цели.
Российские статистики 2025-2026
По данным Касперского, потери россиян от крипто-фишинга в 2024 году составили примерно $180 миллионов. Около 80% этого пришло от approval и permit-стиль атак; остаток — от фишинга учётных данных и прямых трансферов активов. Особый всплеск в Q3 2024 года был связан с волной фейковых "Garantex разблокировка" сайтов после санкций OFAC.
Дополнительное чтение: Атлас фишинга 2026, setApprovalForAll, EIP-2612 Permit, revoke.cash.