Фішинг у крипто-контексті — це практика імперсонації довіреної сторони — підтримки біржі, постачальника гаманця, знайомого KOL, навіть друга — щоб обманути ціль вчинити дію, яку вони інакше не вчинили б. До 2017 року фішинг означав "вкрасти ваш пароль". Після 2020 фішинг означає "змусити вас підписати одну погану транзакцію" — і підписані транзакції, на відміну від паролів, не можуть бути скинуті.
Основні категорії в 2026
Approval-фішинг. Фейкова сторінка "claim airdrop" або "verify wallet" запитує підпис setApprovalForAll, передаючи custody всіх NFT або токенів тієї адреси зловмиснику. Зловмисник дренить активи на дозвіллі, іноді через тижні, коли вони думають, що користувач забув. Inferno Drainer і Pink Drainer перетворили це на комерційні drainer-as-a-service кити.
Permit / Permit2 фішинг. EIP-2612 і Permit2 Uniswap дозволяють off-chain signature-based approval. Користувач підписує typed-повідомлення; зловмисник використовує підпис, щоб дренити гаманець. Підпис виглядає як безглуздий рядок в UI гаманця; наслідки еквівалентні передачі приватного ключа для цього токена.
Фішинг імперсонації підтримки. Telegram або Discord DM від "WhiteBIT Support", "Bybit Security", "Trust Wallet команди". Особливо поширене в Україні через @WhiteBIT_Support_UA, @Bybit_Help_Ukraine та подібні ніки з підміною букв.
Воєнні шахрайські сценарії. Унікальна для України категорія: фейкові "волонтерські збори" в крипті, що копіюють дизайн "Повернись живим", "Сергій Притула. Благодійний фонд", "UNITED24". Шахраї встановлюють домени на кшталт savelife-fund.org, povernys-zhyvym.support, збирають USDT і ETH. Кіберполіція повідомила про 1 200+ таких доменів виявлених у 2024 році.
SIM-swap-enabled захоплення акаунта. Комбінується з фішинговою таксономією, тому що пост-захоплення крок завжди включає соціальну інженерію: одного разу у зловмисника є номер телефону, вони скидають паролі біржі і обходять SMS-based 2FA.
Що реально ловить людей в 2026
Найпоширеніший вектор атаки за доларовим обсягом — фішинг підпису permit-стилю. Користувач не бачить явно шкідливо виглядаючу транзакцію; вони бачать запит структурованого підпису, який, якщо прийнятий, дає зловмиснику постійні права передачі USDC, USDT, WETH або stETH за тією адресою. Drainer зазвичай чекає 24-72 години перед натисканням спускового гачка, щоб користувач не пов'язав підпис з втратою.
Захист: читайте кожен off-chain підпис з тією ж строгістю, з якою читаєте on-chain транзакцію.
Різниця апаратного гаманця
Апаратні гаманці не запобігають фішингу — вони підписують все, що ви їм скажете — але вповільнюють достатньо, щоб уважні користувачі зловили. Ledger Stax або Trezor Safe 5 відображають адресу призначення і суму на екрані, який хост-комп'ютер не може підмінити. Якщо відображена адреса не збігається з тим, що dApp стверджує, ви скасовуєте.
Дисципліна: ніколи не схвалюйте транзакцію без читання екрана пристрою. Крок підтвердження транзакції на апаратному гаманці існує саме для цього.
Українські статистики 2025-2026
За даними Кіберполіції, втрати українців від крипто-фішингу у 2024 році склали приблизно 1,4 мільярда гривень. Близько 75% цього прийшло від approval і permit-стиль атак; залишок — від фішингу облікових даних і прямих трансферів активів. Окремий сплеск у 2024 році був пов'язаний з фейковими "волонтерськими" сайтами під час найактивнішої фази воєнних дій.
Подальше читання: Атлас фішингу 2026, setApprovalForAll, EIP-2612 Permit, revoke.cash.