Лістинг в App Store, якого не повинно бути
Серпень 2024. Холдер з Києва шукає «Trust Wallet» в Apple App Store. Перший результат: зелений щит Trust Wallet, 4,8 зірок, 8 000 відгуків. Він встановлює, імпортує свою seed-фразу, і протягом чотирьох хвилин спостерігає, як 19 000 USD у BNB та BSC-токенах зникають.
Лістинг був клоном з різницею в один символ в імені розробника — «Trust Wallet, Inc.» (справжній) і «Trust-Wallet Inc.» (клон). Apple видалив його через дев'ять днів.
Чому навіть App Store обманюють
Перевірка Apple ловить більшість шахрайства, але схожі гаманцеві застосунки періодично проскакують. Вони спроєктовані пройти ревью (для рецензента застосунок виглядає нормально) і спустошувати лише коли користувач імпортує реальний seed з балансом.
Чотири кроки верифікації перед встановленням гаманцевого застосунку
- Звіртеся з ім'ям розробника на офіційному сайті гаманця. Trust Wallet публікує посилання на App Store та Play Store прямо на
trustwallet.com. Клацайте з сайту, не навпаки. - Перевірте число та дати відгуків. У реального застосунку відгуки йдуть роками, стабільним потоком. У клона 8 000 відгуків за останні 60 днів — куплені пачками.
- Перевірте інші застосунки розробника. У справжнього Trust Wallet лише Trust Wallet. У клона часто 30 випадкових утиліт під тим самим ім'ям — для імітації реальної компанії.
- Спочатку використовуйте гаманець на свіжому пристрої. Згенеруйте новий seed, поповніть на 20 USD, потримайте день. Якщо щось виглядає підозріло — втратили 20 USD, не 20 000.
Правило для seed-фрази
Ніколи не імпортуйте високобалансний seed у щойно встановлений застосунок, не перевіривши його через кілька джерел. Seed, що потрапив у шахрайський застосунок, назавжди скомпрометований — навіть після видалення застосунку.
Що роблю я
Тримаю два seed — «рівень 1» зі серйозними грошима, ніколи не вводиться в софт-гаманці, лише апаратні. «Рівень 2» з менш ніж 500 USD, для тестів нових застосунків. Два ніколи не перетинаються.