Опубликовано: 15 May 2026 Обновлено: 17 May 2026
Ошибки новичков с криптокошельками
Большинство потерь в крипте происходит не из-за сложного взлома. Чаще причина — предсказуемые ошибки, которых можно избежать: пропущенный backup, доверие неправильному сайту или неверно прочитанный адрес. Если вы пока не до конца понимаете, что такое криптокошелек, лучше начать с этого материала. В этом гайде разобраны самые частые ошибки и конкретно что делать вместо них. Без жаргона.
Ошибка 1: не записать seed phrase
Когда вы создаете новый кошелек — MetaMask, Trust Wallet, Ledger или любой другой self-custody wallet — он генерирует seed phrase: 12 или 24 слова, которые являются backup для всего кошелька.
Многие приложения позволяют нажать “skip” или “remind me later” на шаге backup. Новички часто так и делают, особенно если просто изучают кошелек и там пока мало денег. Потом они пополняют кошелек, телефон ломается или сбрасывается, и средства исчезают навсегда.
Что делать вместо этого: запишите seed phrase на бумаге в момент создания кошелька. Не проходите дальше шага backup, пока не сделали это. Проверьте backup перед тем, как заводить значимую сумму. Смотрите наш полный гайд по безопасности seed phrase.
Ошибка 2: сделать скриншот seed phrase
Скриншот кажется удобным backup. Проблема в том, что на большинстве телефонов скриншоты автоматически синхронизируются с облаком — iCloud на iPhone, Google Photos на Android. Взломанный облачный аккаунт или даже стороннее приложение с доступом к фото может раскрыть изображение.
Что делать вместо этого: запишите слова на бумаге. Храните бумагу в физически безопасном месте. Если нужен более долговечный backup, рассмотрите металлические пластины для backup, устойчивые к огню и воде.
Ошибка 3: хранить seed phrase в цифровом виде
Любая цифровая форма хранения seed phrase — приложение заметок, Google Doc, письмо самому себе, password manager — создает онлайн-экспозицию. Типичные примеры, которые приводили к потерям:
- Заметка синхронизировалась с iCloud — скомпрометированный Apple ID открыл доступ к ней
- Письмо самому себе — email-аккаунт был взломан
- Password manager — master password был украден через phishing или облачный аккаунт был скомпрометирован
- Файл с названием “seed phrase” на компьютере — malware нашел его при сканировании
Что делать вместо этого: храните seed phrase только офлайн и физически. Никаких цифровых копий.
Ошибка 4: попасться на фальшивое приложение кошелька
Фальшивые приложения кошельков выглядят почти так же, как настоящие. Они используют то же название, тот же логотип, те же скриншоты. Они могут появиться в App Store или Google Play. Когда вы “создаете кошелек” в фальшивом приложении, seed phrase, которую оно показывает, уже известна атакующему. Он ждет, пока вы внесете средства, а затем выводит их.
В других случаях фальшивые приложения просят “импортировать существующий кошелек” и ввести вашу настоящую seed phrase — атакующий сразу получает ее.
Что делать вместо этого:
- Скачивайте приложения кошельков только с официального сайта кошелька. Не ищите “MetaMask” напрямую в App Store — сначала зайдите на metamask.io и используйте ссылку загрузки оттуда.
- Проверяйте имя разработчика в карточке приложения. Сверяйте его с тем, что указано на официальном сайте.
- Смотрите количество отзывов и установок, но помните, что их тоже можно подделать. Новые приложения с малым числом отзывов и недавней датой публикации — тревожный сигнал.
Смотрите наш полный гайд как избегать фальшивых приложений-кошельков.
Ошибка 5: ввести seed phrase на фальшивом сайте
Phishing-сайты копируют настоящие сайты кошельков. Они появляются в результатах поиска, рекламных объявлениях в соцсетях, фальшивых сообщениях поддержки и вкладках браузера, которые вы не открывали. Они предлагают “connect” или “restore” кошелек, вводя seed phrase.
Самые частые сценарии:
- Фальшивая страница восстановления MetaMask: вы ищете “MetaMask wallet not working” и кликаете результат, который не является официальным сайтом. Страница просит seed phrase, чтобы “исправить” проблему.
- Фальшивая поддержка в соцсетях: вы публично задаете вопрос о проблеме с кошельком. “Аккаунт поддержки” (фальшивый) пишет в личные сообщения и просит seed phrase, чтобы помочь.
- Подмена browser extension: вредоносное расширение заменяет настоящий MetaMask extension фальшивым, который перехватывает seed phrase при следующем входе.
Что делать вместо этого: добавьте официальные сайты кошельков в закладки. Не переходите по рекламным ссылкам по запросу “wallet”. Если страница просит seed phrase для “connect” — это всегда scam.
Ошибка 6: отправить криптовалюту на неправильный адрес
Blockchain-адреса — длинные строки символов. Один неверный символ отправляет средства на совершенно другой адрес или на адрес, которого вообще не существует. В обоих случаях средства потеряны.
Самый опасный вариант — clipboard hijacking. Malware на компьютере незаметно заменяет всё, что вы копируете, адресом атакующего. Вы копируете адрес друга, вставляете его — но malware уже подменил строку. Вы отправляете средства атакующему.
Что делать вместо этого:
- После вставки адреса проверьте, что первые 4 и последние 4 символа совпадают с оригиналом.
- Для значимых сумм сначала отправьте маленькую тестовую транзакцию и подтвердите, что она дошла.
- По возможности используйте QR-коды — их сложнее подменить, чем текст из буфера обмена.
Ошибка 7: отправить в неправильной сети
При отправке USDT или других токенов, которые существуют в нескольких блокчейнах, сеть имеет значение. Отправка TRC20 USDT на ERC20-адрес — или BEP20 на TRC20-адрес — может привести к постоянной потере или, в лучшем случае, к сложному процессу восстановления.
Что делать вместо этого: перед отправкой всегда проверяйте, какую сеть поддерживает получатель. Смотрите принимающий кошелек или экран депозита биржи. Сначала отправляйте тестовую сумму. Смотрите наш гайд по сетям USDT.
Ошибка 8: хранить всё на бирже
Многие новички воспринимают биржевой аккаунт — Kraken, Coinbase, Bitget — как свой кошелек. Это не кошелек. Private keys хранит биржа, а не вы. Если биржа заморозит выводы, будет взломана или станет неплатежеспособной, вы потеряете доступ к средствам.
За последние годы у нескольких крупных бирж были серьезные проблемы. Здесь уместна известная фраза crypto-сообщества: “Not your keys, not your coins.”
Что делать вместо этого: используйте биржи для покупки crypto, а затем переводите средства в self-custody wallet для хранения. Смотрите наше сравнение кошельков и гайд по аппаратным кошелькам.
Ошибка 9: одобрять неизвестные smart contracts
Когда вы используете DeFi apps, NFT-платформы или Web3 tools, они просят “approve” транзакции. Некоторые approvals дают smart contract право перемещать токены из вашего кошелька — иногда неограниченные суммы, пока вы не отзовете разрешение.
Вредоносные проекты создают сайты, похожие на настоящие DeFi-платформы. Вы подключаете кошелек, подтверждаете транзакцию, и contract выводит средства.
Что делать вместо этого:
- Подключайте кошельки только к платформам, которые вы изучили и которым доверяете.
- Используйте отдельный “hot wallet” с небольшой суммой для DeFi-взаимодействий — никогда не подключайте основной кошелек для хранения к DeFi apps.
- Периодически проверяйте и отзывайте token approvals через инструменты вроде Revoke.cash.
- Читайте, что именно разрешает транзакция, перед подтверждением.
Ошибка 10: покупать hardware wallet не у официального продавца
Hardware wallets, купленные на Amazon, eBay или у сторонних продавцов, в документированных случаях были подменены или изменены. Преднастроенное устройство может прийти с seed phrase, уже заданной продавцом — он ждет, пока вы внесете средства, а затем выводит кошелек через seed phrase, которую сам вам дал или спрятал на устройстве.
Еще один вариант: устройство настоящее, но в коробке лежит “заполненная” карточка для начала работы с seed phrase и инструкцией использовать ее. Эта seed phrase принадлежит продавцу.
Что делать вместо этого: покупайте hardware wallets только напрямую на официальном сайте производителя. Ledger — на ledger.com. Trezor — на trezor.io. Цена такая же или очень близкая — риск несравнимо выше.
Ошибка 11: делиться seed phrase с кем-либо по любой причине
Есть разные варианты этой ситуации:
- “Криптоэксперт” в соцсетях предлагает помочь восстановить кошелек, настроить DeFi или “улучшить доходность” — и просит seed phrase.
- Фальшивый сотрудник поддержки пишет вам после того, как вы публично пожаловались на проблему с кошельком.
- Доверенный друг или член семьи получает просьбу и делится seed phrase, не понимая риск.
Нет легитимной причины, по которой кому-либо когда-либо нужна ваша seed phrase. Настоящий сотрудник поддержки, настоящий разработчик кошелька и настоящий представитель биржи никогда не попросят ее — никогда.
Чеклист безопасности для новичков
Частые вопросы
Как новички чаще всего теряют crypto?
Самая частая причина — отсутствие backup seed phrase и последующая потеря доступа к устройству. Вторая частая причина — phishing: человека убеждают ввести seed phrase на фальшивом сайте кошелька или ответить фальшивой поддержке. Обе ситуации можно предотвратить базовыми мерами предосторожности.
Что делать, если я ввел seed phrase на фальшивом сайте?
Действуйте сразу. Откройте кошелек в легитимном приложении или на устройстве и переведите все средства на полностью новый адрес кошелька — созданный с новой seed phrase, которая никогда не раскрывалась. Не откладывайте. Если атакующий получил seed phrase, он может вывести средства в любой момент. Скорость важна.
Безопасно ли использовать один кошелек для DeFi и для хранения накоплений?
Это не рекомендуется. DeFi-взаимодействия требуют approvals для smart contracts, и это несет риск. Уязвимый или вредоносный contract может вывести средства. Распространенный подход — использовать отдельный “interaction wallet” с небольшой суммой для DeFi и отдельный кошелек, желательно hardware wallet, для долгосрочного хранения, который вы не подключаете к dApps.
Я отправил crypto на неправильный адрес. Можно вернуть?
Почти всегда: нет. Blockchain transactions необратимы. После подтверждения транзакцию нельзя отменить, оспорить или развернуть. Если вы отправили на адрес биржи, обратитесь в поддержку биржи — в некоторых случаях они могут помочь, но это не гарантируется. Надежный подход только один: профилактика. Всегда проверяйте первые и последние четыре символа адреса.
Как понять, настоящее приложение кошелька или фальшивое?
Проверьте имя разработчика в App Store или Google Play. Официальные кошельки публикуют правильное имя разработчика на своем сайте — например, MetaMask опубликован “Consensys”, а Trust Wallet — “DApps Platform”. Внимательно читайте URL в браузере перед скачиванием. Небольшие изменения в домене, например “rnetamask.io”, — красный флаг. Смотрите наш гайд как избегать фальшивых приложений-кошельков.