Безопасность в DeFi: 7 смертельных ошибок в DeFi: как не...

В этой статье разберём безопасность в DeFi — ключевые аспекты и практические рекомендации. В марте 2024 года один мой знакомый потерял $47,000 за три минуты. Просто кликнул на ссылку в Discord, подключил MetaMask к "новому NFT-минту" — и всё. Транзакция прошла, USDC улетели неизвестно куда. Когда он спросил: "Но я же ничего не подтверждал?", я понял — ему никто не объяснил, как на самом деле работает DeFi.

Сегодня разберём семь критических ошибок, которые сливают твои деньги в DeFi. Но сначала — небольшой урок анатомии: ты должен понимать, из чего вообще состоит децентрализованное приложение. Без этого знания все советы по безопасности — просто магические заклинания.

Три слоя dApp: почему это важно для твоей безопасности

Любое децентрализованное приложение — Uniswap, AAVE, Curve — это не монолитный сервис типа Binance. Это три отдельных уровня, которые взаимодействуют по строгим правилам. Когда ты понимаешь эту архитектуру, сразу видишь, где именно тебя могут обмануть.

Уровень 1: блокчейн — единственный источник правды

Ethereum, Binance Smart Chain, Polygon — это не какие-то абстрактные сети. Это распределённые базы данных, которые хранят только две вещи:

1. Баланс нативной монеты на каждом адресе. В Ethereum — это ETH, в BSC — BNB, в Polygon — MATIC.
2. Память всех смарт-контрактов. Контракт токена USDT записывает в блокчейн, что на адресе 0xABC...123 лежит 1000 токенов.

Вся информация существует только в блокчейне. MetaMask, Trust Wallet, Ledger — они не хранят твои монеты. Они хранят только приватный ключ, которым ты подписываешь транзакции. Это принципиальный момент.

Когда ты "переводишь 100 USDC из MetaMask на Binance" — монеты никуда физически не перемещаются. Просто в блокчейне Ethereum появляется новая запись: с адреса A списалось 100 USDC, на адресе B появилось 100 USDC. Сам MetaMask об этом даже не знает — он просто подписал транзакцию твоим приватным ключом.

Критически важно: изменить состояние блокчейна можно только одним способом — отправить транзакцию, подписанную корректным приватным ключом. Не существует способа "хакнуть MetaMask удалённо" или "перехватить монеты в пути". Есть только один вектор атаки — заставить тебя самого подписать вредоносную транзакцию.

Уровень 2: смарт-контракты — программы с супер-правами

Смарт-контракт — это код, который живёт в блокчейне и выполняется на нодах сети. После деплоя его нельзя изменить (кроме апгрейдных контрактов, но это отдельная тема). Контракт может делать две вещи:

• Читать данные (view-функции): сколько у тебя токенов на балансе, какая текущая цена в пуле Uniswap. Это бесплатно — газ не нужен.
• Менять состояние блокчейна (write-функции): переводить токены, добавлять ликвидность, стейкать. Для этого нужна транзакция и газ.

Вот пример. Смарт-контракт Uniswap V2 Router хранит функцию swapExactTokensForTokens. Когда ты обмениваешь 100 USDC на ETH, происходит примерно следующее:

1. Твой MetaMask отправляет транзакцию с вызовом этой функции.
2. Контракт проверяет: дал ли ты ему approve на списание 100 USDC?
3. Если да — контракт списывает USDC с твоего адреса и отправляет ETH обратно.
4. Всё это записывается в блокчейн навсегда.

Ключевой момент для безопасности: смарт-контракт не может сам инициировать транзакцию. Он не может внезапно украсть твои деньги. Но если ты дал ему разрешение (approve) на управление твоими токенами — он может распорядиться ими по своему коду. И если это код мошеннического контракта — деньги уйдут.

Уровень 3: веб-интерфейс — просто красивая обёртка

Сайт app.uniswap.org — это обычный веб-интерфейс. Там нет твоих денег, там нет даже информации о твоём балансе. Это просто удобное окно, которое:

• Читает данные из блокчейна (через Infura, Alchemy или твою ноду).
• Формирует транзакции и отправляет их в MetaMask для подписи.

В самом сайте ничего не происходит. Когда ты нажимаешь "Swap" на Uniswap, сайт просто создаёт шаблон транзакции: "вызвать функцию X контракта Y с параметрами Z". Потом MetaMask показывает тебе окошко: "Подтверди транзакцию". Ты жмёшь "Confirm" — транзакция уходит в блокчейн.

И вот здесь кроется главная опасность. Мошеннический сайт может подсунуть любую транзакцию. Например:

• Вместо обмена 100 USDC на ETH — транзакция на approve всех твоих токенов мошенническому контракту.
• Вместо отправки 0.5 ETH на адрес друга — отправка 5 ETH на адрес скамера.

Если ты не проверяешь содержимое транзакции в MetaMask, а просто тупо кликаешь "Confirm" — всё, деньги ушли. И это не баг, не хак, не уязвимость. Это ты сам своей рукой подписал транзакцию приватным ключом.

7 смертельных ошибок: реальные кейсы и защита

Теперь, когда ты понимаешь архитектуру dApp, разберём конкретные ошибки. Каждая из них эксплуатирует твоё непонимание того, как работают три слоя.

Ошибка #1: "Просто подключил кошелёк — что может пойти не так?"

Кейс: В феврале 2024 появился фейковый сайт "airdrop-arbitrum.com". Ты подключаешь MetaMask, сайт говорит: "Ты в whitelist! Claim 400 ARB". Жмёшь кнопку — MetaMask просит подтвердить транзакцию. Текст непонятный, hex-данные. Подтверждаешь — и все твои USDT улетают.

Почему это работает: Просто подключение MetaMask к сайту действительно безопасно. Сайт получает только твой публичный адрес — это public info. Но дальше мошенники показывают кнопку "Claim", которая на самом деле вызывает функцию transferFrom у контракта USDT с правами, которые ты когда-то давал другим dApp.

Защита:

• Никогда не подписывай транзакции на незнакомых сайтах, даже если они выглядят как официальные airdrop'ы.
• Используй Revoke.cash (для EVM-сетей) или Solscan Token Approvals (для Solana), чтобы регулярно отзывать старые approve.
• Правило большого пальца: если сайт просит подписать что-то для "проверки eligibility" — это скам. Проверка — это view-функция, она не требует транзакций.

Я сам каждую неделю захожу на revoke.cash, подключаю все свои активные кошельки и отзываю approve у контрактов, которыми не пользуюсь 3+ месяца. Это занимает 5 минут и стоит $2—3 газа на Ethereum (или $0.10 на Polygon).

Ошибка #2: "Дал approve на всю сумму — так же удобнее?"

Кейс: Ты добавляешь ликвидность на SushiSwap. Контракт просит approve на твои 10,000 USDC. MetaMask по умолчанию предлагает "unlimited approve". Ты соглашаешься. Через месяц в коде SushiSwap находят критическую уязвимость — хакер сливает $20M, в том числе твои 10,000 USDC, потому что у контракта было право списать любую сумму.

Почему это работает: Когда ты даёшь approve, смарт-контракт получает право вызывать transferFrom для твоих токенов. Если approve = unlimited (обычно это 2^256 - 1 токенов), контракт может списать всё, что у тебя есть. Даже если в момент approve у тебя было 100 USDC, но потом ты пополнил кошелёк до 10,000 — контракт всё равно может списать всю сумму.

Защита:

• Всегда редактируй сумму approve в MetaMask. Нужно обменять 100 USDC? Дай approve ровно на 100 USDC (или 105 USDC с запасом на slippage).
• Используй расширения: Pocket Universe, Stelo, Fire — они показывают симуляцию транзакции. Ты увидишь: "Ты даёшь approve на 999999999 USDC" — и поймёшь, что что-то не так.
• После каждой операции отзывай approve, если не планируешь повторять её в ближайшие дни.

В моей практике я даю unlimited approve только проверенным протоколам с аудитами (Uniswap, AAVE, Curve) и только если делаю там операции регулярно. Для новых протоколов — строго точная сумма + 2% на slippage.

Ошибка #3: "Не проверил транзакцию в MetaMask — просто кликнул Confirm"

Кейс: Ты заходишь на сайт "новой DEX с лучшими ценами". Вводишь: обменять 1 ETH на USDC. Жмёшь "Swap". MetaMask показывает окно подтверждения. Ты видишь "Contract Interaction" и кучу hex-кода. Думаешь: "Ну это же просто обмен", жмёшь "Confirm". Транзакция проходит — твой 1 ETH ушёл на адрес мошенника.

Почему это работает: Сайт показал тебе одно ("обмен 1 ETH на USDC"), но подсунул MetaMask другую транзакцию ("отправить 1 ETH на адрес 0xScammer"). MetaMask не знает, что ты хотел сделать — он просто показывает сырую транзакцию. Если ты не читаешь детали, ты подписываешь что угодно.

Защита:

• Установи Pocket Universe или Fire. Эти расширения парсят транзакцию и показывают человекопонятное описание: "Ты отправляешь 1 ETH на адрес 0x123...abc. Этот адрес помечен как scam." Если видишь красный флаг — отменяй.
• Проверяй адрес получателя. Перед отправкой ETH/USDC сверь первые 4 и последние 4 символа адреса с оригиналом (не копируй адрес из сообщений — только с официального сайта).
• Сначала тестовая транзакция. Отправляешь $1, проверяешь, что всё ОК — потом основную сумму.

Я никогда не подписываю транзакции с hex-данными, которые не могу расшифровать. Если MetaMask показывает "Contract Interaction: 0xabcdef..." без деталей — открываю Etherscan, вставляю хэш транзакции (ещё до подписи, используя "simulate" в расширениях), смотрю, что она делает.

Ошибка #4: "Открыл ссылку из Discord/Telegram — там же admin писал?"

Кейс: В твой Discord прилетает сообщение от "ModeratorBot#1234": "Congratulations! You're in the whitelist for our NFT mint. Claim here: [ссылка]". Аватарка бота такая же, как у реального модератора. Ты кликаешь, подключаешь MetaMask, жмёшь "Mint" — и подписываешь транзакцию, которая передаёт все твои Bored Ape NFT мошеннику.

Почему это работает: Боты в Discord легко подделываются. Мошенники создают аккаунт с именем "ModeratorBot" (но другим ID), загружают ту же аватарку, пишут в личку. Ты видишь знакомое имя — доверяешь. Фейковый сайт выглядит как настоящий (скопирован дизайн), но за кнопкой "Mint" скрывается функция setApprovalForAll — это даёт мошенническому контракту право перевести все твои NFT.

Защита:

• Никогда не кликай ссылки из личных сообщений. Даже если это выглядит как админ, модератор, фаундер проекта. Настоящие проекты никогда не пишут в личку первыми с ссылками.
• Проверяй ID пользователя. В Discord кликни правой кнопкой на ник → "Copy User ID". Сверь с ID настоящего модератора (обычно опубликован в канале #rules).
• Закладки в браузере. Все сайты, которыми пользуешься (Uniswap, OpenSea, AAVE) — сохрани в закладки. Заходи только через закладки, никогда через Google или ссылки в соцсетях.

В моей практике я отключил личные сообщения во всех крипто-Discordах. Если мне нужно что-то от команды — пишу в публичный канал. Это убирает 90% векторов атаки.

Ошибка #5: "Установил расширение для удобства — теперь всё быстрее!"

Кейс: Ты гуглишь "MetaMask gas tracker extension", находишь в Chrome Web Store расширение "Gas Saver Pro" с 4.5★ рейтингом. Устанавливаешь. Через два дня твои 5 ETH исчезают — оказывается, расширение подменяло адреса получателей в транзакциях.

Почему это работает: Вредоносные расширения могут:

• Подменять адреса в форме отправки. Ты копируешь адрес друга 0xABC...123, вставляешь в MetaMask — но расширение незаметно меняет его на 0xSCAM...999.
• Перенаправлять на фишинговые сайты. Ты вбиваешь "uniswap.org" — расширение показывает "unisvvap.org" (две буквы "v" вместо "w").
• Красть seed-фразы. Некоторые расширения показывают поддельное окно "Verify your MetaMask recovery phrase for security" — ты вводишь seed, он улетает мошенникам.

Защита:

• Только проверенные расширения: MetaMask, Rabby, Pocket Universe, Stelo, DefiLlama, Revoke.cash. Проверяй количество установок (1M+), дату последнего обновления, разработчика.
• Никогда не устанавливай расширения из рекламы или топиков в Reddit/Twitter. Только через официальные сайты проектов.
• Используй отдельный браузер для DeFi. Я работаю в Brave (чистый профиль, только крипто-расширения). Обычный сёрфинг — в Chrome с кучей других расширений.

Проверяй адреса дважды. Перед отправкой любой суммы >$100 я всегда сверяю первые 6 и последние 6 символов адреса. Это занимает 3 секунды, но спасло меня минимум трижды.

Ошибка #6: "На кошельке появились токены — наверное, airdrop? Попробую продать"

Кейс: На твоём кошельке внезапно появляется 10,000 токенов "ELONMUSK2.0" стоимостью $50,000 по данным MetaMask. Ты радостно заходишь на DEX, пытаешься продать — и подписываешь транзакцию, которая даёт approve на все твои USDC мошенническому контракту. Через минуту USDC исчезают.

Почему это работает: Мошенники массово отправляют скам-токены на активные адреса (находят их через Etherscan). Эти токены часто:

• Показывают фейковую цену. Контракт токена настроен так, что MetaMask и Etherscan показывают липовую стоимость $50,000, хотя реальная ликвидность = $0.
• Имеют вредоносную функцию transfer. Когда ты пытаешься продать токен на Uniswap, функция transfer вызывает не перевод токенов, а approve для твоих USDC/USDT.

Защита:

• Никогда не взаимодействуй с токенами, которые сам не покупал. Даже если цена выглядит заманчивой.
• Скрывай спам-токены в MetaMask (Settings → Security & Privacy → Hide Tokens).
• Проверяй контракт токена на Etherscan. Смотри на количество холдеров (если <100 — подозрительно), наличие verified code, аудиты.

Я получаю 5—10 скам-токенов в неделю на активных кошельках. Сразу скрываю их в MetaMask, даже не смотрю на "цену". Если это реальный airdrop — узнаю из официальных каналов проекта, а не из кошелька.

Ошибка #7: "Одним кошельком удобнее — зачем плодить адреса?"

Кейс: Ты держишь на одном кошельке 50 ETH, стейкаешь их на Lido, фармишь на Curve, минтишь NFT, участвуешь в тестнетах. Однажды подключаешься к "новому GameFi проекту" для теста, даёшь approve на какой-то токен — и через час все 50 ETH исчезают, потому что контракт эксплуатировал уязвимость в старом approve, который ты давал год назад.

Почему это работает: Чем больше протоколов ты используешь одним кошельком, тем больше approve и разрешений накапливается. Каждое approve — это потенциальная дырка. Если хотя бы один контракт окажется вредоносным или уязвимым — он получит доступ ко всем активам на этом адресе.

Защита:

• Разделяй кошельки по зонам риска:
  • Холодный кошелёк (Ledger/Trezor): основной капитал, минимум транзакций.
  • Горячий кошелёк #1: проверенные протоколы (Uniswap, AAVE, Curve) — здесь 10—20% капитала.
  • Горячий кошелёк #2: новые протоколы, NFT-минты, тестнеты — сюда кидаешь $100—500 для экспериментов.
• Используй мультисиги (Safe, ранее Gnosis Safe) для больших сумм. Даже если один ключ скомпрометирован, мошенник не сможет украсть без второго подписанта.
• Регулярно ротируй адреса. Каждые 6 месяцев создаю новый горячий кошелёк, переношу туда активы, старый оставляю пустым.

У меня 5 адресов:

1. Ledger (холодный): 80% капитала, только долгосрочные стейкинги (ETH 2.0, CRV locked).
2. MetaMask #1 (горячий проверенный): ежедневные операции на Uniswap, AAVE — 15% капитала.
3. MetaMask #2 (экспериментальный): новые DEX, фарминги — максимум $500.
4. Rabby (тестнеты): фаунт-раннинг airdrop'ов, тут копейки.
5. Safe мультисиг (2-of-3): совместный пул с партнёром, $30k.

Инструменты безопасности: мой стек на 2025

Теория без практики — ничто. Вот конкретные инструменты, которые я использую каждый день.

Для проверки транзакций (до подписи)

Pocket Universe (расширение Chrome/Brave) — показывает симуляцию транзакции. Видишь: "Ты отправишь 500 USDC и получишь 0.15 ETH" или "Ты дашь approve на все твои 10,000 USDT контракту 0x...". Спасло меня уже раз 20.

Fire (расширение) — похож на Pocket, но более агрессивный. Блокирует транзакции к контрактам из скам-листов, показывает репутацию адреса получателя.

Tenderly Simulator (веб-сервис) — для продвинутых. Вставляешь хэш транзакции, смотришь пошаговое выполнение кода, все внутренние вызовы, изменения балансов. Использую для проверки сложных мультистепных операций (например, зап в Curve через Yearn).

Для отзыва approve

Revoke.cash (веб-сайт) — подключаешь кошелёк, видишь список всех контрактов, которым ты давал approve, с какими суммами. Одним кликом отзываешь права. Работает на Ethereum, BSC, Polygon, Arbitrum, Optimism, Avalanche.

DefiLlama Approvals (в составе DefiLlama) — аналог Revoke, но с рейтингом контрактов (сколько TVL, есть ли аудиты). Удобно фильтровать: "показать approve только у контрактов с TVL <$1M" — это обычно риски.

Я захожу на Revoke каждую пятницу, сортирую approve по дате ("старше 3 месяцев") и отзываю всё, чем не пользуюсь. Стоимость: $2—3 газа на Ethereum, $0.05 на Polygon.

Для проверки контрактов

Etherscan / BSCScan / Polygonscan — смотрю:

• Contract Verified? Если код не verified — красный флаг.
• Holders count. Меньше 100 холдеров у токена = подозрительно.
• Recent transactions. Если последние 10 транзакций — это массовые отправки на случайные адреса = скам-токен.

DefiLlama Protocol Explorer — показывает TVL протокола, историю аудитов (CertiK, Trail of Bits), баги в прошлом. Не взаимодействую с протоколами TVL <$5M без аудитов.

Token Sniffer (веб-сервис) — вставляешь адрес контракта токена, получаешь риск-скор: honeypot check, mint function, ownership renounced и т.д. Оценка >70/100 = можно взаимодействовать.

Для хранения и работы

Ledger Nano X (холодный кошелёк) — основной капитал. Да, неудобно подписывать каждую транзакцию физически, но это и есть защита. Если нужно срочно свопнуть — переношу с Ledger на горячий кошелёк ровно ту сумму, которая нужна.

Rabby Wallet (альтернатива MetaMask) — показывает детали транзакции в понятном виде ещё до установки расширений типа Pocket. Автоматически определяет подозрительные контракты. Переключился на Rabby в 2024, ни разу не пожалел.

1Password / Bitwarden (менеджер паролей) — храню там seed-фразы в зашифрованном виде + список всех адресов кошельков с пометками ("ETH горячий проверенный", "BSC тестнет"). Никогда не храню seed в текстовых файлах или скриншотах.

Таблица: как разные типы атак обходят три слоя dApp

Тип атаки	Какой слой эксплуатируется	Что видит жертва	Как защититься
Фишинговый сайт (фейковый Uniswap)	Веб-интерфейс	"Обмен 1 ETH на USDC", но реально транзакция отправляет ETH на адрес мошенника	Проверяй URL (закладки в браузере), используй Pocket Universe для симуляции
Вредоносный approve	Смарт-контракт	"Дайте approve на 100 USDC", но реально approve на все токены	Редактируй сумму approve вручную, используй Revoke.cash регулярно
Скам-токен с ловушкой	Смарт-контракт	"Продай токен за $50k", но функция transfer вызывает approve на твои активы	Никогда не взаимодействуй с токенами, которые не покупал сам
Клонирование адреса (address poisoning)	Блокчейн	Мошенник отправляет $0.01 с адреса, похожего на твой (первые/последние 4 символа совпадают) — ты копируешь его из истории транзакций	Всегда сверяй полный адрес (6 первых + 6 последних символов), не копируй из истории
Взлом расширения браузера	Веб-интерфейс	Расширение подменяет адрес получателя в форме отправки	Устанавливай только проверенные расширения, используй отдельный браузер для DeFi
Rug pull (разработчики сливают ликвидность)	Смарт-контракт + блокчейн	Протокол работал месяц, потом создатели вызвали функцию withdrawAll и слили $10M ликвидности	Проверяй, есть ли timelock на admin-функции (Etherscan → Read Contract), используй только протоколы с renounced ownership или DAO-управлением

Что делать, если тебя уже скамили

Если транзакция прошла — деньги ушли навсегда. Блокчейн необратим, нет кнопки "отменить транзакцию". Но можно минимизировать ущерб:

1. Немедленно отзови все approve на скомпрометированном кошельке. Заходи на Revoke.cash, жми "Revoke All". Да, это стоит газа, но лучше потратить $50 на газ, чем потерять $5000 на следующий день.

2. Переведи оставшиеся активы на новый кошелёк. Создай новый адрес (новая seed-фраза!), переброс всё туда. Старый кошелёк больше не используй.

3. Проверь, не был ли скомпрометирован seed. Если мошенники украли деньги без твоего подтверждения транзакции в MetaMask — значит, у них есть твой приватный ключ. Как это могло произойти:

   • Фишинговый сайт попросил ввести seed "для верификации".
   • Вредоносное расширение записало keylogger и украло seed при вводе.
   • Скриншот seed-фразы загружен в облако (Google Photos, iCloud) — его взломали.

4. Репорт адрес мошенника. Добавь адрес в Chainabuse, Etherscan Phishing Database. Это не вернёт деньги, но поможет другим. Плюс если адрес попадёт в блэклисты — мошеннику будет сложнее обналичить украденное через CEX.

5. Изучи транзакцию на Etherscan. Понять, что именно пошло не так — это урок на будущее. Смотри:

   • Какую функцию вызвал контракт?
   • Куда ушли деньги (на адрес мошенника или в другой контракт)?
   • Были ли предупреждения от Etherscan (красная плашка "This contract has been reported as a phishing contract")?

В моей практике был случай, когда клиент дал approve на 50,000 USDC мошенническому контракту, но мы успели отозвать это approve через 2 минуты — украли только 3,000 USDC (первая транзакция мошенников прошла, остальные уже не смогли). Скорость реакции решает.

Почему DeFi всё равно безопаснее банков (если знаешь правила)

Скептики говорят: "В DeFi всё воруют, я лучше в банке держу". Но давайте честно:

В банке:

• Счёт могут заморозить по решению суда, налоговой, просто по подозрению.
• Банк может обанкротиться (привет, Silicon Valley Bank 2023).
• Инфляция съедает 5—10% в год — твои $10k через 5 лет = $6k по покупательной способности.

В DeFi:

• Никто не может заморозить твои активы, если у тебя есть приватный ключ.
• Протоколы AAVE, Uniswap работают 5+ лет без единого дня простоя.
• Стейкинг ETH даёт 3.5% APR, стабильные пулы на Curve — 5—8% APY в USDC, это хедж против инфляции.

Ключевое отличие: в DeFi ты сам отвечаешь за безопасность. Это не баг, это фича. Нет third party, который может принять решение за тебя. Но это требует знаний. Семь правил из этой статьи — это не параноия, это гигиена.

Я держу в DeFi 70% капитала. 30% — в недвижимости и акциях (диверсификация). За три года использования DeFi ноль потерь от хаков, потому что следую этим правилам. Единственный убыток — impermanent loss в паре ETH/USDC на Uniswap V3, но это риск стратегии, а не безопасности.

FAQ

Можно ли потерять деньги, просто подключив MetaMask к сайту?

Нет. Подключение кошелька передаёт сайту только публичный адрес. Это как дать кому-то номер твоего банковского счёта — они могут посмотреть баланс (блокчейн публичен), но не могут списать деньги. Опасность начинается, когда ты подписываешь транзакцию — вот тут сайт может подсунуть вредоносную операцию.

Что такое "unlimited approve" и почему это опасно?

Когда ты даёшь approve смарт-контракту на токены, MetaMask по умолчанию предлагает сумму 2^256-1 (практически бесконечность). Это удобно — не нужно давать approve при каждом свопе. Но если контракт окажется уязвимым или мошенническим, он сможет списать ВСЕ токены с твоего адреса, даже те, что ты купил после approve. Безопаснее давать approve на конкретную сумму (например, 100 USDC для обмена) и отзывать после операции.

Как проверить, не скам ли это перед минтом NFT?

Смотри три вещи: 1) Официальный ли это сайт (сверь URL с Twitter/Discord проекта, используй только закладки). 2) Проверь контракт на Etherscan — есть ли Verified code, сколько холдеров, есть ли транзакции минта от реальных людей (не ботов). 3) Используй Pocket Universe — он покажет симуляцию: "Ты заминтишь NFT за 0.08 ETH" или "Ты дашь approve на все твои токены контракту 0xSCAM".

Расширения для безопасности (Pocket Universe, Fire) — они сами не украдут данные?

Риск есть всегда. Поэтому устанавливай только расширения с открытым кодом (можно проверить на GitHub) и большим количеством установок (Pocket Universe — 100k+ пользователей, Fire — 50k+). Проверяй разработчика — если это анонимы без истории, лучше не ставить. Я использую Pocket и Fire уже год, код проверен аудиторами, проблем не было.

Что делать, если seed-фраза утеряна или украдена?

Если утеряна — доступ к кошельку потерян навсегда. Нет "восстановления пароля" в DeFi. Поэтому храни seed в минимум двух местах: 1Password (зашифровано), металлическая пластина (Cryptosteel) в сейфе. Если украдена — немедленно создавай новый кошелёк (новая seed!), переводи все активы туда. Старый кошелёк считай скомпрометированным — мошенник может в любой момент списать всё.

Что дальше

Безопасность в DeFi — это не разовая настройка, это привычка. Начни с малого: сегодня зайди на revoke.cash, отзови старые approve, установи Pocket Universe. Через неделю создай отдельный кошелёк для экспериментов, переведи туда $100. Через месяц купи Ledger для основного капитала.

Хочешь больше практических гайдов по DeFi, AI-автоматизации и крипте без воды? Подписывайся на мой Telegram-канал: канал «Сергей Зиненко | DeFi-Гедонист» — там разбираю реальные кейсы, новые протоколы и делюсь инструментами, которые экономят часы работы.