How can I tell if an NFT marketplace is legitimate?

Always verify the exact URL in your browser's address bar matches the official website (bookmark legitimate sites to avoid typos). Check the project's Twitter account for a blue verification badge (not purchased verification), look for consistent branding and professional website design, and confirm the marketplace has been operating for at least 12-18 months with documented transaction history on blockchain explorers like Etherscan.

What should I do if I've already approved a malicious smart contract?

Immediately revoke the approval using platforms like revoke.cash or etherscan.io's token approval checker. Move any remaining funds and NFTs to a new wallet address created from a fresh seed phrase. Do not send cryptocurrency to this wallet from exchanges or your old wallet, as the scammer may monitor it for activity. Consider the compromised wallet a total loss and cease using it.

Are NFTs on established platforms like OpenSea and Magic Eden safe?

Established platforms provide significantly more protection through smart contract audits, dispute resolution processes, and fraud detection tools. However, individual creators can still list malicious NFTs, so your responsibility is to verify the creator's legitimacy, review the smart contract code if possible, and check the NFT's transaction history. Even on legitimate platforms, due diligence is essential before making purchases.

Can I recover stolen NFTs or cryptocurrency?

Blockchain transactions are irreversible, making recovery extremely difficult. However, you should report the scam to the FBI's Internet Crime Complaint Center (IC3.gov), your country's financial regulator, and the relevant blockchain network's fraud team. If significant sums are involved, consult with a lawyer specializing in cryptocurrency fraud, though legal recovery typically requires identifying the scammer—which is rare without law enforcement resources.

What's the difference between a rugpull and other NFT scams?

A rugpull is a specific type of scam where a project's creators intentionally abandon the project and steal collected funds, usually after building significant hype. Other NFT scams include wallet drains through malicious contracts, marketplace impersonation, and phishing. Rugpulls typically promise a product or utility that was never intended to be delivered, while other scams aim to steal existing assets from your wallet. Both are financial crimes, but rugpulls often involve premeditation and larger sums.

Высокий Средний ущерб: $5,000 Обычная длительность: 1-7 days

Мошенничество с NFT: как защитить свои цифровые активы

Мошенничество с NFT (невзаимозаменяемыми токенами) стало одной из самых быстрорастущих схем криптовалютного мошенничества, ежегодно жертвы теряют миллиарды долларов. Эти схемы эксплуатируют относительную новизну и сложность блокчейн-технологий, нацеливаясь как на опытных криптоинвесторов, так и на новичков, желающих войти в мир NFT. Быстрый рост рынка — продажи NFT превысили 25 миллиардов долларов в 2021 году — привлек опытных мошенников, создающих поддельные маркетплейсы, фальшивые коллекции NFT и социально-инженерные схемы для кражи цифровых кошельков и криптовалюты. Особую опасность мошенничество с NFT представляет скорость: большинство жертв теряют средства в течение 1-7 дней после взаимодействия, а необратимость блокчейн-транзакций делает возврат украденных активов практически невозможным. Наиболее распространённые виды мошенничества с NFT делятся на три основные категории: «rugpull» (когда разработчики бросают проекты после сбора средств инвесторов), имитация маркетплейсов (поддельные версии OpenSea, Magic Eden и других платформ) и кража средств из кошельков с помощью вредоносных смарт-контрактов и фишинга. По данным Chainalysis, около 14% всех потерь от криптовалютного мошенничества в 2022 году были связаны с NFT, при этом средний ущерб жертвы NFT-мошенничества составляет от 5 000 до 15 000 долларов. Мошенники стали очень изощрёнными, создавая почти идеальные копии легитимных платформ, верифицированных аккаунтов в соцсетях и сообществ Discord для создания ложной репутации. Анонимность блокчейн-транзакций и отсутствие регулирования делают уголовное преследование практически невозможным, оставляя жертв без возможности вернуть средства.

Распространённые тактики Как распознать Как защитить себя Реальные примеры Частые вопросы Куда сообщить

Распространённые тактики

• Создание поддельных сайтов NFT-маркетплейсов (фальшивые OpenSea, Magic Eden, Blur), внешне идентичных легитимным платформам, с клонированным дизайном и платежными системами, перенаправляющими средства на кошельки мошенников.
• Запуск проектов «rugpull», где разработчики обещают эксклюзивные коллекции NFT, создают ажиотаж через Discord и Twitter, собирают миллионы долларов за покупки, а затем исчезают с деньгами, бросая проект.
• Имитация верифицированных создателей NFT и проектов в социальных сетях, распространение поддельных ссылок на минтинг фальшивых коллекций, которые через вредоносные смарт-контракты опустошают подключённые кошельки.
• Создание мошеннических Discord-серверов с «белыми списками» (whitelisting/allowlist), требующих от пользователей депозита криптовалюты для «подтверждения» права участия, после чего средства сразу же крадутся.
• Распространение мошеннических airdrop через поддельные NFT-токены, которые появляются в кошельках и заманивают пользователей взаимодействовать с вредоносными контрактами, запрашивающими одобрение и опустошающими все подключённые активы.
• Проведение атак «floor sweep», когда мошенники покупают собственные NFT по завышенным ценам для искусственного создания фальшивой оценки, а затем продают бесполезные NFT обманутым покупателям по завышенной цене.

Как распознать

URL сайта немного отличается от легитимной платформы (например, «opensea-official.com» вместо «opensea.io») или использует другой домен (.net, .xyz, .io вместо .io).
Аккаунты проекта в соцсетях недавно созданы, не имеют истории активности или имеют верификацию, купленную через сторонние сервисы, а не полученную официально.
Комиссии за газ при транзакциях необычно высоки (500+ Gwei) или транзакция одобряет неограниченные траты токенов на неизвестные адреса смарт-контрактов.
Проект обещает гарантированную прибыль или использует давление, например, «ограниченное предложение» или «всего 100 мест», чтобы заставить принять решение в течение нескольких часов.
Сообщество в Discord или Telegram содержит множество орфографических ошибок в официальных сообщениях, ботов, которые только перенаправляют на внешние ссылки, или каналы, где легитимные вопросы сразу удаляются.
История торгов NFT показывает манипуляции ценами через «wash trading» (один и тот же кошелёк многократно покупает и продаёт), или цены на минимальном уровне резко растут в течение 24 часов после запуска.

Как защитить себя

Проверяйте официальный сайт и аккаунты в соцсетях, изучая репозиторий проекта на GitHub, историю транзакций в блокчейне и сверяясь с авторитетными крипто-новостными источниками, такими как CoinDesk или The Block.
Используйте аппаратные кошельки (Ledger, Trezor) для хранения NFT и криптовалюты, а не браузерные или биржевые кошельки, и подключайте аппаратные кошельки к маркетплейсам только через официальные приложения.
Внимательно проверяйте разрешения смарт-контрактов перед одобрением транзакций: никогда не одобряйте неограниченные траты, одобряйте только точную сумму для конкретной операции и отзывайте неиспользуемые разрешения через сервисы вроде Etherscan.
Тщательно исследуйте команду проекта, проверяя их реальные личности, профессиональную историю на LinkedIn, прошлые проекты и подтверждая участие через несколько независимых источников.
Добавляйте в закладки легитимные NFT-маркетплейсы (opensea.io, blur.io, magic-eden.com) и всегда заходите на них через закладки, а не переходя по ссылкам из соцсетей, писем или сообщений в Discord.
Включайте многофакторную аутентификацию (2FA) на всех аккаунтах криптобирж и кошельков, используйте надёжные уникальные пароли, управляемые менеджером паролей, и никогда не делитесь seed-фразой или приватными ключами ни при каких обстоятельствах.

Реальные примеры

Инвестор обнаружил «новый» проект NFT на базе Ethereum под названием «MetaVerse Elite» через приглашение в Discord. У проекта было 5 000 подписчиков, профессионально оформленный сайт и обещание раннего доступа к эксклюзивной цифровой недвижимости. После депозита 2 ETH (около 170 000 рублей) для минтинга NFT сервер Discord отключился, сайт стал недоступен, а контракт сразу же был опустошён. Вся операция длилась 18 часов.

Жертва посетила сайт, похожий на официальный OpenSea (на самом деле opensea-official.net), перейдя по ссылке из письма, похожего на официальное. Она подключила свой кошелёк MetaMask для выставления на продажу своей коллекции NFT. Злоумышленники затем попросили «подтвердить» кошелёк, что фактически инициировало транзакцию, позволяющую мошенникам перевести все NFT и токены с подключённого кошелька.

Коллекционер NFT получил airdrop нового токена под названием «Genesis Pass», который появился в его кошельке. Воодушевлённый бесплатной криптовалютой, он нажал кнопку «claim» на сайте проекта, который запросил одобрение в MetaMask. Это дало смарт-контракту мошенников разрешение опустошить кошелёк, забрав ETH, USDC и другие токены на сумму около 600 000 рублей, всё произошло в течение нескольких минут.

Частые вопросы

Как определить, что NFT-маркетплейс легитимен?

Всегда проверяйте точный URL в адресной строке браузера — он должен совпадать с официальным сайтом (лучше добавлять легитимные сайты в закладки, чтобы избежать опечаток). Проверьте аккаунт проекта в Twitter на наличие синей галочки верификации (не купленной), обратите внимание на единый стиль и профессиональный дизайн сайта, а также убедитесь, что маркетплейс работает не менее 12-18 месяцев с подтверждённой историей транзакций в блокчейн-эксплорерах, таких как Etherscan.

Что делать, если я уже одобрил вредоносный смарт-контракт?

Немедленно отзовите разрешение с помощью сервисов revoke.cash или проверяющих одобрения токенов на etherscan.io. Переведите оставшиеся средства и NFT на новый кошелёк, созданный с новой seed-фразой. Не отправляйте криптовалюту на этот кошелёк с бирж или старого кошелька, так как мошенники могут отслеживать активность. Считайте скомпрометированный кошелёк полностью потерянным и прекратите его использование.

Куда сообщить — Россия

Официальные каналы в вашем регионе для сообщения о мошенничестве.

МВД России — Управление «К»

Киберпреступность

Управление по борьбе с преступлениями в сфере IT. Электронное обращение в МВД.

Перейти →

Госуслуги — заявление в полицию

Сообщение

Подача заявления о мошенничестве через портал Госуслуг.

Перейти →

Роскомнадзор

Сообщение

Жалобы на сайты мошенников, утечки персональных данных.

Перейти →

Банк России — приёмная

Финансовый регулятор

Жалобы на финансовые пирамиды, нелегальных брокеров, банковское мошенничество.

8-800-300-30-00 Перейти →

Считаете, что столкнулись с этим мошенничеством?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), мошенничество с nft: как защитить свои цифровые активы is described at https://scamlens.org/ru/encyclopedia/nft-scam.

https://scamlens.org/ru/encyclopedia/nft-scam

Начните здесь

Проверка Безопасности

Разведка

Инструменты и Отчёты

Премиум-услуги

Расширение и API

Мошенничество с NFT: как защитить свои цифровые активы

Распространённые тактики

Как распознать

Как защитить себя

Реальные примеры

Частые вопросы

Куда сообщить — Россия

МВД России — Управление «К»

Госуслуги — заявление в полицию

Роскомнадзор

Банк России — приёмная

Считаете, что столкнулись с этим мошенничеством?

How to cite this guide