#钱包安全风险 2014 року подія Mt.Gox, крах FTX у 2022 році, а тепер й хакерська атака на Trust Wallet — за ці роки я бачив занадто багато "непередбачених" ситуацій. Найбільші втрати зазнали користувачі, які втратили 350 тисяч доларів, і другий за величиною втрачений актив — 140 тисяч, обидва гаманці навіть більше року перебували у сплячому режимі, перш ніж їх атакували. Це саме ілюструє сутність проблеми: ризик не у тому, наскільки ви активні, а у тому, що саме ваше існування робить вас ціллю.

Найбільше мене насторожує не цифри самі по собі, а деталі, на які вказує SlowFog — у PostHog JS був вставлений код для збору інформації про гаманці, і оновлення навіть не повністю видалило його. Що це означає? Багато користувачів вважають, що оновлення — це гарантія безпеки, але насправді їх все ще підглядають. Це цілком схоже на ті проєкти 2022 року, які, нібито, проходили "офіційну перевірку", але насправді мали закриті двері для зловмисників.

З історії відомо, що кожна хвиля ризиків безпеки гаманців слідує одному й тому ж правилу: **коли довіру руйнується, вже пізно щось виправляти**. Ті, хто залишався у сплячому режимі, були зламані саме через те, що їхня обізнаність щодо безпеки залишалася на певному рівні — вони думали, що старі версії достатньо безпечні, або що довгий час не користувалися — і все буде гаразд.

Чіткий урок зараз такий: відключення від мережі для експорту, спершу переказати кошти, а потім оновлювати, і не довіряти обіцянкам "оновлених версій" — це не рекомендації, а необхідність. Я бачив занадто багато людей, які через лінь зробити ще один крок, втратили мільйони. Безпека гаманця — це не сіра зона, або ти повністю контролюєш свої активи, або довіряєш їх професійним холодним сховищам. Це правило слід було зрозуміти ще десять років тому, і досі багато хто повторює ті самі помилки.