Ми використовуємо технології, такі як файли «кукі», для зберігання та/або доступу до інформації про пристрій. Ми робимо це з метою покращення досвіду користувача під
час перегляду та відображення (не-) персоналізованої реклами. Згода на використання цих технологій дозволить нам обробляти дані, такі як поведінка при перегляді або унікальні ідентифікатори на цьому сайті. Несхвалення або відкликання згоди може негативно вплинути на певні функції та можливості.
Технічне зберігання або доступ суворо необхідні для законної мети надання можливості використання конкретної послуги, явно запитаної абонентом або користувачем, або виключно для здійснення передачі повідомлення через мережу електронного зв’язку.
Техническое хранение или доступ необходимы для законной цели хранения предпочтений, которые не запрошены подписчиком или пользователем.
Технічне зберігання або доступ, який використовується виключно для статистичних цілей.
Техническое хранилище или доступ, который используется исключительно для анонимных статистических целей. Без повестки в суд, добровольного согласия со стороны вашего интернет-провайдера или дополнительных записей от третьей стороны информация, хранящаяся или полученная только для этой цели, обычно не может быть использована для вашей идентификации.
Технічне сховище або доступ потрібні для створення профілів користувачів для надсилання реклами або для відстеження користувача на веб-сайті чи кількох веб-сайтах для аналогічних маркетингових цілей.
Фізичні атаки на власників криптовалют: як захистити себе від wrench attack
Wrench attack — це фізична атака на власника криптовалюти з метою змусити його передати доступ до гаманця. У крипті прийнято говорити про хакерів, фішинг і вразливості смарт-контрактів. Але є загроза, проти якої стандартний сетап гаманця безсилий: людина з гайковим ключем, яка стоїть біля Ваших дверей. Захист існує, але потребує зовсім іншого підходу.
2025 рік став рекордним за кількістю фізичних нападів на власників криптовалют: 72 верифіковані випадки, зростання на 75% за рік — викрадення, вторгнення в будинки, катування і навіть убивства. У 2026-му стало ще гірше: тільки у Франції за чотири місяці зафіксовано 41 випадок викрадення людей.
І це стосується не тільки Європи чи США. У Києві людину вбили через 3 біткоїни. У Відні через криптовалюту вбили 21-річного українця.
Причому жертвами стають не тільки мільйонери. Розслідування Bloomberg показало, що серед потерпілих є вчителі, пожежники та звичайні люди з помірними сумами на гаманцях. Достатньо, щоб хтось дізнався, що Ви зберігаєте криптовалюту.
Ця стаття про те, як працюють фізичні атаки, хто стає ціллю і які конкретні кроки можна зробити, щоб зменшити ризик. Абстрактних порад тут немає — від них немає практичної користі. Натомість розберемо те, що справді може допомогти в таких ситуаціях.
Що таке wrench attack і чому це вже не мем
Термін з’явився завдяки коміксу xkcd у 2009 році. Ідея проста: навіщо зламувати шифрування, якщо можна побити власника ключа гайковим ключем за $5, поки він не віддасть пароль. В академічному середовищі це називають rubber-hose cryptanalysis — криптоаналізом за допомогою гумового шланга. Термін увів Маркус Ренам ще у 1990 році, але в криптовалютну сферу він прийшов разом із великими грошима та насильством.
В Україні є свій аналог — «атака паяльником». Суть та сама: атакують не технологію, а людину.
Чому криптовалюта стала ідеальною ціллю для такого типу злочинів?
Незворотність транзакцій. Банківський переказ можна заблокувати, оскаржити або повернути через чарджбек. Криптотранзакція фіналізується протягом кількох хвилин. Після підтвердження в мережі повернути кошти технічно неможливо.
Self-custody. Якщо Ви зберігаєте криптовалюту у власному гаманці — апаратному, мобільному або десктопному, — Ви контролюєте приватні ключі. Ви самі собі банк. Немає кол-центру, який заблокує рахунок, немає фрод-відділу. Seed-фраза, яку Ви знаєте або зберігаєте, дає повний і миттєвий доступ до всіх коштів.
Швидке виведення. Після отримання криптовалюти злочинці переводять її через мережу гаманців, міксерів і мостів між блокчейнами. Конвертують у стейблкоїни, розподіляють по різних мережах. В окремих випадках викрадені кошти проходять через десятки адрес протягом кількох годин. Відстежити шлях можна, повернути гроші майже нереально.
Є ще один фактор, про який рідко говорять: кореляція атак із ціною Bitcoin. Джеймсон Лопп, який веде базу фізичних нападів з 2014 року, зафіксував чіткий патерн. Кількість атак зростає під час бичачого ринку: більше коштів на гаманцях, більше інтересу до криптовалюти, більше потенційних цілей. Під час булрану 2024–2025 років кількість атак досягла піку.
Статистика: масштаб проблеми у цифрах
Джеймсон Лопп, CSO компанії Casa, веде відкриту базу фізичних атак на власників криптовалют на GitHub з 2014 року. На сьогодні там зафіксовано понад 225 підтверджених випадків. Сам Лопп визнає: реальна цифра значно вища. Багато жертв не звертаються до поліції, побоюючись повторних нападів або не довіряючи правоохоронцям у криптовалютних справах. Частину інцидентів фіксують як звичайні пограбування без згадки про криптовалюту.
Блокчейн-аудитор CertiK у звіті Skynet Wrench Attacks Report окремо зібрав дані за 2025 рік: 72 верифіковані випадки фізичного примусу по всьому світу. Це на 75% більше, ніж 41 інцидент у 2024-му. За даними TRM Labs, реальна кількість ближча до 60–70 лише серед випадків, які потрапили в медіа.
Розподіл за типами: кількість викрадень зросла з 15 до 25 випадків (+66%), фізичних нападів — з 4 до 14 (+250%). Загальні збитки збільшилися з $28,3 млн у 2024-му до $40,9 млн у 2025-му. CertiK зазначає, що ця сума суттєво занижена через незареєстровані випадки та приватні домовленості.
Географічно Європа вийшла на перше місце: понад 40% усіх інцидентів. Лідер — Франція з 19 підтвердженими нападами у 2025-му. Частка Північної Америки знизилася з 36,6% до 12,5%, але це не означає, що там стало безпечніше. Фізичні атаки просто поширюються й на інші регіони. Азія залишилася стабільною — 33,3%, з концентрацією на туристах та експатах у Таїланді й Гонконзі.
У 2026 році темп прискорився. Тільки у Франції за перші чотири місяці сталося 41 криптовикрадення. Одне кожні 2,5 дня.
Кейси: від $200 000 до сотень мільйонів
Кожна з цих історій показує різний тип загрози, різний масштаб і різні уроки.
Київ, Україна, липень 2024
29-річного іноземця викрали біля будинку в Солом’янському районі. Четверо нападників віком 24–29 років заздалегідь спланували операцію: відстежили адресу жертви та дочекалися повернення додому близько опівночі. Викрали 3 BTC — приблизно $207 000 за тодішнім курсом. Жертву задушили, тіло вивезли до лісу. Усіх чотирьох затримали, їм загрожує довічне ув’язнення.
Ключовий момент цього кейсу: сума була відносно невеликою. Три біткоїни. Але цього виявилося достатньо для вбивства.
Відень, Австрія, листопад 2025
21-річного українця атакували в підземному паркінгу готелю SO/Vienna. Двоє нападників — 19 і 45 років, обидва українці — побили його та змусили передати паролі від двох криптогаманців, які потім спустошили. Тіло знайшли у спаленому Mercedes з українськими номерами в районі Донауштадт. За деякими даними місцевих ЗМІ, жертва могла бути сином заступника міського голови Харкова, хоча офіційно це не підтверджено. Підозрюваних затримали в Україні.
Давід Балланд, Ledger, Франція, січень 2025
Співзасновника Ledger викрали разом із дружиною. Під час утримання йому відрізали фалангу пальця та надіслали фотографію бізнес-партнерам як частину вимоги викупу. Операцію зі звільнення провели бійці GIGN — елітного підрозділу французької жандармерії. Цей кейс став переломним моментом в обговоренні безпеки криптоіндустрії у Франції.
Париж, Paymium, травень 2025
Дочку та 2-річного онука П’єра Нуаза, CEO криптобіржі Paymium, намагалися викрасти серед білого дня на вулиці Rue Pache в 11-му окрузі Парижа. Жінка була на п’ятому місяці вагітності. Троє нападників у масках вискочили з фургона з підробленою символікою кур’єрської служби Chronopost. Дочка зуміла вирвати у нападника пістолет — він виявився Airsoft, тобто не справжньою вогнепальною зброєю, — і відкинути його. Перехожі допомогли відбити напад.
За підсумками розслідування затримано 25 осіб, включно із 6 неповнолітніми. Більшість підозрюваних — віком 16–23 роки. За даними CoinDesk, це були місцеві виконавці, найняті кримінальною мережею з Південно-Східної Азії приблизно за $10 000 для кожного. Адвокат одного з підозрюваних описав їх так: «дуже молоді люди, яких заманили грошима і втягнули в ситуацію, що їх переросла».
Ванкувер, Канада, квітень 2024
Четверо нападників у формі Canada Post і масках COVID увірвалися до будинку сім’ї. Вони утримували людей усю ніч. Батька та матір піддали waterboarding — імітації утоплення, коли жертві накривають обличчя тканиною і ллють воду, викликаючи відчуття задухи. Дочку зґвалтували. Викрали близько $1,5 млн у Bitcoin. Подробиці стали відомі лише після публікації судових документів наприкінці 2025 року. Ключовий факт: батько хвалився високими доходами від криптовалюти в китайській спільноті.
США: банда Ремі Сент-Фелікса
Цей кейс показує, як виглядає організоване криптопограбування зсередини. 25-річний Ремі Сент-Фелікс із Флориди очолював групу, яка починала із SIM-swap-атак — викрадення номера телефону для перехоплення SMS-кодів, — а потім перейшла до вторгнень у будинки. У 2022–2023 роках група провела серію нападів у Флориді, Техасі та Північній Кароліні: жертв зв’язували кабельними стяжками, погрожували зброєю та змушували переказувати криптовалюту. Загалом викрали понад $3,5 млн.
Сент-Фелікса засудили до 47 років ув’язнення. Це найдовший вирок у кримінальній справі, пов’язаній із криптовалютою, в історії США. Загалом засуджено 12 учасників групи. Після вироку Сент-Фелікс напав на свідка обвинувачення у СІЗО, за що отримав додаткові 6 років і 10 місяців.
ОАЕ, 2025
Криптопідприємця Романа Новака та його дружину заманили на фейкову ділову зустріч і вбили. Злочинці намагалися отримати доступ до гаманців, які, за їхніми оцінками, містили сотні мільйонів доларів. Гаманці виявилися порожніми або недоступними, але це не зупинило вбивство.
Франція, 2026: системна криза
41 випадок викрадення за чотири місяці. У квітні GIGN штурмувало будинок, де утримували матір та 11-річного сина криптопідприємця — нападники вимагали €400 000. У березні пара старше 50 років втратила $1 млн у BTC після вторгнення злочинців, які представилися поліцейськими. У лютому викрали суддю та її матір, щоб тиснути на партнера-криптопідприємця. Цілу родину — бабусь, дідусів, батьків та онуків — у курортному будинку в Англе захопили п’ятеро злочинців.
Як злочинці знаходять жертв
Десять років тому wrench attack переважно був злочином за нагодою: хтось дізнавався про криптовалюту знайомого і вирішував її забрати. Сьогодні це спланована операція з розвідкою, стеженням і спеціалізацією.
Витоки KYC-даних: парадокс «знай свого клієнта»
Джеймсон Лопп використовує гру слів: KYC — Know Your Customer — перетворюється на «Kill Your Customer». Бази даних, створені для боротьби з відмиванням грошей, стають джерелом цілей для фізичних нападників.
У травні 2025 року Coinbase розкрив масштабний витік. Злочинці підкупили аутсорс-агентів підтримки, які працювали через компанію TaskUs, і отримали дані приблизно 69 000 клієнтів: імена, домашні адреси, телефони, фотографії паспортів і водійських посвідчень, баланси рахунків та історію транзакцій. Зловмисники вимагали $20 млн, Coinbase натомість оголосив баунті на ту саму суму. Загальний збиток від інциденту оцінили у $400 млн.
Замисліться: хтось знає Вашу домашню адресу, має фотографію паспорта і розуміє, скільки грошей лежить на Вашому біржовому акаунті. Це готовий набір для організації нападу.
У січні 2026 року зламали Waltio — французьку платформу для криптоподаткової звітності. Хакерська група ShinyHunters отримала дані приблизно 50 000 користувачів: email-адреси та зведену інформацію з податкових звітів за 2024 рік. Дані з’явилися у продажу в даркнеті ще до того, як Waltio дізнався про злам. Французькі правоохоронці відкрито попередили, що ці дані вже використовують для фізичних нападів. Хакери на форумі BreachForums заявили про зв’язок між витоком Waltio і трьома конкретними викраденнями у Франції із загальною сумою збитків $17,1 млн.
Окремий випадок: у червні 2025 року французькі ЗМІ повідомили, що співробітник податкової служби систематично передавав злочинцям дані криптоінвесторів. Це інсайдерська загроза, проти якої технічний захист не працює.
Соцмережі та публічна активність
Нік Бакс із безпекової групи SEAL пояснює: у багатьох випадках жертва сама «підсвітила» себе. Скриншот балансу в крипточаті, пост про вдалу угоду, фотографія з конференції, виступ у подкасті. Канадська сім’я, яку піддали waterboarding, потрапила в поле зору злочинців саме тому, що батько хвалився доходами від криптовалюти в китайській спільноті.
Злочинці відстежують ці сигнали та формують профіль: скільки коштів може мати людина, де вона живе, коли буває вдома, з ким живе і чи є система охорони.
On-chain-аналітика і прозорість блокчейну
Блокчейн за замовчуванням прозорий. Якщо злочинці знають хоча б одну Вашу адресу — наприклад, Ви надсилали кошти людині, яка потім злила дані, — вони можуть відстежити рух коштів, оцінити загальний баланс і зрозуміти, у яких мережах зберігаються активи. Поєднання on-chain-даних із витоком KYC дає повну картину: ім’я, адреса, сума.
Організовані групи з розподілом ролей
Дослідники TRM Labs фіксують появу груп, які працюють за корпоративною моделлю. Розвідка: збір даних, моніторинг соцмереж, follow-home-тактика — за ціллю стежать від криптоконференції або ATM до будинку. Виконання: безпосередній напад, часто силами найнятих місцевих виконавців. Виведення: конвертація криптовалюти через DEX, міксери та мости. Кожна ланка працює автономно.
Паризький кейс Paymium це ілюструє: 25 затриманих, серед яких 6 неповнолітніх, були місцевими виконавцями. За версією слідства, замовлення надійшло від кримінальної мережі з Південно-Східної Азії. Оплата за спробу викрадення — приблизно $10 000 кожному виконавцю.
Чому апаратний гаманець не захистить від гайкового ключа
Апаратний гаманець, складний пароль, двофакторна автентифікація, перевірка адрес на екрані пристрою. Усе це працює проти хакерів. Проти людини з ножем або пістолетом жоден із цих захистів не працює.
Seed-фраза, якою Ви контролюєте весь гаманець, — це один набір із 12 або 24 слів. Під фізичним тиском Ви його продиктуєте. PIN-код від апаратного гаманця — теж. CertiK у звіті прямо називає це «структурною загрозою для цифрового володіння»: що надійніший цифровий захист, то привабливішим стає фізичний напад як спосіб його обійти.
Проблема в архітектурі: стандартний сетап криптогаманця має single point of failure. Одна людина знає все, що потрібно для переказу коштів. Одна seed-фраза, один PIN, один пристрій. Поки це так, wrench attack залишатиметься найкоротшим шляхом до Ваших грошей.
Завдання захисту від фізичної атаки принципово відрізняється від захисту від хакерів. Потрібно не ускладнити доступ — нападник подолає будь-яку складність, якщо має достатньо часу і мотивації, — а зробити так, щоб Ви фізично не могли переказати всі кошти, навіть якщо захочете.
Як реально захиститися: конкретні інструменти
Повністю виключити загрозу неможливо. Але можна побудувати систему, у якій wrench attack стає для злочинця безглуздим: Ви не можете віддати те, до чого не маєте миттєвого доступу, а злочинець не знає, скільки коштів у Вас насправді.
Стратегія «нудного сусіда»: найефективніший захист, який нічого не коштує
Лопп сформулював це так: «Найефективніше, що криптан може зробити для зменшення ризику wrench attack, дуже складне: не говорити про біткоїн, принаймні не від свого справжнього імені чи обличчя». Це складно не технічно, а психологічно. Людям подобається ділитися успіхами. Але в контексті криптовалюти це підвищує ризик фізичного нападу.
Що це означає на практиці:
Ніколи не називайте суму свого портфеля. Ні в чатах, ні в розмовах із друзями, ні на зустрічах. Навіть натяки на рівень добробуту — фотографії подорожей, нових автомобілів і покупок — формують профіль. Злочинцям не потрібні точні цифри. Достатньо зрозуміти, що «у цієї людини є що забрати».
Не публікуйте фотографії апаратних гаманців. Фото Ledger або Trezor в Instagram, на столі під час стріму, у story під час розпакування. Кожна така фотографія — прямий сигнал: людина зберігає криптовалюту в self-custody, а ключ від усіх грошей лежить десь поруч.
Криптододатки — на окремому телефоні. На основному смартфоні, який Ви носите із собою, не має бути MetaMask, Trust Wallet, Phantom, Rabby або будь-якого іншого криптододатка. Якщо телефон викрадуть або Вас зупинять на вулиці, на основному пристрої не буде нічого, що вказує на криптовалюту. Другий телефон зберігайте вдома в непримітному місці.
Окрема email-адреса для криптовалюти. Витоки KYC-баз трапляються регулярно. Coinbase, Waltio, Ledger — витік Global-e. Якщо email із криптобіржі збігається з email Вашого LinkedIn або Facebook, зв’язок між Вашою особою і криптоактивами стає очевидним за секунди. Використовуйте email, який не пов’язаний із жодним публічним профілем.
Обережність у криптоспільнотах. Telegram-чати, Discord-сервери, Twitter-треди. Усе, що Ви пишете, можуть зафіксувати та використати. Скриншоти розходяться за хвилини. Навіть просте «я закупився на просадці» в чаті на 500 осіб може зробити Вас ціллю для когось із учасників.
Мовчання на конференціях. Криптозаходи — це концентрація потенційних цілей в одному місці. Follow-home-тактику — стеження від конференції до готелю або будинку — зафіксовано в кількох кейсах. Не обговорюйте суми публічно та будьте обережні з новими знайомствами.
Passphrase — 25-те слово: прихований гаманець, про який ніхто не знає
Якщо multisig — це «важка артилерія», то passphrase — перша лінія захисту, доступна кожному власнику апаратного гаманця.
Як це працює. Стандартний seed із 24 слів генерує один набір ключів і адрес. Але якщо під час входу ввести додатковий пароль — passphrase, — гаманець згенерує зовсім інший набір ключів. З однієї seed-фрази Ви отримуєте два окремі гаманці, які ніяк не пов’язані між собою для зовнішнього спостерігача.
Практичне застосування. На гаманці без passphrase тримайте суму, яку готові віддати. Наприклад, $300–500. На прихованому гаманці з passphrase зберігайте основні кошти. Якщо Вас примусили, показуєте seed-фразу без кодової фрази. Нападник бачить баланс $500, забирає гроші та йде. У нього немає підстав підозрювати існування другого гаманця, оскільки технічно він «не існує» без правильної passphrase.
Passphrase підтримують усі основні апаратні гаманці: Ledger — усі моделі, Trezor — усі моделі, Keystone 3 Pro, Blockstream Jade, BitBox02 і OneKey. Налаштування займає кілька хвилин.
Але є нюанс, про який потрібно сказати чесно. Досвідчений нападник може знати про існування passphrase. Якщо він бачить на гаманці $500, а його розвідка каже, що у Вас має бути більше, тиск продовжиться. Тому passphrase потрібно розглядати як один з елементів захисту, а не як абсолютне рішення. Найкраще вона працює в поєднанні з OPSEC: якщо нападник не знає, скільки у Вас коштів, decoy-гаманець із помірною сумою виглядає правдоподібно.
Окремо варто згадати duress PIN — PIN під примусом. Blockstream Jade дозволяє налаштувати PIN-код, який відкриває decoy-гаманець із мінімальним балансом. Ще один PIN може повністю стерти пристрій. Ідея та сама: нападник отримує доступ, але не до основних коштів.
Multisig: зробіть так, щоб Ви фізично не могли віддати гроші
Це найнадійніший захист від фізичного примусу, який існує сьогодні. І ось чому.
Multisig — multi-signature — означає, що для підпису транзакції потрібно кілька ключів, які фізично зберігаються в різних місцях. Схема 2-з-3: три ключі, для переказу потрібні будь-які два. Один ключ у Вас вдома, другий у банківській комірці в іншому місті, третій у довіреної особи або провайдера, наприклад Casa.
Чому це працює: навіть якщо нападник стоїть поруч, Ви фізично маєте доступ лише до одного ключа. Ви не відмовляєтеся переказувати кошти. Ви фізично не можете цього зробити. Це технічна реальність, яку можна перевірити. Злочинцеві доведеться або утримувати Вас довше — що кратно підвищує його ризики, — або координувати дії в кількох локаціях — що ще складніше, — або піти ні з чим.
Психологічно це теж змінює динаміку. Коли жертва каже «я не можу», а не «я не хочу», у нападника зникає мотивація тиснути далі. Він прийшов за швидкими грошима, а отримав проблему.
Які варіанти налаштування є на ринку:
Існують сервіси, які спрощують налаштування multisig до рівня «встановити застосунок, підключити гаманці — і все працює». Вони беруть на себе технічну частину та зберігають один із ключів як резервний, залишаючи контроль за Вами.
Casa — американський сервіс, заснований Джеймсоном Лоппом, про якого ми вже згадували вище. Спеціалізується саме на захисті від фізичних загроз. У схемі 2-з-3 один ключ знаходиться на Вашому мобільному пристрої, один — на апаратному гаманці, ще один зберігає Casa. Для транзакції потрібні два з трьох. Якщо ключ втрачено або скомпрометовано, Casa допомагає з відновленням. Є схема 3-з-5 для більших сум. Від $21 на місяць або $250 на рік, без KYC під час реєстрації. Працює з Bitcoin, Ethereum та стейблкоїнами USDT і USDC.
Unchained — ще один американський сервіс, орієнтований на Bitcoin. Схема 2-з-3: Ви зберігаєте два ключі, ще один — Unchained. На відміну від Casa, сервіс вимагає верифікації особи — KYC — і відкриває акаунти лише для резидентів США. Персональний сейф коштує $250 на рік.
Самостійне налаштування можливе через Sparrow Wallet, Electrum або Caravan від Unchained. Це складніше і потребує технічних знань, але дає повний контроль без залежності від провайдера та без щомісячної підписки.
У сервісах на кшталт Casa або Unchained координацію бере на себе застосунок: Ви підключаєте пристрої, а сервіс збирає підписи та формує транзакцію. За самостійного налаштування цю роль виконує Sparrow, Electrum або Caravan на Вашому комп’ютері.
В обох випадках ключі зберігаються на апаратних гаманцях. Найкраща сумісність із multisig у Keystone 3 Pro, Coldcard, BitBox02, Trezor Safe 3 і Trezor Safe 5 — вони підтримують стандарт PSBT, Partially Signed Bitcoin Transactions, який використовують і сервіси, і десктопні координатори. Ledger теж можна підключити, але процес менш зручний.
Оптимальна практика — використовувати пристрої різних виробників для різних ключів. Наприклад, один ключ на Trezor, другий на Keystone. Якщо у прошивці одного виробника виявиться критична вразливість, другий ключ залишиться захищеним.
Таймлоки: транзакція, яка не може відбутися прямо зараз
Навіть якщо Ви маєте доступ до всіх ключів, timelock не дозволить переказати великі суми миттєво.
У Casa є функція Emergency Lockdown — заморожування гаманця із 72-годинною затримкою перед розблокуванням. Vault-рішення від BitGo дозволяють налаштувати індивідуальні затримки для переказів вище заданого порогу. У Bitcoin є нативні механізми CheckLockTimeVerify і CheckSequenceVerify, які дозволяють створювати транзакції, що стають валідними лише після певного часу.
Головна перевага: Ви можете чесно сказати нападнику, що фізично не здатні переказати великі суми прямо зараз.
Підготовлений сценарій: що робити, якщо напад усе ж стався
Головне правило, яке важливіше за будь-яку технологію: жодна сума в криптовалюті не варта Вашого життя та здоров’я. Не геройствуйте. Не намагайтеся перехитрити нападника, якщо він озброєний.
Але якщо Ви заздалегідь налаштували захист, у Вас є правдива легенда:
Ключове слово тут — «правдива». Ці фрази працюють, лише якщо за ними стоїть реальна технічна конфігурація. Блефувати під тиском небезпечно. Нападник може перевірити баланс, може знати про passphrase, може продовжити тиск. Але якщо multisig або timelock справді налаштовано, Ви кажете правду, і нападнику доводиться прийняти реальність.
Що робить Франція і чому це стосується України
Франція стала свого роду лабораторією для вивчення wrench attack у масштабі країни. І реакція уряду показує, наскільки серйозною стала проблема.
На Paris Blockchain Week у квітні 2026 року заступник міністра внутрішніх справ Жан-Дідьє Берже оголосив про запуск превентивної платформи для власників криптовалют, яка зібрала тисячі реєстрацій. Він працює разом із міністром Лораном Нуньєсом над комплексним планом захисту. VIP-гостей конференції на вечерю у Версалі супроводжував поліцейський кортеж. Організатори подвоїли охорону на всіх заходах.
Для країни, яка позиціонує Париж як криптохаб із ліцензуванням за MiCA, хвиля викрадень загрожує репутаційними та фінансовими втратами. Як зазначив CryptoSlate, Франція перетворюється на місце, «де криптобагатство найскладніше зберігати публічно».
Чому це стосується України? В Україні вже є власні кейси, про які ми розповіли вище. Модель атаки не має географічних обмежень. Витоки даних із глобальних платформ — Coinbase, Binance, Ledger — стосуються користувачів з усього світу. Якщо Ви українець і зареєстровані на біржі, яка постраждала від витоку, Ви потенційно вразливі.
Державні ініціативи допомагають, але основна відповідальність за фізичну безпеку залишається на самому власнику. Поліція може приїхати після нападу. OPSEC, multisig і passphrase працюють до нього.
Чеклист: що зробити прямо зараз
OPSEC
Захист коштів
Підготовка до найгіршого
Підсумок
72 верифіковані випадки за 2025 рік, 41 викрадення тільки у Франції за чотири місяці 2026-го, убивства в Києві та Відні, відрізані пальці, waterboarding, напади на дітей і вагітних. Загроза з коміксу xkcd стала реальністю, яка зростає разом із курсом Bitcoin.
Технічний захист криптовалюти — апаратні гаманці та холодне зберігання — вирішив проблему хакерів, але створив нову: вся відповідальність лежить на одній людині, і саме це експлуатує wrench attack. Захист від фізичного нападу потребує іншого підходу: не «ускладнити доступ», а «зробити миттєвий переказ неможливим».
Три рівні захисту працюють разом: не бути видимою ціллю — OPSEC і «стратегія нудного сусіда»; зробити миттєвий переказ усіх коштів технічно неможливим — multisig і timelock; мати запасний сценарій на випадок фізичного примусу — passphrase, decoy-гаманець і підготовлена легенда.
І останнє: жодна сума в криптовалюті не варта Вашого здоров’я та життя. Якщо ситуація стала небезпечною, віддайте те, що можете віддати. Гроші можна заробити знову.
Схожі повідомлення
Оновлення прошивки апаратного гаманця: коли оновлювати, а коли краще не поспішати
Оновлення прошивки апаратного гаманця часто здається дрібницею: пристрій купують, щоб він лежав у шухляді і не створював проблем. Здебільшого так і є, поки в застосунку не з’являється повідомлення про доступне оновлення прошивки. І тут люди діляться на два табори, які помиляються дзеркально: одні роками сидять на прошивці з задокументованими дірками, бо «працює ж», інші панічно …
Що таке мнемонічна фраза? Словник BIP39
Що таке мнемонічна фраза? – Запитують у нас наші клієнти. Давайте розбиратись. Мнемонічна фраза – це група слів, яка забезпечує доступ до ваших активів і є резервною копією для вашого крипто-гаманця (її часто також називають Seed-фразою або BIP39). Фраза може містити 12, 18, 24 слова. Найчастіше зустрічаються фрази на 12 та 24 слова Наскільки важливою …
Найкращі приватні месенджери з наскрізним шифруванням. Топ додатків у 2026 році
Найкращі приватні месенджери 2026 року захищають листування наскрізним шифруванням, але далеко не кожен популярний додаток справді приватний. Багато сервісів зберігають повідомлення на сервері у відкритому вигляді: компанія-власник може їх прочитати, передати за ордером або втратити під час витоку. У приватних — ні. Між цими двома категоріями є велика сіра зона, де маркетинг каже «зашифровано», а …
Зберігання seed-фрази: 5 безпечних способів у 2026
Seed-фраза це не просто набір слів. Це єдиний ключ до всього, що ти маєш у крипті. Усіх твоїх коштів, котрі захищені цією фразою. Якщо ти її втратиш — шансів повернути доступ майже немає.Існують white hat хакери, які відновлюють доступ до загублених гаманців — відомі випадки, коли вони повертали людям десятки мільйонів доларів. Але це поодинокі …