Представьте, что однажды, открыв свой криптокошелёк, вы обнаруживаете, что пропали все балансы. Вы не скачивали никаких вирусов, не переходили по подозрительным ссылкам, ни с кем не взаимодействовали и не давали никому доступ, однако средств нет. Вероятнее всего, вы стали жертвой атаки с «нулевым кликом».
Атака «нулевого клика» (zero-click attack, 0-click attack) или безкликовая атака — это цифровая угроза, которая позволяет хакерам получить доступ к кошельку жертвы без ее участия и без взаимодействия с ней.
Хотя взлом криптокошелька без каких-либо нажатий кажется невозможным, эта угроза вполне реальна, и ее следует остерегаться, если есть желание защитить свою криптовалюту. Подобная атака является последней в бесконечном ряду методов взлома криптокошельков.
Ноль кликов в контексте описываемой угрозы предполагает отсутствие каких-либо действий со стороны жертвы, а не злоумышленника.
Как работают атаки с нулевым кликом
Как правило, хакеры получают доступ к кошельку жертвы, когда та случайно загружает вредоносное программное обеспечение или переходит по фишинговой ссылке. В 2024 году наиболее распространенными типами атак на пользователей криптовалют были:
- Завладение доступом к криптокошельку — 33%. Пользователи безалаберно относятся к собственной безопасности, храня ключи доступа и мнемонические фразы в легкодоступных местах (заметки на рабочем столе, облако в Телеграм, скриншоты в телефонах).
- Рагуплы — 26%. Неумение оценивать и распознавать потенциальные скам-проекты и токены приводит к потере инвестированных средств в результате мошеннических действий создателей и разработчиков криптовалют и сервисов.
- Атаки флеш-кредитов — 23%. Скамеры «разводят» пользователей DeFi постоянно, потому что протоколы флэш-кредитования еще не защищены от атак и манипуляций. При атаке с использованием флеш-кредитов мошенник создает арбитражную возможность, изменяя относительную стоимость торговой пары токенов, используя займ для переполнения контракта и создания проскальзывания.
- Фишинг — 14%. Пользуясь наивностью жертв, скамеры регулярно выдают себя за сотрудников бирж, обменников, технических поддержек и криптокошельков с единственной целью — заполучить доступ к учетной записи.
- Уязвимости в смарт-контрактах — 4%. Пользуясь несовершенством логики смарт-контрактов или скрытыми дырами в них, целью злоумышленников становятся не конкретные пользователи, а DeFi-сервисы, куда эти пользователи инвестируют свою криптовалюту.
Все указанные методы атак так или иначе требовали от жертвы активных действий, будь то подписание и отправка транзакции, введение паролей или сид-фраз, что прямо или косвенно приводило к краже криптовалют. Однако криптоатака «нулевого клика» выполняется без каких-либо действий со стороны жертвы. Именно отсутствие взаимодействия и делает ее непрогнозируемой и такой опасной.
Вместо того чтобы полагаться на ошибки пользователя, атаки «с нулевым кликом» получают доступ к кошельку через уязвимости в программном обеспечении или сети.
Zero-click угрозы возникли не из-за появления криптовалют. Такие атаки существуют с начала 2000-х годов и изначально были нацелены на приложения для обмена сообщениями и почтовые клиенты, а с развитием криптовалют их целью стали кошельки.
Как происходит атака «нулевого клика»
Угроза кроется в несовершенных методах программирования. Вот несколько распространенных способов атак с нулевым кликом:
Недостатки программного обеспечения
Если Android-устройство получило обновление с определенным дефектом безопасности, злоумышленник может воспользоваться этой уязвимостью, просто отправив жертве смс с определенным набором слов. Как только приходит сообщение, оно активирует этот дефект и даёт хакеру полный контроль над устройством. После чего происходит вскрытие системы безопасности и получение доступа к ключам кошелька.
Аналогичным образом хакеры атакуют iOS-устройства через такие приложения, как iMessage или iTunes. В июне 2023 года «Лаборатория Касперского» сообщила об обнаружении ранее неизвестной атаке нулевого клика на iOS-устройства, назвав ее «Операция Триангуляция».
Уязвимости сети
Целенаправленные атаки могут взломать программное обеспечение вашего кошелька, если вы подключены к публичной Wi-Fi-сети, например, в кофейне или метро. То же самое относится и к открытым Bluetooth-соединениям.
Открытые сети передают незашифрованные пользовательские данные между устройствами, а хакеры могут перехватывать пакеты этих данных и рассылать в них вредоносное ПО, нацеленное на любые устройства с определенной уязвимостью в программном обеспечении.
Любое подключение к устройству, будь то Wi-Fi, Bluetooth или другое, является потенциальной возможностью для взлома. Именно это делает zero-click атаки такими опасными. Они могут возникнуть из ниоткуда. В один «прекрасный» день злоумышленник находит способ воспользоваться особенностями мобильного устройства и использует его в своих целях.
Уязвимости децентрализованных приложений
Большинство криптовалютных кошельков взаимодействуют с Web3-приложениями, также известными как децентрализованные (dApps). Примечательно, что затраты на создание dApp относительно небольшие, но меры безопасности могут сильно различаться.
Даже если используется надежный Web3-сервис, в любой момент его код может стать уязвим для атак «нулевого клика». Злоумышленники могут использовать это слабое место, например ошибку в логике смарт-контракта dApp, чтобы получить доступ к кошельку жертвы.
Взаимодействие с новыми dApp может быть заманчивым, и предусмотрительно следует использовать кошелек с минимальным количеством средств. Это даст возможность протестировать приложение и одновременно снизить ущерб от потенциального взлома кошелька в случае угрозы zero-click атаки.
В марте 2025 года компания Microsoft сообщила о новом трояне StilachiRAT (remote access trojan, RAT), который с ноября 2024 года крадет приватные ключи, сид-фразы и пароли из браузерных кошельков MetaMask, Trust, TronLink, Bitget, TokenPocket, OKX Wallet, Phantom, BNB Chain Wallet и прочих расширений для Chrome. Он сканирует буфер обмена, ища ключи к кошелькам, собирает информацию о железе и может удалённо управлять ПК, перезагружая операционную систему или запуская любые приложения. Если попытаться удалить его, троян самовосстанавливается.
Что делать при атаке «нулевого клика»
Если есть подозрение, что вы стали жертвой zero-click атаки, чтобы защитить свою крипту, следует незамедлительно выполнить ряд действий:
- Немедленно отключить атакуемое устройство от интернета.
- Перенести криптокошелёк на другое устройство, используя фразу восстановления.
- Запустить антивирусную проверку на атакуемом устройстве.
Атаки «нулевого клика» отличаются от атак «нулевого дня» тем, что атаки «нулевого клика» могут происходить без взаимодействия с жертвой, тогда как для атак «нулевого дня» требуется нажать на что-то или открыть файл.
Методы защиты от атак «нулевого клика»
Атаки с «нулевым кликом» могут происходить скрыто и непредсказуемо, но чтобы защитить себя от них, нужно следовать передовым методам обеспечения криптобезопасности:
- Отключить автоввод текстов из SMS и автозагрузку мультимедиа в любых приложениях для обмена сообщениями, особенно в WhatsApp и Telegram.
- Свести к минимуму использование Bluetooth, отключать всегда, когда он не используются. Это позволит ограничить точки доступа для некоторых zero-click атак.
- Регулярно проверять историю подключений к кошельку. Если были замечены исходящие транзакции без вашего ведома или с неизвестным источником, следует перевести средства на другой (новый) кошелек.
- Использовать аппаратные кошельки, поскольку они отключены от сети и более защищены от киберугроз, в том числе от атаки «нулевого клика».
- Использовать мультиподписные кошельки, поскольку для одобрения транзакции они требуют несколько подписей. Этот дополнительный уровень защиты позволяет значительно снизить риск несанкционированных трат.
- Регулярно обновлять приложения и программное обеспечение, в обновлениях часто появляются новые средства защиты и исправления ошибок, которые могут предотвратить атаки «нулевого клика».
- Использовать антивирусное программное обеспечение и регулярно проверять им устройство на наличие аномалий и подозрительной активности.
- Использовать на устройстве функцию автоматического резервного копирования, чтобы в случае взлома откатить его состояние к предыдущей версии.
- Ужесточить разрешения приложений криптокошельков и настроить их так, чтобы они требовали ручного ввода данных для таких действий, как транзакции отправки, и без вашего участия не делали ничего.
- Использовать двухфакторную аутентификацию (2FA) везде, где это возможно. В идеале — аппаратные ключи безопасности.
- Использовать собственный VPN, который шифрует интернет-трафик, благодаря чему хакерам будет сложнее перехватить ваши данные.
- Быть внимательным. Пожалуй, это самый важный способ защиты. Отслеживать появление новых угроз, следить за авторитетными источниками по кибербезопасности и предпринимать необходимые меры предосторожности, рекомендуемые ими.
Если нет возможности заиметь аппаратный криптокошелёк или создать мультиподписной, то для безопасного хранения криптовалюты рекомендуется выделить отдельное мобильное устройство без SIM-карты, в котором удалить все приложения, держать его выключенным и включать исключительно для того, чтобы сделать перевод необходимой суммы на повседневный.
Как выявить угрозу атаки «нулевого клика»
Атаки с нулевым кликом могут появиться из ниоткуда, но существуют признаки вторжения.
Если есть подозрения, но нет уверенности, то следует обратить внимание на эти признаки:
- Быстрая разрядка аккумулятора. Если атака устанавливает вредоносное ПО, батарея устройства может разряжаться быстрее.
- Снижение производительности устройства. Наряду с ускоренным разрядом батареи можно заметить, что устройство работает медленнее, чем обычно.
- Случайные установки приложений. Иногда атаки «нулевого клика» могут устанавливать приложения без согласия пользователя. Если вы заметили приложение, которое вы никогда не устанавливали, «снесите» его и будьте наготове.
- Неизвестные фоновые процессы. Если в телефоне внезапно появились новые фоновые процессы, стоит изучить их досконально. Эти процессы могут быть результатом атаки «нулевого клика».
- Повышенное использование данных. Если замечен аномальный и резкий скачок потребления данных, следует незамедлительно провести проверку на вирусы.
- Необычные текстовые сообщения. Если вы получаете нераспознанные текстовые сообщения или электронные письма, немедленно удаляйте их и блокируйте отправителя.
Такие атаки могут происходить не сразу, а в ожидании определенного триггера.
Будущее атак «нулевого клика»
По мере развития криптотехнологий будут развиваться и киберугрозы для пользователей криптовалют. Некастодиальные кошельки работают без центрального органа управления, а значит, их безопасность полностью зависит от пользователя. Такая автономность делает их мишенью для хакеров, а значит, работа с ними сопряжена с определенным риском.
По мере совершенствования искусственного интеллекта (ИИ) злоумышленники могут использовать его для разработки еще более сложных шпионских программ, работающих по принципу «нулевого клика». Будущие угрозы могут включать код, который автоматически обновляется после заражения устройства и защищает себя от всего, что на него набросится с целью уничтожения.
Защищаться от этих угроз сейчас важно как никогда. Элементарное, что можно сделать, — это следить за экспертами по кибербезопасности и придерживаться передовых методов противодействия. Лучшая защита от zero-click или любой другой формы атак — развиваться вместе с ними. Атаки «нулевого клика» — едва ли не новейшие из имеющихся криптоугроз, и они будут продолжать развиваться, как процессы и методы безопасности.