Безопасность TWA: какие риски и как отличать скам

TWA — мощный канал дистрибуции для добропорядочных проектов и такой же мощный канал для скама. Чем ниже барьер для пользователя кликнуть на ссылку и подключить кошелёк, тем ниже барьер и для мошенника пристроить туда поддельное приложение. По состоянию на май 2026 в Telegram циркулируют четыре крупных типа скамерских TWA: клоны популярных приложений, drainer-апп под видом кошельков, фишинг через TON Connect и фейковые airdrop.

Разбираем каждый тип, признаки определения, реальные кейсы 2024-2026 года, роль премодерации Telegram и финальный чек-лист, который снижает риск потерь почти до нуля.

Тип 1: клоны популярных приложений

Самый массовый класс скама. Логика мошенника простая: пользователь ищет в Telegram «Notcoin», «Hamster Kombat», «Catizen» — и натыкается на поддельный бот с похожим именем и интерфейсом, имитирующим оригинал.

Признаки клонов:

• Username отличается на 1-2 символа. notcoin_bot против notcoin_official_bot, notcoin1_bot, not_coin_bot. Telegram username регистрозависим на отображение, но не на поиск — мошенники этим пользуются.
• Имя профиля и аватар скопированы 1-в-1. Внутри клиента Telegram отличить трудно.
• Первое сообщение бота просит подключить кошелёк или импортировать seed-фразу. Оригинальный Notcoin никогда не просит seed.
• Канал бота либо пустой, либо состоит из 2-3 свежих репостов из настоящего канала.

Известные кейсы 2024-2025: клоны Notcoin собирали seed-фразы под предлогом «подтвердить ранний аккаунт для аирдропа»; клоны Hamster Kombat — под предлогом «бонусная капча для удвоения дохода». Telegram банил такие боты партиями, но новые появлялись быстрее.

Тип 2: drainer-апп под видом кошельков

Drainer — это TWA, которое выглядит как кошелёк или DeFi-инструмент и при первой же подписи переводит активы пользователя на адрес атакующего. Внешне всё похоже на легитимное приложение: брендинг, экран баланса, кнопки «Swap», «Stake».

Механика drainer:

1. Пользователь открывает TWA по ссылке из спам-сообщения или рекламы в TON-канале.
2. Приложение запрашивает подключение через TON Connect.
3. Запрашивает «авторизацию» — на экране стандартный диалог подписи.
4. В payload транзакции зашит не auth-сообщение, а реальный перевод TON или жетонов на адрес мошенника.
5. Пользователь подписывает — активы уходят.

Защита на стороне кошельков частичная: Tonkeeper, MyTonWallet и Wallet в Telegram показывают «вы переводите X TON на адрес Y» — не каждый пользователь читает. Часть кошельков улучшила UI: сумма перевода и адрес получателя крупным шрифтом, предупреждение для впервые видимых адресов.

Признаки drainer-апп:

• Запрашивает подключение TON Connect для приложения, которому это не нужно. Календарь, чат, погодник, мини-игра — у них нет причин просить кошелёк.
• Имитирует Tonkeeper или MyTonWallet — официальные кошельки распространяются через TWA только в специфических интеграциях, не как самостоятельные «новые кошельки».
• Сразу после подключения формирует транзакцию с непонятной целью. Если приложение не объяснило, зачем подписывать конкретное действие, — не подписывать.
• Адрес контракта получателя — свежий, без истории. Tonscan/Tonviewer показывает несколько транзакций за последние часы, все — входящие переводы от других жертв.

Тип 3: фишинг подписи через TON Connect

Развитие drainer-схемы — фишинг под видом легитимных протоколов. Пользователь ожидает, что взаимодействует со STON.fi, DeDust, EVAA, Tonstakers — и получает запрос на подпись. Но запрос отправлен не от настоящего сайта, а от его клона.

Сценарий:

1. Пользователь видит в чате или канале «ссылку на STON.fi» в виде stonfi-org.io или ston-fi.app (вместо ston.fi).
2. Открывает сайт-клон с идентичным дизайном.
3. Подключает кошелёк через TON Connect — на этом этапе всё ещё безопасно.
4. Запускает «своп» — приложение формирует транзакцию.
5. В транзакции зашит перевод на адрес мошенника, а не реальный своп.

Защита: всегда сверять домен с тем, что у проекта в официальном Twitter / Telegram. Сохранять закладку и переходить только из неё, а не из сообщений в чатах.

Тип 4: фейковые airdrop с импортом seed

Худший вариант — приложение, прямо просит ввести seed-фразу. Логика мошенника: «вы должны импортировать кошелёк в наше приложение, чтобы получить ваш airdrop / подтвердить ранний аккаунт / обновить статус NFT». Это всегда скам, без исключений.

Никакой легитимный TON-проект никогда не просит seed-фразу. Tonkeeper не просит, MyTonWallet не просит, Wallet в Telegram не просит, ни одно DeFi-приложение не просит. Если приложение просит seed — это мошенничество в 100% случаев, не в 99%.

Типичные обёртки:

• «Подтвердите кошелёк для аирдропа Notcoin Season 2».
• «Импортируйте старый кошелёк для миграции на новый стандарт».
• «Восстановите доступ к замороженному балансу».
• «Подключите кошелёк к новой ноде для повышения статуса».

Реакция должна быть одна: закрыть приложение, не вводить seed, сообщить мошеннический бот в Telegram (@notoscam_bot или через support).

Роль премодерации Telegram

С 2024 года Telegram занял более активную позицию по борьбе с TWA-скамом:

1. Премодерация при публикации. Новый бот, заявленный как TWA через BotFather, проходит автоматическую проверку: схожесть имени с известными брендами, наличие подозрительных payload-паттернов.
2. Верифицированные галочки. Крупные TWA с большой аудиторией получают синюю галочку Telegram Verified. Это не гарантия безопасности, но отсутствие галочки у «Notcoin» или «Hamster» — однозначный сигнал клона.
3. Бан по жалобам. Скамерские боты массово банятся по жалобам пользователей и команд проектов. Срок реакции — от часов до нескольких дней.
4. Прозрачность BotFather creator. Через инспектора видно, кто создал бот и когда. Свежий бот, созданный неделю назад, и претендующий быть «официальным Notcoin» — клон.

Что премодерация не делает:

• Не проверяет содержимое TWA на drainer-функции в runtime (это техническая сложная задача).
• Не блокирует мошеннические сайты вне Telegram, на которые ведут TWA.
• Не успевает за всеми клонами — мошенники регистрируют новые ботов быстрее, чем модерация банит.

Чек-лист безопасности TWA

Перед открытием любого TWA, особенно с подключением кошелька:

1. Проверить username бота посимвольно с тем, что указано на официальном сайте или в верифицированном Twitter.
2. Посмотреть, есть ли галочка Telegram Verified для крупных проектов.
3. Открыть канал бота — у настоящего проекта это многолетний канал с историей постов, у клона — пустой или с 2-3 свежими репостами.
4. Проверить creator-инфо — когда бот был создан, в BotFather. Возраст «настоящего Notcoin» — годы, клона — дни.
5. Сверить ссылку на TWA с той, что в официальной документации проекта или поиске Tonscan по имени проекта.
6. Не вводить seed-фразу нигде, кроме официальных интерфейсов восстановления кошельков (Tonkeeper, MyTonWallet, Wallet в Telegram).
7. Внимательно читать транзакцию перед подписью — сумма, получатель, действие. Если что-то непонятно — отменить.
8. Закрыть TON Connect-сессию после завершения работы с приложением. Не оставлять активной «на потом».
9. Хранить большие суммы на отдельном кошельке, не подключённом к TWA. Для экспериментов с новыми апп — отдельный кошелёк с минимальным балансом.
10. Подписаться на security-каналы, где публикуют свежие скам-кейсы в TON (например, официальные warning-каналы команд кошельков).

Что делать, если уже стал жертвой

Если транзакция уже подписана и активы ушли:

1. Принять, что транзакцию отозвать невозможно. TON — публичный блокчейн, нет «отмены».
2. Срочно перевести оставшиеся активы на чистый кошелёк. Новая seed-фраза, желательно аппаратный кошелёк (Ledger).
3. Отозвать все активные TON Connect-сессии в старом кошельке.
4. Через Tonscan / Tonviewer проверить, на какой адрес ушли средства. Сохранить хеш транзакции — может пригодиться позже при расследовании.
5. Сообщить в support команды кошелька и проекта, под чьим брендом действовал мошенник. Иногда удаётся включить адрес в чёрный список и предупредить других.
6. Никогда не оплачивать «услуги возврата». Любой, кто пишет в ЛС и предлагает вернуть украденное за процент, — это второй мошенник, наживающийся на отчаянии жертвы.

Кошельки и пользователи: разделение ответственности

Хорошие TON-кошельки (Tonkeeper, MyTonWallet, Wallet в Telegram) делают часть работы за пользователя:

• Показывают сумму и адрес перевода крупным шрифтом перед подписью.
• Подсвечивают свежие адреса без истории как подозрительные.
• Предупреждают при попытке подписи нестандартного payload.
• Ведут список известных drainer-адресов и отказываются подписывать на них.

Но окончательное решение всегда за пользователем. Технически кошелёк не может различить «легитимный своп STON.fi на $1000» и «drainer-транзакция на $1000» по структуре — обе выглядят как обычные операции. Решение «эта подпись — то, что я хотел сделать» принимает человек.

Заключение

TWA-скам в Telegram — это не «новый и необычный» класс мошенничества, это знакомые схемы (клоны, фишинг, drainer), адаптированные под формат мини-аппов. Защита тоже знакомая: внимательность, проверка ссылок, отказ вводить seed где-либо кроме официальных кошельков, чтение транзакции перед подписью.

Премодерация Telegram отсекает большую часть, но не всё. Кошельки помогают, но не страхуют. Финальная линия защиты — пользователь и его дисциплина. Чек-лист в этой статье работает не сам по себе, а только если пользователь действительно проходит по нему каждый раз, когда открывает незнакомое TWA. Один пропущенный пункт — и потерян кошелёк.