Купля-продажа NFT: 14 способов слить 50 ETH
и как гарантированно этого не допустить
Вы отправили 12 ETH на кошелек продавца. Он подтвердил mint. Вы открыли OpenSea — коллекция «CryptoLegends» с редким #487. Выставили на продажу за 22 ETH. Через 3 часа — NFT исчез из кошелька. Вместо него — токен с тем же именем, но другим contract address.
Это — не баг OpenSea. Это — классический rug-pull через «клон-контракт».
В 2024–2025 годах **73% NFT-скамов** происходят не из-за фишинга — а из-за того, что покупатель никогда не проверил 4 ключевых параметра: contract address, tokenURI, owner, royaltyInfo.
NFT — это не картинка. Это код. И если вы не читаете код — вы покупаете слепо.
💣 14 реальных способов слить ETH на NFT-сделке (2024–2025)
(Проверьте себя — если вы не проверяете хотя бы 5 пунктов, ваша сделка в зоне риска)
- Подмена contract address в чате
→ Продавец присылает «0xAbc…789» — а в TXN вы вводите «0xA6c…789». Разница — в одном символе. - Клон-контракт с тем же названием и изображениями
→ Дублируется metadata, но ownership — у мошенника. После покупки он вызываетselfdestruct(). - Динамические метаданные (off-chain JSON)
→ Изображение и атрибуты хранятся на IPFS — но URL можно изменить черезsetBaseURI(). - Скрытые royalties >50%
→ В контракте:royaltyInfo(tokenId) → (seller, 9500). Каждая перепродажа — 95% уходит не вам. - Отмена транзакции через frontrun
→ Продавец отменяет mint до подтверждения — вы платите, но не получаете токен. - «Soft rug»: отсутствие reveal
→ Коллекция mint’ится как «?», reveal откладывается на «неделю». Через месяц — проект закрыт. - Proxy-контракты с upgradeable logic
→ Владелец может заменить весь код черезupgradeTo()— даже после mint’а. - Непроверенный ownership
→ Продавец не является владельцем — он перепродаёт поapprove(), но может отозвать доступ в любой момент. - Поддельная верификация в Etherscan
→ Контракт «Verified» — но source code скомпилирован с другим ABI. - Скрытые функции:
drain(),withdrawAll()
→ После продажи — мошенник забирает ликвидность из связанного пула. - Отсутствие лицензии на коммерческое использование
→ Вы купили «арт» — но не имеете прав на merchandise, NFTfi или衍生品. - Манипуляции с rarity
→ Атрибуты генерируются off-chain — продавец может «подкрутить» редкость перед reveal. - Связь с mixer’ами в истории кошелька
→ Кошелек продавца участвовал в Tornado Cash → возможна блокировка через sanctions list. - Сделка вне эскроу
→ Без заморозки ETH до подтверждения получения — нет рычага давления.
✅ Механика №089: «Продажа NFT с защитой от скама»
Разработана после 37 скам-кейсов в 2024. Сегодня — 218 сделок, 0 потерь.
1. 🔍 AI-аудит контракта (до оплаты)
Сканер проверяет:
• Соответствие ABI в Etherscan и on-chain bytecode
• Наличие selfdestruct(), drain(), upgradeTo()
• Royalty % и получатель
• Историю ownership’а токена (возможно ли reclaim?)
2. 📡 Проверка метаданных
• tokenURI → загрузка JSON → хеширование изображения → сравнение с IPFS CID
• Проверка, зафиксированы ли метаданные (frozen = true)
• Анализ редкости — по on-chain данным, а не по скриншотам
3. 🔐 Эскроу-заморозка ETH
Средства поступают в Эскроу 3.0 (многосигнатурный кошелек). Разблокировка — только после:
- ✅ Подтверждения получения NFT в кошельке покупателя
- ✅ Проверки
ownerOf(tokenId)через блокчейн-ноду - ✅ Сохранения хеш-репорта в Arweave
4. 🧪 Подтверждение получения
Покупатель:
• Делает скриншот NFT в кошельке (с contract address)
• Вызывает nft.ownerOf(487) через Etherscan «Read Contract»
• Подтверждает в @GARANT_S_bot: «NFT получен»
5. 📜 Блокчейн-фиксация
Все этапы — в хеш-репорте. + NFT-подтверждение «Сделка завершена» (ERC-1155, non-transferable).
+50 XP за первый запуск. Поддержка 24/7.
🤖 Калькулятор рисков: сколько стоит «не проверить контракт»?
Наш AI за 5 секунд оценит ваш NFT. Пример:
🔎 Актив: NFT (PFP коллекция)
💰 Сумма: 6.8 ETH
⚠️ Риски: contract unverified, tokenURI mutable, royalty 90% to unknown address
🎯 Уровень: КРИТИЧЕСКИЙ
✅ Рекомендация: Обязательно используйте механику №089 + AI-аудит контракта
📈 Кейс: Покупка NFT «Azuki Clone» (редкий #132)
Сумма: 4.2 ETH
Риски до гаранта: контракт — клон Azuki с подменой tokenURI, royalties 85% на анонимный кошелек, ownership не зафиксирован
Что сделал ГАРАНТ СДЕЛОК №1:
- AI-аудит выявил mutable URI и скрытую функцию
changeOwner() - Сделка остановлена. Продавец предложил оригинал (verified contract)
- Сделка прошла по механике №089: эскроу → проверка → подтверждение
- Покупатель получил NFT → продал через 17 дней за 7.1 ETH
Результат: +2.9 ETH прибыли. 0 рисков. Хеш-репорт в Arweave.
Скриншот проверки tokenURI и ownerOf в Etherscan — часть хеш-репорта
❓ Часто задают
Можно ли купить NFT напрямую через OpenSea без гаранта?
Только если:
• Контракт verified + audited (CertiK, OpenZeppelin)
• Метаданные frozen
• Royalties ≤10% и на известный адрес
→ В 89% случаев — этого нет. Рекомендуем всегда использовать эскроу для сделок >0.5 ETH.
А если NFT на другой сети (Base, zkSync, Solana)?
ГАРАНТ СДЕЛОК поддерживает 16 сетей. Для Solana — отдельная механика №091 с проверкой через Solscan и Phantom API.
Сколько стоит услуга?
Фиксированная комиссия: 1.5% от суммы сделки (min 0.01 ETH). Оплата — только после подтверждения получения NFT.
🚀 Готовы купить или продать NFT — и не стать статистикой?
Запустите механику №089 в Telegram. AI-аудит + эскроу + блокчейн-верификация. 99.8% без споров.
Официальный бот: @GARANT_S_bot
+50 XP за первый запуск. Поддержка 24/7.
