«Анатомия криптовалютного мошенника»: как за 6 месяцев исчезли 1,93 млрд долларов
Дрейнер не крадет вашу семенную фразу. Он крадет вашу подпись. Один клик — один неверный клик на кнопку «Получить», «Подтвердить» или «Подключить кошелек» — и цепочка заранее созданных смарт-контрактов опустошит ваши сбережения, прежде чем вы успеете убрать палец с трекпада.
Что на самом деле представляет собой «дрейнер»
A крипто-драйнер — это фишинговый инструмент, специально разработанный для Web3. Он не пытается выудить ваш пароль или похитить приватный ключ. Вместо этого он заставляет вас подписать транзакцию — как правило, approve(), setApprovalForAll(), либо вне цепочки Permit сообщение — которое предоставляет злоумышленнику право распоряжаться вашими активами по своему усмотрению. Кошелек остается «вашим». А вот средства — нет.
Эта модель чрезвычайно эффективна, поскольку она злоупотребляет законный базовые элементы блокчейна. Ваш закрытый ключ никогда не подвергается риску. На вашем компьютере нет вредоносного ПО. Существует лишь одна подпись — на одной транзакции, — которую увидят аналитики, работающие с данными цепочки, и действие которой ни одна инстанция не сможет отменить.
Согласно Chainalysis, «дрейнер» — это «фишинговый инструмент, разработанный для экосистемы Web3», который маскируется под легитимное dApp. Group-IB, Исследовательский центр Check Point, и ScamSniffer мы собрали в каталог тысячи рекламных кампаний, построенных именно на этой механике.
Цепочка уничтожения из 6 этапов
Каждая атака типа «дрейнер» — «Inferno», «Pink», «Angel», «MS», «CLINKSINK», «Rugging» и десятки безымянных форков — проходит через одни и те же шесть этапов. Искусство заключается в том, чтобы сжать все эти этапы в считанные секунды между подключением кошелька и подтверждением транзакции.
1. Приманка
Поддельные аирдропы, спонсируемая реклама в Google/X, взломанные верифицированные аккаунты (это Учетные записи SEC и Mandiant (оба из которых использовались в качестве «мегафонов» для сбора данных), боты для подтверждения учетных записей в [REDACTED], поддельные платформы для выпуска NFT, «эксклюзивные» приглашения в бета-версии и мошенничество с лицензированием интеллектуальной собственности. Независимо от того, под каким прикрытием это происходит, цель заключается в том, чтобы заставить вас перейти на домен, контролируемый злоумышленником.
2. Подключиться
Вы нажали «Подключить кошелек». [REDACTED], Rabby, WalletConnect, [REDACTED] — всё в порядке, всё как и ожидалось. Теперь скрипт-драйнер имеет доступ на чтение к объекту вашего кошелька через window.ethereum (или что-то аналогичное) и начинает стрелять eth_call запросы, выполняемые в фоновом режиме.
3. Разведка
Дрейнер перечисляет ваши активы: баланс в native, токены ERC-20, коллекции NFT, позиции в DeFi на нескольких цепочках. Он обращается к ценовым оракулам в стиле CoinGecko, чтобы привести все к доллару США. Премиум-наборы, такие как «Инферно Дрейнер» сохранить их настройки в цепочке блоков (BNB Chain), чтобы его можно было обновлять без повторного развертывания JS-кода.
4. Подпись
dApp предлагает вам «Подтвердить право владения», «Получить аирдроп», «Одобрить сбор средств» или «Подписать для входа». В интерфейсе кошелька отображается сообщение, которое на первый взгляд выглядит безобидно. На самом деле данные вызова (calldata) тщательно подобраны для нанесения максимального ущерба — см. следующий раздел.
5. Слить воду
Как только вы поставите подпись, злоумышленник позвонит transferFrom() из отдельного кошелька (операционное разделение — «Адрес», на который поступило подтверждение, никогда не является «Получателем», у которого хранится добыча). Премиум-наборы объединяют в одну партию нативные токены ETH, токены ERC-20, NFT стандартов ERC-721/1155 и переводы Permit2 в рамках одного multicall. Чистая задержка от подписания до перечисления средств: секунды.
6. Стирка
Средства проходят через SushiSwap / Uniswap (большинство инструментов безопасности намеренно включают легальные DEX в список разрешенных), затем через мосты в другие цепочки, далее через форки Tornado Cash и, наконец, поступают в Monero. Эти $284M [REDACTED] incident через несколько часов оказались в XMR.
Ваш кошелек (до подписания)
Контракт «Attacker» (после одной подписи)
Один подписанный Permit2 Сообщение может авторизовать всю партию. Второго подтверждения не требуется. Возможность восстановления отсутствует.
Четыре смертоносных боевых модуля
Каждый дрейнер в дикой среде использует ту или иную комбинацию этих четырёх примитивов. Каждый из них представляет собой законный Стандарт ERC или метод RPC. Никаких «патчи» — только осведомленность.
1. approve(spender, type(uint256).max) — Неограниченные расходы по стандарту ERC-20
Классический вариант. Вы утверждаете контракт токена на максимально возможную сумму (2^256 − 1) на адрес получателя, который вы не контролируете. Затем получатель — то есть злоумышленник — вызывает transferFrom(you, attacker, balance) в удобное для них время. Разрешение действует бессрочно, пока вы явно не отзовете его с помощью Revoke.cash или непосредственно контракт токена.
2. setApprovalForAll(operator, true) — полная коллекция NFT
Хуже, чем одобрение стандарта ERC-20, потому что это «всё или ничего» для каждой коллекции. Одна подпись — и все NFT в этом контракте теперь могут быть переведены злоумышленником. Именно так Сет Грин лишился 4 токенов Bored Ape в 2022 году, а одна из жертв потеряла 14 токенов BAYC в результате мошеннической схемы с поддельной лицензией «Forte Pictures» в декабре 2022 года.
3. EIP-2612 / Подписи Permit2 вне цепочки
Это 2024–2026 гг. — оружие выбора. Вместо цепочки блоков approve() (что требует расхода газа и явно сказывается на вашем кошельке), злоумышленник получает внецепочечную подпись EIP-712 посредством eth_signTypedData_v4. Никакой транзакции. Никаких комиссий с вашей стороны. Просто всплывающее окно с надписью «Подпишите это сообщение». Пользовательский интерфейс кошелька для подписи введенных данных, как известно, очень трудно читаем, а в Uniswap Разрешение № 2 превращает одну подпись в разрешения на несколько токенов одновременно.
См. Полное тематическое исследование Blockaid по проекту Permit2 для подробного описания реальной атаки, включая уловку с маршрутизацией через SushiSwap, которая маскирует вывод ETH под обычный обмен.
4. Прямой социальный инжиниринг с использованием семенной фразы
Строго говоря, это не «дрейнер» в узком смысле этого слова — но это вариант с самой высокой доходностью в 2026 году. Этот Инцидент с [REDACTED] в январе 2026 года не обошёл никакого шифрования. «Специалист службы поддержки» позвонил жертве, провел её через поддельную процедуру «подтверждения» и заставил её прочитать вслух сед восстановления. Результат: 1 459 BTC + 2,05 млн LTC = 284 млн долларов, что составило 71 % от общего объема убытков от краж криптовалюты за этот месяц; эти средства были конвертированы в Monero до того, как об этом заговорили в СМИ.
Аппаратные кошельки предотвращают удалённое извлечение ключей. Однако они не защищают вас от ввода седа на фишинговом сайте. Используйте Парольная фраза BIP-39.
Экономика «Drainer-as-a-Service»
Ни один из тех, кто на самом деле обманывает вас и забирает ваши деньги, не пишет код. Они аренда . «Drainer-as-a-Service» (DaaS) — это полностью стандартизированный рынок B2B, характеризующийся наличием брендинга, ценовых уровней, каналов поддержки, выпусков новых версий и явного давления на снижение комиссионных операторов.
Стоимость вступления для партнера: a $5,000–$10,000 deposit, а иногда и готовый комплект для этого. Партнер оставляет себе 75–95 % похищенных средств, а все технические вопросы — JS-код, смарт-контракт, хостинг, схему отмывания денег и даже круглосуточную поддержку в [REDACTED] — передает оператору. SentinelOne и Академическое исследование IMC 2025 подробно проследить цепочку поставок.
Именно поэтому разовых операций по ликвидации отдельных элементов, напоминающих игру «Удар по кроту», недостаточно — и именно поэтому регистраторы, которые закрывают глаза на злоупотребления являются настоящим узким местом. THE ENABLERS REGISTRY задокументировал и сообщил об этом Более 16 000 доменов, связанных с Inferno сам.
На что следует обратить внимание перед подписанием
Диалоговое окно подписи — это последняя линия защиты. Если выполняется любое из следующих условий, отменить — нет никаких обоснованных причин, по которым они были бы необходимы:
- Вы перешли на эту страницу по спонсируемому результату поиска, через личное сообщение или по ссылке в электронном письме. Результаты поиска по криптовалютам, содержащие рекламу, подвергаются манипуляциям во всех крупных поисковых системах. Всегда переходите на сайты через закладки.
- Подпись является «бесплатной» / «без комиссии» / «вне цепочки». Это внецепочечная подпись в стиле Permit2. Прочитайте поля с типизированными данными. Если
spenderесли это вам незнакомо, лучше уйти. - Сумма составляет
uint256.max,0xfff…fff, или «без ограничений». Практически ни один законный рабочий процесс не требует неограниченного утверждения. - Функция заключается в том, что
setApprovalForAllв коллекции, которую вы не узнаете. Или для «оператора», который не является [REDACTED] / Blur / LooksRare. - Сразу после подключения сайт предлагает переключиться на другую цепочку. В настоящее время выполняется цикл извлечения данных из нескольких цепочек.
- Контракт назначения был развернут менее 7 дней назад. Дрейнеры класса «Инферно» меняют промежуточные контракты каждые 24 часа.
- Вы чувствуете, что вас торопят. Таймеры обратного отсчёта, надписи «Акция заканчивается через 4:32», «Осталось всего 12 мест» — все шаблоны для привлечения клиентов содержат такие элементы.
- С вами первыми связались сотрудники «службы поддержки клиентов». [REDACTED], [REDACTED], [REDACTED], NASDAQ:COIN, LEI:5493004F7TI6QBM4WX72 — ни один из них не пишет вам в личные сообщения. Никогда.
Как на самом деле защитить себя
- Разделение кошельков. Холодный кошелек (аппаратный, большая часть активов) → операционный «горячий» кошелек (на 1–2 недели активности) → одноразовый кошелек (для всего нового, с балансом, близким к нулю). Никогда не подключайте холодный кошелек к новому dApp.
- Аппаратный кошелек + парольная фраза BIP-39. Пароль — это то, что отличает «инцидент с [REDACTED] на сумму 284 млн долларов» от ситуации, когда «злоумышленник завладел вашим седом, но ничего не нашел». Запомните его. Не храните его в цифровом виде.
- Симуляторы транзакций.Blockaid, Защита кошелька, «Карманная вселенная», «Огонь» — установите одну из них. Перед подписанием они показывают фактическое изменение баланса.
- Добавьте все dApps в закладки. Ни в коем случае не вводите «uniswap» в Google. Ни в коем случае не переходите по ссылкам, связанным с криптовалютами, в социальных сетях. Рекламные результаты оказываются ложными гораздо чаще, чем вы думаете.
- Еженедельно проверяйте свои утверждения.Revoke.cash показывает все активные разрешения во всех цепочках. Отмените все, чем вы активно не пользуетесь.
- Сначала проверьте любой незнакомый сайт через прокси-сервер. Опустошите кошелек, посмотрите, что он от вас требует, а потом решите, стоит ли он вообще того, чтобы в него вкладывать настоящие деньги.
- Отключите расширения браузера в профиле кошелька. Отдельный профиль браузера (или окно Brave Tor) исключительно для Web3. Расширения являются документально подтверждённым источником утечки ресурсов — см. Анализ цепочки поставок npm для [REDACTED].
- Проверьте репутацию домена. Вставьте URL-адрес в Отчеты по домену THE ENABLERS REGISTRY, urlscan или наш бот в [REDACTED]. Если мы это уже видели, то на него поставлена отметка.
Если вы уже подписались: сделайте это в течение следующих 60 секунд
- Стоп. Не подписывайте ничего больше, в том числе запросы на «исправление» или «восстановление» — это мошеннические схемы второго этапа, которые спекулируют на вашей панике.
- Переместите всё, что ещё не осушено. Создайте совершенно новый кошелек (желательно аппаратный) и перенесите в него сохранившиеся активы. Начните с самых ценных. Обращайтесь каждый адрес, полученный на основе скомпрометированного ключа, считается окончательно уничтоженным.
- Отменить разрешения на взломанный кошелек через Revoke.cash — для любой блокчейна, а не только для Ethereum. Это гонка с автоматизацией, которую использует злоумышленник.
- Все документируйте. Хэши Tx, адреса злоумышленников, временные метки, точный URL-адрес фишингового сайта. Скриншот, сделанный до закрытия вкладки.
- Отчет. Подать вместе с ФБР IC3, в местное подразделение по борьбе с киберпреступностью, указав затронутые протоколы (Uniswap, [REDACTED] и т. д. — они иногда блокируют деривативы), а также отправьте URL-адрес фишингового сайта по адресу @EnablersRegistry так что мы уничтожаем инфраструктуру для следующей жертвы.
- Если фраза-секрет была раскрыта: Кошелек пропал. Хватит пытаться его «обезопасить». Двигайся дальше, начни с нуля, извлеки из этого урок.
«Дрейнеры не взламывают криптографию. Они опровергают предположение о том, что люди способны считывать данные вызовов со скоростью, требуемой кошельками. Достаточно замедлить процесс на одну подпись — и вся индустрия краж рухнет».
Источники и дополнительная литература
- Chainalysis — «Крипто-драйнеры»: угроза для Web3
- Group-IB — Расследование по делу «Инферно Дрейнер»
- Check Point Research — Inferno Drainer: Перезагрузка
- ScamSniffer — Инциденты с «Pink Drainer» в 2024 году
- Blockaid — Пошаговое описание кражи криптовалюты
- BleepingComputer — Взлом Mandiant X через CLINKSINK
- Cyber Daily — Взлом Mandiant = кампания стоимостью 900 тыс. долларов
- SentinelOne — Распространение модели «Drainer-as-a-Service»
- Гурукул — Злоупотребление функцией утверждения транзакций в кошельке → атаки на Web3 с использованием вредоносного ПО
- [REDACTED] — Атака на цепочку поставок npm, направленная на пакеты Web3
- AInvest — Январь 2026 г. Анализ [REDACTED]: 284 млн долларов
- IMC 2025 (академическая программа) — Исследование по оценке экономики DaaS
- THE ENABLERS REGISTRY — Регистраторы, способствующие глобальным мошенническим схемам
- THE ENABLERS REGISTRY — Как проходит ликвидация фишингового сайта
- THE ENABLERS REGISTRY — Список угроз, удаляемых в режиме реального времени (более 130 тыс. активных угроз)
Как THE ENABLERS REGISTRY борется с «дрейнерами»
Мы — некоммерческое объединение операторов. Мы круглосуточно выявляем уязвимости в инфраструктуре дренажных систем с помощью SEO, платной рекламы, [REDACTED], X, [REDACTED] и «медовых ловушек» регистраторов, а затем устраняем их.
- 785K+ Домены, связанные с фишингом и мошенничеством, отслеживаемые с 2019 года.
- 89 тыс.+ заявления о злоупотреблениях, поданные в регистраторы и хостинг-провайдеры.
- 50+ Поставщики антивирусных решений и платформы аналитики угроз используют наш канал данных.
- <0,5 % доля ложноположительных результатов среди более чем 100 тыс. подтвержденных отчетов.
- Бесплатный, общедоступный, неизменяемый архив доказательств по GitHub + HuggingFace.
Заметили сайт с пиратским контентом? Пришлите URL-адрес по адресу @EnablersRegistry. Мы подадим заявление о нарушении ещё до того, как ваш кофе остынет.
