Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / RU / CRYPTO DRAINER ANATOMY

Как устроен «Crypto Drainer»: похищено 1,93 млрд долларов

The Enablers Registry·Editorial mirror·/ru/crypto-drainer-anatomy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

УГРОЗА WEB3

«Анатомия криптовалютного мошенника»: как за 6 месяцев исчезли 1,93 млрд долларов

Дрейнер не крадет вашу семенную фразу. Он крадет вашу подпись. Один клик — один неверный клик на кнопку «Получить», «Подтвердить» или «Подключить кошелек» — и цепочка заранее созданных смарт-контрактов опустошит ваши сбережения, прежде чем вы успеете убрать палец с трекпада.

Как устроен «опустошитель» криптокошельков — шестиэтапная цепочка атак
$1.93B
Убытки за первое полугодие 2025 года
+540 % по сравнению с 2023 годом
$284M
Одна жертва, январь 2026 года
Мошенничество с семенной фразой [REDACTED]
320K+
Жертвы в 2023 году
~900 каждый день
$5–10K
Стоимость подключения к DaaS
комплект «под ключ»

Что на самом деле представляет собой «дрейнер»

A крипто-драйнер — это фишинговый инструмент, специально разработанный для Web3. Он не пытается выудить ваш пароль или похитить приватный ключ. Вместо этого он заставляет вас подписать транзакцию — как правило, approve(), setApprovalForAll(), либо вне цепочки Permit сообщение — которое предоставляет злоумышленнику право распоряжаться вашими активами по своему усмотрению. Кошелек остается «вашим». А вот средства — нет.

Эта модель чрезвычайно эффективна, поскольку она злоупотребляет законный базовые элементы блокчейна. Ваш закрытый ключ никогда не подвергается риску. На вашем компьютере нет вредоносного ПО. Существует лишь одна подпись — на одной транзакции, — которую увидят аналитики, работающие с данными цепочки, и действие которой ни одна инстанция не сможет отменить.

Согласно Chainalysis, «дрейнер» — это «фишинговый инструмент, разработанный для экосистемы Web3», который маскируется под легитимное dApp. Group-IB, Исследовательский центр Check Point, и ScamSniffer мы собрали в каталог тысячи рекламных кампаний, построенных именно на этой механике.

Цепочка уничтожения из 6 этапов

Каждая атака типа «дрейнер» — «Inferno», «Pink», «Angel», «MS», «CLINKSINK», «Rugging» и десятки безымянных форков — проходит через одни и те же шесть этапов. Искусство заключается в том, чтобы сжать все эти этапы в считанные секунды между подключением кошелька и подтверждением транзакции.

1 Lure airdrop / ad / DM 2 Connect wallet hooked 3 Recon analyzeWallet() 4 Sign approve / permit 5 Drain transferFrom() 6 Launder DEX → bridge → XMR SOCIAL ENGINEERING TECHNICAL EXECUTION EXFILTRATION

1. Приманка

Поддельные аирдропы, спонсируемая реклама в Google/X, взломанные верифицированные аккаунты (это Учетные записи SEC и Mandiant (оба из которых использовались в качестве «мегафонов» для сбора данных), боты для подтверждения учетных записей в [REDACTED], поддельные платформы для выпуска NFT, «эксклюзивные» приглашения в бета-версии и мошенничество с лицензированием интеллектуальной собственности. Независимо от того, под каким прикрытием это происходит, цель заключается в том, чтобы заставить вас перейти на домен, контролируемый злоумышленником.

2. Подключиться

Вы нажали «Подключить кошелек». [REDACTED], Rabby, WalletConnect, [REDACTED] — всё в порядке, всё как и ожидалось. Теперь скрипт-драйнер имеет доступ на чтение к объекту вашего кошелька через window.ethereum (или что-то аналогичное) и начинает стрелять eth_call запросы, выполняемые в фоновом режиме.

3. Разведка

Дрейнер перечисляет ваши активы: баланс в native, токены ERC-20, коллекции NFT, позиции в DeFi на нескольких цепочках. Он обращается к ценовым оракулам в стиле CoinGecko, чтобы привести все к доллару США. Премиум-наборы, такие как «Инферно Дрейнер» сохранить их настройки в цепочке блоков (BNB Chain), чтобы его можно было обновлять без повторного развертывания JS-кода.

4. Подпись

dApp предлагает вам «Подтвердить право владения», «Получить аирдроп», «Одобрить сбор средств» или «Подписать для входа». В интерфейсе кошелька отображается сообщение, которое на первый взгляд выглядит безобидно. На самом деле данные вызова (calldata) тщательно подобраны для нанесения максимального ущерба — см. следующий раздел.

5. Слить воду

Как только вы поставите подпись, злоумышленник позвонит transferFrom() из отдельного кошелька (операционное разделение — «Адрес», на который поступило подтверждение, никогда не является «Получателем», у которого хранится добыча). Премиум-наборы объединяют в одну партию нативные токены ETH, токены ERC-20, NFT стандартов ERC-721/1155 и переводы Permit2 в рамках одного multicall. Чистая задержка от подписания до перечисления средств: секунды.

6. Стирка

Средства проходят через SushiSwap / Uniswap (большинство инструментов безопасности намеренно включают легальные DEX в список разрешенных), затем через мосты в другие цепочки, далее через форки Tornado Cash и, наконец, поступают в Monero. Эти $284M [REDACTED] incident через несколько часов оказались в XMR.

Ваш кошелек (до подписания)

ETH2.4815
USDC18,420.00
WBTC0.34
BAYC № 42911 NFT
stETH12.1

Контракт «Attacker» (после одной подписи)

ETH+2.4815
USDC+18,420.00
WBTC+0.34
BAYC № 4291+1 NFT
stETH+12.1

Один подписанный Permit2 Сообщение может авторизовать всю партию. Второго подтверждения не требуется. Возможность восстановления отсутствует.

Четыре смертоносных боевых модуля

Каждый дрейнер в дикой среде использует ту или иную комбинацию этих четырёх примитивов. Каждый из них представляет собой законный Стандарт ERC или метод RPC. Никаких «патчи» — только осведомленность.

1. approve(spender, type(uint256).max) — Неограниченные расходы по стандарту ERC-20

Классический вариант. Вы утверждаете контракт токена на максимально возможную сумму (2^256 − 1) на адрес получателя, который вы не контролируете. Затем получатель — то есть злоумышленник — вызывает transferFrom(you, attacker, balance) в удобное для них время. Разрешение действует бессрочно, пока вы явно не отзовете его с помощью Revoke.cash или непосредственно контракт токена.

// What you actually signed:утвердить( 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, // attacker0xffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff// max uint256 ) // Wallet UI showed: "Verify wallet ownership"

2. setApprovalForAll(operator, true) — полная коллекция NFT

Хуже, чем одобрение стандарта ERC-20, потому что это «всё или ничего» для каждой коллекции. Одна подпись — и все NFT в этом контракте теперь могут быть переведены злоумышленником. Именно так Сет Грин лишился 4 токенов Bored Ape в 2022 году, а одна из жертв потеряла 14 токенов BAYC в результате мошеннической схемы с поддельной лицензией «Forte Pictures» в декабре 2022 года.

setApprovalForAll( 0xattacker..., // "operator"true// approved for the entire collection )

3. EIP-2612 / Подписи Permit2 вне цепочки

Это 2024–2026 гг. — оружие выбора. Вместо цепочки блоков approve() (что требует расхода газа и явно сказывается на вашем кошельке), злоумышленник получает внецепочечную подпись EIP-712 посредством eth_signTypedData_v4. Никакой транзакции. Никаких комиссий с вашей стороны. Просто всплывающее окно с надписью «Подпишите это сообщение». Пользовательский интерфейс кошелька для подписи введенных данных, как известно, очень трудно читаем, а в Uniswap Разрешение № 2 превращает одну подпись в разрешения на несколько токенов одновременно.

// What [REDACTED] showed you:// "PermitSingle"// spender: 0x000000000022D473030F116dDEE9F6B43aC78BA3// ...looks fine, that's the real Permit2 contract...// What it actually authorized: { «подробности»: { «токен»: «0xUSDC...», «сумма»: "1461501637330902918203684832716283019655932542975", // max«срок действия»: 281474976710655// year ~10889 }, «тратильщик»: «0xattacker...», «sigDeadline»: 9999999999 }

См. Полное тематическое исследование Blockaid по проекту Permit2 для подробного описания реальной атаки, включая уловку с маршрутизацией через SushiSwap, которая маскирует вывод ETH под обычный обмен.

4. Прямой социальный инжиниринг с использованием семенной фразы

Строго говоря, это не «дрейнер» в узком смысле этого слова — но это вариант с самой высокой доходностью в 2026 году. Этот Инцидент с [REDACTED] в январе 2026 года не обошёл никакого шифрования. «Специалист службы поддержки» позвонил жертве, провел её через поддельную процедуру «подтверждения» и заставил её прочитать вслух сед восстановления. Результат: 1 459 BTC + 2,05 млн LTC = 284 млн долларов, что составило 71 % от общего объема убытков от краж криптовалюты за этот месяц; эти средства были конвертированы в Monero до того, как об этом заговорили в СМИ.

Аппаратные кошельки предотвращают удалённое извлечение ключей. Однако они не защищают вас от ввода седа на фишинговом сайте. Используйте Парольная фраза BIP-39.

Экономика «Drainer-as-a-Service»

Ни один из тех, кто на самом деле обманывает вас и забирает ваши деньги, не пишет код. Они аренда . «Drainer-as-a-Service» (DaaS) — это полностью стандартизированный рынок B2B, характеризующийся наличием брендинга, ценовых уровней, каналов поддержки, выпусков новых версий и явного давления на снижение комиссионных операторов.

«Инферно»
Самая продвинутая. Настройка в цепочке (BNB), C2 с шифрованием AES, защита от отладчиков, маршрутизация через SushiSwap. Анализ CP
сокращение на 15–20 %
Энджел (GhostSec)
Многоцепочечные, готовые к использованию — выпуски с указанием версий, как в коммерческом программном обеспечении (v8.2, v8.3...).
сокращение на 20 %
CLINKSINK
На базе JS, ориентированный на Solana. Набор инструментов, использованный при взломе Mandiant X (900 тыс. долларов) и атаке на SEC.
сокращение примерно на 20 %
Розовый
Специализируется на NFT. Рекорд по сумме одной транзакции: 320 тыс. долларов в BAYC/MAYC/Otherdeed за одну транзакцию.
сокращение примерно на 20 %
MS Drainer
$59M from 63K victims via X (Twitter) sponsored ads, March–November 2023. ScamSniffer
var.
Многоцепочечная система Rugging
Стратегия «ценового лидера»: предлагает более низкие комиссионные, чем у Angel/Inferno, чтобы привлечь больший объем сделок.
Снижение на 5–10 %

Стоимость вступления для партнера: a $5,000–$10,000 deposit, а иногда и готовый комплект для этого. Партнер оставляет себе 75–95 % похищенных средств, а все технические вопросы — JS-код, смарт-контракт, хостинг, схему отмывания денег и даже круглосуточную поддержку в [REDACTED] — передает оператору. SentinelOne и Академическое исследование IMC 2025 подробно проследить цепочку поставок.

Именно поэтому разовых операций по ликвидации отдельных элементов, напоминающих игру «Удар по кроту», недостаточно — и именно поэтому регистраторы, которые закрывают глаза на злоупотребления являются настоящим узким местом. THE ENABLERS REGISTRY задокументировал и сообщил об этом Более 16 000 доменов, связанных с Inferno сам.

На что следует обратить внимание перед подписанием

Диалоговое окно подписи — это последняя линия защиты. Если выполняется любое из следующих условий, отменить — нет никаких обоснованных причин, по которым они были бы необходимы:

  • Вы перешли на эту страницу по спонсируемому результату поиска, через личное сообщение или по ссылке в электронном письме. Результаты поиска по криптовалютам, содержащие рекламу, подвергаются манипуляциям во всех крупных поисковых системах. Всегда переходите на сайты через закладки.
  • Подпись является «бесплатной» / «без комиссии» / «вне цепочки». Это внецепочечная подпись в стиле Permit2. Прочитайте поля с типизированными данными. Если spender если это вам незнакомо, лучше уйти.
  • Сумма составляет uint256.max, 0xfff…fff, или «без ограничений». Практически ни один законный рабочий процесс не требует неограниченного утверждения.
  • Функция заключается в том, что setApprovalForAll в коллекции, которую вы не узнаете. Или для «оператора», который не является [REDACTED] / Blur / LooksRare.
  • Сразу после подключения сайт предлагает переключиться на другую цепочку. В настоящее время выполняется цикл извлечения данных из нескольких цепочек.
  • Контракт назначения был развернут менее 7 дней назад. Дрейнеры класса «Инферно» меняют промежуточные контракты каждые 24 часа.
  • Вы чувствуете, что вас торопят. Таймеры обратного отсчёта, надписи «Акция заканчивается через 4:32», «Осталось всего 12 мест» — все шаблоны для привлечения клиентов содержат такие элементы.
  • С вами первыми связались сотрудники «службы поддержки клиентов». [REDACTED], [REDACTED], [REDACTED], NASDAQ:COIN, LEI:5493004F7TI6QBM4WX72 — ни один из них не пишет вам в личные сообщения. Никогда.

Как на самом деле защитить себя

  • Разделение кошельков. Холодный кошелек (аппаратный, большая часть активов) → операционный «горячий» кошелек (на 1–2 недели активности) → одноразовый кошелек (для всего нового, с балансом, близким к нулю). Никогда не подключайте холодный кошелек к новому dApp.
  • Аппаратный кошелек + парольная фраза BIP-39. Пароль — это то, что отличает «инцидент с [REDACTED] на сумму 284 млн долларов» от ситуации, когда «злоумышленник завладел вашим седом, но ничего не нашел». Запомните его. Не храните его в цифровом виде.
  • Симуляторы транзакций.Blockaid, Защита кошелька, «Карманная вселенная», «Огонь» — установите одну из них. Перед подписанием они показывают фактическое изменение баланса.
  • Добавьте все dApps в закладки. Ни в коем случае не вводите «uniswap» в Google. Ни в коем случае не переходите по ссылкам, связанным с криптовалютами, в социальных сетях. Рекламные результаты оказываются ложными гораздо чаще, чем вы думаете.
  • Еженедельно проверяйте свои утверждения.Revoke.cash показывает все активные разрешения во всех цепочках. Отмените все, чем вы активно не пользуетесь.
  • Сначала проверьте любой незнакомый сайт через прокси-сервер. Опустошите кошелек, посмотрите, что он от вас требует, а потом решите, стоит ли он вообще того, чтобы в него вкладывать настоящие деньги.
  • Отключите расширения браузера в профиле кошелька. Отдельный профиль браузера (или окно Brave Tor) исключительно для Web3. Расширения являются документально подтверждённым источником утечки ресурсов — см. Анализ цепочки поставок npm для [REDACTED].
  • Проверьте репутацию домена. Вставьте URL-адрес в Отчеты по домену THE ENABLERS REGISTRY, urlscan или наш бот в [REDACTED]. Если мы это уже видели, то на него поставлена отметка.

Если вы уже подписались: сделайте это в течение следующих 60 секунд

  1. Стоп. Не подписывайте ничего больше, в том числе запросы на «исправление» или «восстановление» — это мошеннические схемы второго этапа, которые спекулируют на вашей панике.
  2. Переместите всё, что ещё не осушено. Создайте совершенно новый кошелек (желательно аппаратный) и перенесите в него сохранившиеся активы. Начните с самых ценных. Обращайтесь каждый адрес, полученный на основе скомпрометированного ключа, считается окончательно уничтоженным.
  3. Отменить разрешения на взломанный кошелек через Revoke.cash — для любой блокчейна, а не только для Ethereum. Это гонка с автоматизацией, которую использует злоумышленник.
  4. Все документируйте. Хэши Tx, адреса злоумышленников, временные метки, точный URL-адрес фишингового сайта. Скриншот, сделанный до закрытия вкладки.
  5. Отчет. Подать вместе с ФБР IC3, в местное подразделение по борьбе с киберпреступностью, указав затронутые протоколы (Uniswap, [REDACTED] и т. д. — они иногда блокируют деривативы), а также отправьте URL-адрес фишингового сайта по адресу @EnablersRegistry так что мы уничтожаем инфраструктуру для следующей жертвы.
  6. Если фраза-секрет была раскрыта: Кошелек пропал. Хватит пытаться его «обезопасить». Двигайся дальше, начни с нуля, извлеки из этого урок.

«Дрейнеры не взламывают криптографию. Они опровергают предположение о том, что люди способны считывать данные вызовов со скоростью, требуемой кошельками. Достаточно замедлить процесс на одну подпись — и вся индустрия краж рухнет».

Источники и дополнительная литература

  1. Chainalysis — «Крипто-драйнеры»: угроза для Web3
  2. Group-IB — Расследование по делу «Инферно Дрейнер»
  3. Check Point Research — Inferno Drainer: Перезагрузка
  4. ScamSniffer — Инциденты с «Pink Drainer» в 2024 году
  5. Blockaid — Пошаговое описание кражи криптовалюты
  6. BleepingComputer — Взлом Mandiant X через CLINKSINK
  7. Cyber Daily — Взлом Mandiant = кампания стоимостью 900 тыс. долларов
  8. SentinelOne — Распространение модели «Drainer-as-a-Service»
  9. Гурукул — Злоупотребление функцией утверждения транзакций в кошельке → атаки на Web3 с использованием вредоносного ПО
  10. [REDACTED]Атака на цепочку поставок npm, направленная на пакеты Web3
  11. AInvest — Январь 2026 г. Анализ [REDACTED]: 284 млн долларов
  12. IMC 2025 (академическая программа) — Исследование по оценке экономики DaaS
  13. THE ENABLERS REGISTRYРегистраторы, способствующие глобальным мошенническим схемам
  14. THE ENABLERS REGISTRYКак проходит ликвидация фишингового сайта
  15. THE ENABLERS REGISTRYСписок угроз, удаляемых в режиме реального времени (более 130 тыс. активных угроз)

Как THE ENABLERS REGISTRY борется с «дрейнерами»

Мы — некоммерческое объединение операторов. Мы круглосуточно выявляем уязвимости в инфраструктуре дренажных систем с помощью SEO, платной рекламы, [REDACTED], X, [REDACTED] и «медовых ловушек» регистраторов, а затем устраняем их.

  • 785K+ Домены, связанные с фишингом и мошенничеством, отслеживаемые с 2019 года.
  • 89 тыс.+ заявления о злоупотреблениях, поданные в регистраторы и хостинг-провайдеры.
  • 50+ Поставщики антивирусных решений и платформы аналитики угроз используют наш канал данных.
  • <0,5 % доля ложноположительных результатов среди более чем 100 тыс. подтвержденных отчетов.
  • Бесплатный, общедоступный, неизменяемый архив доказательств по GitHub + HuggingFace.

Заметили сайт с пиратским контентом? Пришлите URL-адрес по адресу @EnablersRegistry. Мы подадим заявление о нарушении ещё до того, как ваш кофе остынет.

#CryptoDrainer#Web3Security#WalletDrainer#Permit2#DaaS#Inferno

Поделиться этой статьей

Связанные расследования

ПРИМЕР ИЗ ПРАКТИКИ
[REDACTED] Drainer: расследование на уровне панели
МЕТОДОЛОГИЯ
Как проходит ликвидация фишингового сайта
РАССЛЕДОВАНИЕ
IANA #1479, IANA #460, IANA #3765: регистраторы, способствующие мошенничеству

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings