Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / UK / CRYPTO DRAINER ANATOMY

Аналіз схеми викрадення криптовалюти: викрадено 1,93 млрд доларів

The Enablers Registry·Editorial mirror·/uk/crypto-drainer-anatomy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

ЗАГРОЗА WEB3

«Анатомія крипто-злодія»: як за 6 місяців зникло 1,93 млрд доларів

Дрейнер не краде вашу фразу-насіння. Він краде вашу підпис. Один клік — один клік на неправильну кнопку «Отримати», «Підтвердити» або «Підключити гаманець» — і ланцюжок заздалегідь створених смарт-контрактів спустошить ваші запаси ще до того, як ви встигнете зняти палець з трекпада.

Як влаштований зловмисник, що викачує кошти з криптогаманців — шестиетапний ланцюг атак
$1.93B
Збитки за перше півріччя 2025 року
+540 % порівняно з 2023 роком
$284M
Одна жертва, січень 2026 року
Шахрайство з насіннєвою фразою [REDACTED]
320 тис.+
Жертви у 2023 році
~900 щодня
$5–10K
Вартість підключення до DaaS
комплект «під ключ»

Що таке «дрейнер» насправді

A крипто-драйнер — це фішинговий інструмент, спеціально розроблений для Web3. Він не намагається виманити ваш пароль або викрасти приватний ключ. Натомість він спонукає вас підписати транзакцію — зазвичай approve(), setApprovalForAll(), або позаланцюговий Permit повідомлення — яке надає зловмиснику право розпоряджатися вашими активами на власний розсуд. Гаманець залишається «вашим». А ось кошти — ні.

Ця модель надзвичайно ефективна, оскільки вона зловживає законний основні елементи блокчейну. Ваш приватний ключ ніколи не потрапляє до чужих рук. На вашому комп’ютері немає шкідливого програмного забезпечення. Існує лише один підпис — у одній транзакції, — який бачитимуть аналітики ланцюга, і який жодна влада не зможе скасувати.

Згідно з Chainalysis, «дрейнер» — це «фішинговий інструмент, призначений для екосистеми Web3», який видає себе за легітимний dApp. Group-IB, Дослідницький центр Check Point, і ScamSniffer ми проаналізували тисячі кампаній, побудованих саме на цій механіці.

6-етапний ланцюг знищення

Кожна атака типу «drainer» — «Inferno», «Pink», «Angel», «MS», «CLINKSINK», «Rugging» та десятки безіменних форків — проходить за однаковою схемою, що складається з шести етапів. Уся майстерність полягає в тому, щоб вмістити їх усі в лічені секунди між підключенням гаманця та підтвердженням транзакції.

1 Lure airdrop / ad / DM 2 Connect wallet hooked 3 Recon analyzeWallet() 4 Sign approve / permit 5 Drain transferFrom() 6 Launder DEX → bridge → XMR SOCIAL ENGINEERING TECHNICAL EXECUTION EXFILTRATION

1. Приманка

Фейкові айрдропи, спонсоровані рекламні оголошення Google/X, зламані перевірені акаунти (ці Облікові записи SEC та Mandiant (обидва використовувалися як «мегафони» для збору коштів), боти для верифікації в [REDACTED], фейкові майнінги NFT, «ексклюзивні» запрошення на бета-тестування та шахрайські схеми з ліцензуванням інтелектуальної власності. Якою б не була прикриття, мета полягає в тому, щоб заманити вас на домен, який контролює зловмисник.

2. Підключіться

Ви натиснули «Підключити гаманець». [REDACTED], Rabby, WalletConnect, [REDACTED] — все гаразд, все як і очікувалося. Тепер JavaScript-скрипт, що викачує кошти, має доступ на читання до об’єкта вашого гаманця через window.ethereum (або його еквівалент) і починає стріляти eth_call запити у фоновому режимі.

3. Розвідка

Цей сервіс перелічує ваші активи: баланс на платформі, токени ERC-20, колекції NFT, позиції DeFi у різних блокчейнах. Він використовує цінові оракули у стилі CoinGecko, щоб перерахувати все в долари США. Преміум-пакети, такі як «Інферно Дрейнер» зберегти їхні налаштування в ланцюжку блоків (BNB Chain), щоб його можна було оновлювати без повторного розгортання JS-коду.

4. Підпис

dApp пропонує вам «Підтвердити право власності», «Отримати айрдроп», «Затвердити збір коштів» або «Підписати для входу». Інтерфейс гаманця відображає повідомлення, яке на перший погляд виглядає нешкідливим. Насправді ж дані виклику (calldata) ретельно підібрані для того, щоб завдати максимальної шкоди — див. наступний розділ.

5. Злити воду

Як тільки ви поставите підпис, зловмисник одразу ж зателефонує transferFrom() з окремого гаманця (операційне розділення — «Адреса», на яку надійшло підтвердження, ніколи не є «Одержувачем», на якому зберігається виграш). Преміум-набори об’єднують в одну партію нативні ETH, токени ERC-20, NFT-токени ERC-721/1155 та перекази Permit2 multicall. Чиста затримка від підписання до переказу коштів: секунди.

6. Прання

Кошти проходять через SushiSwap / Uniswap (більшість засобів безпеки навмисно включають ці легальні DEX до списку дозволених), потім через мости до інших ланцюгів, далі через форки Tornado Cash, а потім — до Monero. Ці $284M [REDACTED] incident за лічені години опинилися в XMR.

Ваш гаманець (до підписання)

ETH2.4815
USDC18,420.00
WBTC0.34
BAYC № 42911 NFT
stETH12.1

Контракт «Attacker» (після одного підпису)

ETH+2.4815
USDC+18,420.00
WBTC+0.34
BAYC № 4291+1 NFT
stETH+12.1

Один підписаний Permit2 Повідомлення дозволяє авторизувати весь пакет. Друге підтвердження не потрібне. Відновлення неможливе.

Чотири смертоносні боєзаряди

Кожен дренажник у природних умовах використовує певну комбінацію цих чотирьох примітивів. Кожен із них є законний Стандарт ERC або метод RPC. Ніякого «патча» немає — лише обізнаність.

1. approve(spender, type(uint256).max) — Необмежені витрати за стандартом ERC-20

Класичний варіант. Ви затверджуєте контракт токена на максимально можливу суму (2^256 − 1) на адресу одержувача, яку ви не контролюєте. Одержувач — тобто зловмисник — потім викликає transferFrom(you, attacker, balance) у зручний для них час. Дозвіл залишається чинним назавжди, якщо ви явно не скасуєте його за допомогою Revoke.cash або безпосередньо контракт токена.

// What you actually signed:затвердити( 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, // attacker0xffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff// max uint256 ) // Wallet UI showed: "Verify wallet ownership"

2. setApprovalForAll(operator, true) — повна колекція NFT

Це гірше, ніж затвердження стандарту ERC-20, оскільки це «все або нічого» для кожної колекції. Один підпис — і зловмисник отримує можливість розпоряджатися всіма NFT у цьому контракті. Саме так Сет Грін втратив 4 Bored Apes у 2022 році, а одна з жертв — 14 BAYC у результаті шахрайської схеми з підробленими ліцензіями від «Forte Pictures» у грудні 2022 року.

setApprovalForAll( 0xattacker..., // "operator"true// approved for the entire collection )

3. EIP-2612 / Підписи поза ланцюгом у Permit2

Це — 2024–2026: зброя на вибір. Замість ланцюгового approve() (що вимагає витрат газу і помітно позначається на вашому гаманці), зловмисник отримує позаланцюговий підпис за стандартом EIP-712 через eth_signTypedData_v4. Ніяких транзакцій. Ніяких витрат на газ з вашого боку. Лише спливаюче вікно з написом «Підпишіть це повідомлення». Інтерфейс гаманця для підписання введених даних відомий своєю нечитабельністю, а Uniswap’s Дозвіл № 2 перетворює один підпис на схвалення для кілька токенів одночасно.

// What [REDACTED] showed you:// "PermitSingle"// spender: 0x000000000022D473030F116dDEE9F6B43aC78BA3// ...looks fine, that's the real Permit2 contract...// What it actually authorized: { «деталі»: { «токен»: «0xUSDC...», "сума": "1461501637330902918203684832716283019655932542975", // max«термін дії»: 281474976710655// year ~10889 }, «марнотратник»: «0xattacker...», «sigDeadline»: 9999999999 }

Див. Повний аналіз кейсу «Permit2» від Blockaid щоб ознайомитися з покроковим описом реальної атаки, включаючи прийом з маршрутизацією через SushiSwap, який маскує виведення ETH під виглядом звичайного обміну.

4. Соціальна інженерія, спрямована безпосередньо на фразу-ключ

Технічно це не «драйнер» у вузькому розумінні цього терміна — але це варіант із найвищою прибутковістю у 2026 році. Цей Січень 2026 року: інцидент із [REDACTED] не обійшов жодного шифрування. «Спеціаліст служби підтримки» зателефонував жертві, провів її через фальшиву процедуру «верифікації» та змусив її прочитати набір відновлювальних даних. Результат: 1 459 BTC + 2,05 млн LTC = 284 млн доларів, 71 % від усіх збитків від крадіжок криптовалюти за цей місяць було конвертовано в Monero ще до того, як про це заговорили ЗМІ.

Апаратні гаманці запобігають дистанційному вилученню ключів. Вони не заважають вам ввести свій посівний код на фішинговому веб-сайті. Використовуйте Пароль BIP-39.

Економіка «Drainer-as-a-Service»

Жоден із тих, хто насправді краде ваші гроші, не пише код. Вони оренда . «Drainer-as-a-Service» (DaaS) — це повністю стандартизований ринок B2B, що характеризується наявністю брендингу, цінових рівнів, каналів підтримки, випусків нових версій та очевидного тиску на зниження комісій операторів.

«Інферно»
Найдосконаліша. Конфігурація в ланцюжку (BNB), C2 із шифруванням AES, захист від відладчиків, маршрутизація через SushiSwap. Аналіз CP
Зниження на 15–20 %
Енджел (GhostSec)
Багатоланцюгові, готові до використання — релізи з версіями, як у комерційному програмному забезпеченні (v8.2, v8.3...).
Зниження на 20 %
CLINKSINK
На базі JavaScript, орієнтований на Solana. Набір інструментів, який використовувався під час викрадення Mandiant X (900 тис. дол.) та злому SEC.
зниження приблизно на 20 %
Рожевий
Орієнтований на NFT. Рекорд за сумою однієї транзакції: 320 тис. доларів у BAYC/MAYC/Otherdeed за одну операцію.
зниження приблизно на 20 %
MS Drainer
$59M from 63K victims via X (Twitter) sponsored ads, March–November 2023. ScamSniffer
var.
Багатоланцюговий килим
Стратегія цінового лідера: пропонує нижчі комісійні, ніж Angel/Inferno, щоб залучити більший обсяг продажів.
Зниження на 5–10 %

Вартість вступу для партнера: a $5,000–$10,000 deposit, іноді — готовий комплект для цього. Партнер залишає собі 75–95 % викрадених коштів, а всі технічні питання — JS-код, смарт-контракт, хостинг, схему відмивання коштів, навіть цілодобову підтримку в [REDACTED] — передає оператору. SentinelOne та Академічне дослідження IMC 2025 детально простежити ланцюг постачання.

Ось чому разові ліквідації на кшталт «бий моль» недостатні — і чому реєстратори, які ігнорують зловживання є справжнім вузьким місцем. THE ENABLERS REGISTRY задокументував та повідомив про це Понад 16 000 доменів, пов’язаних з Inferno самотужки.

Ознаки, на які слід звернути увагу перед підписанням

Діалогове вікно підпису є останньою лінією захисту. Якщо виконується хоча б одна з цих умов, скасувати — не існує жодного законного потоку, який би їх вимагав:

  • Ви перейшли на цю сторінку через спонсорований пошуковий результат, особисте повідомлення або посилання в електронному листі. Рекламні результати, пов’язані з криптовалютою, були сфальсифіковані у всіх основних пошукових системах. Завжди переходьте на сайти через закладки.
  • Підпис є «безкоштовним» / «безгазовим» / «позаланцюговим». Це позаланцюговий підпис у стилі Permit2. Прочитайте поля з типізованими даними. Якщо spender якщо щось вам не знайоме, краще відійдіть.
  • Сума становить uint256.max, 0xfff…fff, або «без обмежень». Практично жоден законний процес не вимагає безмежного схвалення.
  • Функція така: setApprovalForAll у колекції, яку ви не впізнаєте. Або для «оператора», який не є [REDACTED] / Blur / LooksRare.
  • Сайт пропонує вам переключитися на інший ланцюг одразу після підключення. Триває цикл вилучення даних з декількох ланцюгів.
  • Контракт призначення було розгорнуто менше ніж 7 днів тому. Дрейнери класу «Інферно» змінюють проміжні контракти кожні 24 години.
  • Ти відчуваєш, що тебе підганяють. Таймери зворотного відліку, написи «акція закінчується через 4:32», «залишилося лише 12 місць» — усі шаблони для залучення клієнтів містять ці елементи.
  • «Служба підтримки клієнтів» зв’язалася з вами першою. [REDACTED], [REDACTED], [REDACTED], NASDAQ:COIN, LEI:5493004F7TI6QBM4WX72 — жоден із них не надсилає вам повідомлень у приватних чатах. Ніколи.

Як насправді захиститися

  • Розділення гаманців. Холодний гаманець (апаратний, більша частина активів) → оперативний гаманець (1–2 тижні активності) → одноразовий гаманець (усе нове, баланс близький до нуля). Ніколи не підключайте холодний гаманець до нового dApp.
  • Апаратний гаманець + пароль BIP-39. Пароль — це те, що відрізняє «інцидент із [REDACTED] на суму 284 млн доларів» від ситуації, коли «зловмисник отримав ваш сід, але нічого не знайшов». Запам’ятайте його. Не зберігайте його в цифровому вигляді.
  • Симулятори транзакцій.Blockaid, Захист гаманця, «Pocket Universe», «Fire» — встановіть одну з них. Вони показують фактичну різницю в балансі ще до того, як ви поставите підпис.
  • Додайте всі dApps до закладок. Ніколи не вводьте «uniswap» у Google. Ніколи не переходьте за посиланнями на криптовалюти в соціальних мережах. Спонсоровані результати виявляються помилковими набагато частіше, ніж ви думаєте.
  • Щотижня перевіряйте свої затвердження.Revoke.cash показує всі активні дозволи у всіх ланцюгах. Скасуйте все, чим ви активно не користуєтеся.
  • Спочатку перевірте будь-який незнайомий сайт за допомогою сервісу для одноразових адрес. Порожній гаманець — подивіться, чого він вимагає, а потім вирішіть, чи взагалі варто купувати справжній гаманець.
  • Вимкніть розширення браузера в профілі гаманця. Окремий профіль браузера (або вікно Brave Tor) виключно для Web3. Розширення є задокументованим джерелом витоку ресурсів — див. Аналіз ланцюга постачання npm для [REDACTED].
  • Перевірте репутацію домену. Вставте URL-адресу в Звіти про домен THE ENABLERS REGISTRY, urlscan або наш бот у [REDACTED]. Якщо ми це вже бачили, то воно позначене.

Якщо ви вже підписали: зробіть це протягом наступних 60 секунд

  1. Стоп. Не підписуйте нічого іншого, зокрема повідомлень про «виправлення» чи «відновлення» — це шахрайські схеми другого рівня, які використовують вашу паніку.
  2. Перемістіть усе, що ще не злилося. Створіть абсолютно новий гаманець (бажано апаратний) і перенесіть на нього ті активи, що збереглися. Спочатку — найцінніші. Поводьтеся кожен адреса, отримана на основі скомпрометованого ключа, вважається остаточно знищеною.
  3. Скасувати дозволи на зламаний гаманець через Revoke.cash — для кожного блокчейну, а не лише для Ethereum. Це гонка проти автоматизованих атак зловмисників.
  4. Все документуйте. Хеші Tx, адреси зловмисників, часові мітки, точний URL-адресу фішингового сайту. Знімок екрана, зроблений перед закриттям вкладки.
  5. Звіт. Подати разом із ФБР IC3, до місцевого підрозділу з боротьби з кіберзлочинністю, зазначте протоколи, які зазнали збитків (Uniswap, [REDACTED] тощо — вони іноді блокують деривативи), та надішліть URL-адресу фішингового сайту на @EnablersRegistry тож ми знищуємо інфраструктуру для наступної жертви.
  6. Якщо фраза-посів було розкрито: Гаманець зник. Припиніть намагатися його «захистити». Рухайтеся далі, почніть з нуля, зробіть з цього висновки.

«Дрейнери не зламують криптографію. Вони спростовують припущення, що люди здатні зчитувати дані викликів із тією швидкістю, якої від них вимагають гаманці. Достатньо сповільнити процес на один підпис — і вся індустрія крадіжок обвалиться».

Джерела та додаткова література

  1. Chainalysis — «Крипто-викачувачі»: загроза для Web3
  2. Group-IB — Розслідування щодо «Інферно Дрейнер»
  3. Check Point Research — «Інферно Дрейнер: Перезавантаження»
  4. ScamSniffer — Інциденти з «Pink Drainer 2024»
  5. Blockaid — Покроковий аналіз крадіжки криптовалюти
  6. BleepingComputer — Викрадення Mandiant X через CLINKSINK
  7. Cyber Daily — Злом Mandiant = кампанія вартістю 900 тис. доларів
  8. SentinelOne — Поява послуги «Drainer-as-a-Service»
  9. Гурукул — Зловживання функцією затвердження гаманця → атаки на Web3 із використанням шкідливого програмного забезпечення
  10. [REDACTED]Атака на ланцюжок постачання npm, спрямована на пакети Web3
  11. AInvest — Січень 2026 року: аналіз [REDACTED] на суму 284 млн доларів
  12. Академічна програма IMC 2025 — Дослідження щодо оцінки економіки DaaS
  13. THE ENABLERS REGISTRYРеєстратори, які сприяють глобальним шахрайським схемам
  14. THE ENABLERS REGISTRYЯк відбувається ліквідація фішингової атаки
  15. THE ENABLERS REGISTRYСписок загроз, що видаляються в режимі реального часу (понад 130 тис. активних загроз)

Як THE ENABLERS REGISTRY бореться з «дрейнерами»

Ми — некомерційне об’єднання операторів. Ми цілодобово вистежуємо інфраструктуру для викачування даних у пошукових системах, платних рекламних оголошеннях, [REDACTED], X, [REDACTED] та «медових пастках» реєстраторів, а потім її знищуємо.

  • 785 тис.+ Домени, пов’язані з фішингом та шахрайством, які відстежуються з 2019 року.
  • 89 тис.+ повідомлення про зловживання, подані до реєстраторів та хостинг-провайдерів.
  • 50+ Наш канал використовують постачальники антивірусного програмного забезпечення та платформи з аналітикою загроз.
  • <0,5 % частка хибнопозитивних результатів серед понад 100 тис. підтверджених звітів.
  • Безкоштовний, загальнодоступний, незмінний архів доказів щодо GitHub + HuggingFace.

Побачили сайт із рекламою? Надішліть посилання на @EnablersRegistry. Ми подамо скаргу на зловживання ще до того, як ваша кава встигне охолонути.

#CryptoDrainer#Web3Security#WalletDrainer#Permit2#DaaS#Inferno

Поділитися цією статтею

Пов’язані розслідування

ПРИКЛАД З ПРАКТИКИ
[REDACTED] Drainer: розслідування на рівні панелі
МЕТОДОЛОГІЯ
Аналіз операції з ліквідації фішингової атаки
РОЗСЛІДУВАННЯ
IANA #1479, IANA #460, IANA #3765: реєстратори, які сприяють шахрайству

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings