«Анатомія крипто-злодія»: як за 6 місяців зникло 1,93 млрд доларів
Дрейнер не краде вашу фразу-насіння. Він краде вашу підпис. Один клік — один клік на неправильну кнопку «Отримати», «Підтвердити» або «Підключити гаманець» — і ланцюжок заздалегідь створених смарт-контрактів спустошить ваші запаси ще до того, як ви встигнете зняти палець з трекпада.
Що таке «дрейнер» насправді
A крипто-драйнер — це фішинговий інструмент, спеціально розроблений для Web3. Він не намагається виманити ваш пароль або викрасти приватний ключ. Натомість він спонукає вас підписати транзакцію — зазвичай approve(), setApprovalForAll(), або позаланцюговий Permit повідомлення — яке надає зловмиснику право розпоряджатися вашими активами на власний розсуд. Гаманець залишається «вашим». А ось кошти — ні.
Ця модель надзвичайно ефективна, оскільки вона зловживає законний основні елементи блокчейну. Ваш приватний ключ ніколи не потрапляє до чужих рук. На вашому комп’ютері немає шкідливого програмного забезпечення. Існує лише один підпис — у одній транзакції, — який бачитимуть аналітики ланцюга, і який жодна влада не зможе скасувати.
Згідно з Chainalysis, «дрейнер» — це «фішинговий інструмент, призначений для екосистеми Web3», який видає себе за легітимний dApp. Group-IB, Дослідницький центр Check Point, і ScamSniffer ми проаналізували тисячі кампаній, побудованих саме на цій механіці.
6-етапний ланцюг знищення
Кожна атака типу «drainer» — «Inferno», «Pink», «Angel», «MS», «CLINKSINK», «Rugging» та десятки безіменних форків — проходить за однаковою схемою, що складається з шести етапів. Уся майстерність полягає в тому, щоб вмістити їх усі в лічені секунди між підключенням гаманця та підтвердженням транзакції.
1. Приманка
Фейкові айрдропи, спонсоровані рекламні оголошення Google/X, зламані перевірені акаунти (ці Облікові записи SEC та Mandiant (обидва використовувалися як «мегафони» для збору коштів), боти для верифікації в [REDACTED], фейкові майнінги NFT, «ексклюзивні» запрошення на бета-тестування та шахрайські схеми з ліцензуванням інтелектуальної власності. Якою б не була прикриття, мета полягає в тому, щоб заманити вас на домен, який контролює зловмисник.
2. Підключіться
Ви натиснули «Підключити гаманець». [REDACTED], Rabby, WalletConnect, [REDACTED] — все гаразд, все як і очікувалося. Тепер JavaScript-скрипт, що викачує кошти, має доступ на читання до об’єкта вашого гаманця через window.ethereum (або його еквівалент) і починає стріляти eth_call запити у фоновому режимі.
3. Розвідка
Цей сервіс перелічує ваші активи: баланс на платформі, токени ERC-20, колекції NFT, позиції DeFi у різних блокчейнах. Він використовує цінові оракули у стилі CoinGecko, щоб перерахувати все в долари США. Преміум-пакети, такі як «Інферно Дрейнер» зберегти їхні налаштування в ланцюжку блоків (BNB Chain), щоб його можна було оновлювати без повторного розгортання JS-коду.
4. Підпис
dApp пропонує вам «Підтвердити право власності», «Отримати айрдроп», «Затвердити збір коштів» або «Підписати для входу». Інтерфейс гаманця відображає повідомлення, яке на перший погляд виглядає нешкідливим. Насправді ж дані виклику (calldata) ретельно підібрані для того, щоб завдати максимальної шкоди — див. наступний розділ.
5. Злити воду
Як тільки ви поставите підпис, зловмисник одразу ж зателефонує transferFrom() з окремого гаманця (операційне розділення — «Адреса», на яку надійшло підтвердження, ніколи не є «Одержувачем», на якому зберігається виграш). Преміум-набори об’єднують в одну партію нативні ETH, токени ERC-20, NFT-токени ERC-721/1155 та перекази Permit2 multicall. Чиста затримка від підписання до переказу коштів: секунди.
6. Прання
Кошти проходять через SushiSwap / Uniswap (більшість засобів безпеки навмисно включають ці легальні DEX до списку дозволених), потім через мости до інших ланцюгів, далі через форки Tornado Cash, а потім — до Monero. Ці $284M [REDACTED] incident за лічені години опинилися в XMR.
Ваш гаманець (до підписання)
Контракт «Attacker» (після одного підпису)
Один підписаний Permit2 Повідомлення дозволяє авторизувати весь пакет. Друге підтвердження не потрібне. Відновлення неможливе.
Чотири смертоносні боєзаряди
Кожен дренажник у природних умовах використовує певну комбінацію цих чотирьох примітивів. Кожен із них є законний Стандарт ERC або метод RPC. Ніякого «патча» немає — лише обізнаність.
1. approve(spender, type(uint256).max) — Необмежені витрати за стандартом ERC-20
Класичний варіант. Ви затверджуєте контракт токена на максимально можливу суму (2^256 − 1) на адресу одержувача, яку ви не контролюєте. Одержувач — тобто зловмисник — потім викликає transferFrom(you, attacker, balance) у зручний для них час. Дозвіл залишається чинним назавжди, якщо ви явно не скасуєте його за допомогою Revoke.cash або безпосередньо контракт токена.
2. setApprovalForAll(operator, true) — повна колекція NFT
Це гірше, ніж затвердження стандарту ERC-20, оскільки це «все або нічого» для кожної колекції. Один підпис — і зловмисник отримує можливість розпоряджатися всіма NFT у цьому контракті. Саме так Сет Грін втратив 4 Bored Apes у 2022 році, а одна з жертв — 14 BAYC у результаті шахрайської схеми з підробленими ліцензіями від «Forte Pictures» у грудні 2022 року.
3. EIP-2612 / Підписи поза ланцюгом у Permit2
Це — 2024–2026: зброя на вибір. Замість ланцюгового approve() (що вимагає витрат газу і помітно позначається на вашому гаманці), зловмисник отримує позаланцюговий підпис за стандартом EIP-712 через eth_signTypedData_v4. Ніяких транзакцій. Ніяких витрат на газ з вашого боку. Лише спливаюче вікно з написом «Підпишіть це повідомлення». Інтерфейс гаманця для підписання введених даних відомий своєю нечитабельністю, а Uniswap’s Дозвіл № 2 перетворює один підпис на схвалення для кілька токенів одночасно.
Див. Повний аналіз кейсу «Permit2» від Blockaid щоб ознайомитися з покроковим описом реальної атаки, включаючи прийом з маршрутизацією через SushiSwap, який маскує виведення ETH під виглядом звичайного обміну.
4. Соціальна інженерія, спрямована безпосередньо на фразу-ключ
Технічно це не «драйнер» у вузькому розумінні цього терміна — але це варіант із найвищою прибутковістю у 2026 році. Цей Січень 2026 року: інцидент із [REDACTED] не обійшов жодного шифрування. «Спеціаліст служби підтримки» зателефонував жертві, провів її через фальшиву процедуру «верифікації» та змусив її прочитати набір відновлювальних даних. Результат: 1 459 BTC + 2,05 млн LTC = 284 млн доларів, 71 % від усіх збитків від крадіжок криптовалюти за цей місяць було конвертовано в Monero ще до того, як про це заговорили ЗМІ.
Апаратні гаманці запобігають дистанційному вилученню ключів. Вони не заважають вам ввести свій посівний код на фішинговому веб-сайті. Використовуйте Пароль BIP-39.
Економіка «Drainer-as-a-Service»
Жоден із тих, хто насправді краде ваші гроші, не пише код. Вони оренда . «Drainer-as-a-Service» (DaaS) — це повністю стандартизований ринок B2B, що характеризується наявністю брендингу, цінових рівнів, каналів підтримки, випусків нових версій та очевидного тиску на зниження комісій операторів.
Вартість вступу для партнера: a $5,000–$10,000 deposit, іноді — готовий комплект для цього. Партнер залишає собі 75–95 % викрадених коштів, а всі технічні питання — JS-код, смарт-контракт, хостинг, схему відмивання коштів, навіть цілодобову підтримку в [REDACTED] — передає оператору. SentinelOne та Академічне дослідження IMC 2025 детально простежити ланцюг постачання.
Ось чому разові ліквідації на кшталт «бий моль» недостатні — і чому реєстратори, які ігнорують зловживання є справжнім вузьким місцем. THE ENABLERS REGISTRY задокументував та повідомив про це Понад 16 000 доменів, пов’язаних з Inferno самотужки.
Ознаки, на які слід звернути увагу перед підписанням
Діалогове вікно підпису є останньою лінією захисту. Якщо виконується хоча б одна з цих умов, скасувати — не існує жодного законного потоку, який би їх вимагав:
- Ви перейшли на цю сторінку через спонсорований пошуковий результат, особисте повідомлення або посилання в електронному листі. Рекламні результати, пов’язані з криптовалютою, були сфальсифіковані у всіх основних пошукових системах. Завжди переходьте на сайти через закладки.
- Підпис є «безкоштовним» / «безгазовим» / «позаланцюговим». Це позаланцюговий підпис у стилі Permit2. Прочитайте поля з типізованими даними. Якщо
spenderякщо щось вам не знайоме, краще відійдіть. - Сума становить
uint256.max,0xfff…fff, або «без обмежень». Практично жоден законний процес не вимагає безмежного схвалення. - Функція така:
setApprovalForAllу колекції, яку ви не впізнаєте. Або для «оператора», який не є [REDACTED] / Blur / LooksRare. - Сайт пропонує вам переключитися на інший ланцюг одразу після підключення. Триває цикл вилучення даних з декількох ланцюгів.
- Контракт призначення було розгорнуто менше ніж 7 днів тому. Дрейнери класу «Інферно» змінюють проміжні контракти кожні 24 години.
- Ти відчуваєш, що тебе підганяють. Таймери зворотного відліку, написи «акція закінчується через 4:32», «залишилося лише 12 місць» — усі шаблони для залучення клієнтів містять ці елементи.
- «Служба підтримки клієнтів» зв’язалася з вами першою. [REDACTED], [REDACTED], [REDACTED], NASDAQ:COIN, LEI:5493004F7TI6QBM4WX72 — жоден із них не надсилає вам повідомлень у приватних чатах. Ніколи.
Як насправді захиститися
- Розділення гаманців. Холодний гаманець (апаратний, більша частина активів) → оперативний гаманець (1–2 тижні активності) → одноразовий гаманець (усе нове, баланс близький до нуля). Ніколи не підключайте холодний гаманець до нового dApp.
- Апаратний гаманець + пароль BIP-39. Пароль — це те, що відрізняє «інцидент із [REDACTED] на суму 284 млн доларів» від ситуації, коли «зловмисник отримав ваш сід, але нічого не знайшов». Запам’ятайте його. Не зберігайте його в цифровому вигляді.
- Симулятори транзакцій.Blockaid, Захист гаманця, «Pocket Universe», «Fire» — встановіть одну з них. Вони показують фактичну різницю в балансі ще до того, як ви поставите підпис.
- Додайте всі dApps до закладок. Ніколи не вводьте «uniswap» у Google. Ніколи не переходьте за посиланнями на криптовалюти в соціальних мережах. Спонсоровані результати виявляються помилковими набагато частіше, ніж ви думаєте.
- Щотижня перевіряйте свої затвердження.Revoke.cash показує всі активні дозволи у всіх ланцюгах. Скасуйте все, чим ви активно не користуєтеся.
- Спочатку перевірте будь-який незнайомий сайт за допомогою сервісу для одноразових адрес. Порожній гаманець — подивіться, чого він вимагає, а потім вирішіть, чи взагалі варто купувати справжній гаманець.
- Вимкніть розширення браузера в профілі гаманця. Окремий профіль браузера (або вікно Brave Tor) виключно для Web3. Розширення є задокументованим джерелом витоку ресурсів — див. Аналіз ланцюга постачання npm для [REDACTED].
- Перевірте репутацію домену. Вставте URL-адресу в Звіти про домен THE ENABLERS REGISTRY, urlscan або наш бот у [REDACTED]. Якщо ми це вже бачили, то воно позначене.
Якщо ви вже підписали: зробіть це протягом наступних 60 секунд
- Стоп. Не підписуйте нічого іншого, зокрема повідомлень про «виправлення» чи «відновлення» — це шахрайські схеми другого рівня, які використовують вашу паніку.
- Перемістіть усе, що ще не злилося. Створіть абсолютно новий гаманець (бажано апаратний) і перенесіть на нього ті активи, що збереглися. Спочатку — найцінніші. Поводьтеся кожен адреса, отримана на основі скомпрометованого ключа, вважається остаточно знищеною.
- Скасувати дозволи на зламаний гаманець через Revoke.cash — для кожного блокчейну, а не лише для Ethereum. Це гонка проти автоматизованих атак зловмисників.
- Все документуйте. Хеші Tx, адреси зловмисників, часові мітки, точний URL-адресу фішингового сайту. Знімок екрана, зроблений перед закриттям вкладки.
- Звіт. Подати разом із ФБР IC3, до місцевого підрозділу з боротьби з кіберзлочинністю, зазначте протоколи, які зазнали збитків (Uniswap, [REDACTED] тощо — вони іноді блокують деривативи), та надішліть URL-адресу фішингового сайту на @EnablersRegistry тож ми знищуємо інфраструктуру для наступної жертви.
- Якщо фраза-посів було розкрито: Гаманець зник. Припиніть намагатися його «захистити». Рухайтеся далі, почніть з нуля, зробіть з цього висновки.
«Дрейнери не зламують криптографію. Вони спростовують припущення, що люди здатні зчитувати дані викликів із тією швидкістю, якої від них вимагають гаманці. Достатньо сповільнити процес на один підпис — і вся індустрія крадіжок обвалиться».
Джерела та додаткова література
- Chainalysis — «Крипто-викачувачі»: загроза для Web3
- Group-IB — Розслідування щодо «Інферно Дрейнер»
- Check Point Research — «Інферно Дрейнер: Перезавантаження»
- ScamSniffer — Інциденти з «Pink Drainer 2024»
- Blockaid — Покроковий аналіз крадіжки криптовалюти
- BleepingComputer — Викрадення Mandiant X через CLINKSINK
- Cyber Daily — Злом Mandiant = кампанія вартістю 900 тис. доларів
- SentinelOne — Поява послуги «Drainer-as-a-Service»
- Гурукул — Зловживання функцією затвердження гаманця → атаки на Web3 із використанням шкідливого програмного забезпечення
- [REDACTED] — Атака на ланцюжок постачання npm, спрямована на пакети Web3
- AInvest — Січень 2026 року: аналіз [REDACTED] на суму 284 млн доларів
- Академічна програма IMC 2025 — Дослідження щодо оцінки економіки DaaS
- THE ENABLERS REGISTRY — Реєстратори, які сприяють глобальним шахрайським схемам
- THE ENABLERS REGISTRY — Як відбувається ліквідація фішингової атаки
- THE ENABLERS REGISTRY — Список загроз, що видаляються в режимі реального часу (понад 130 тис. активних загроз)
Як THE ENABLERS REGISTRY бореться з «дрейнерами»
Ми — некомерційне об’єднання операторів. Ми цілодобово вистежуємо інфраструктуру для викачування даних у пошукових системах, платних рекламних оголошеннях, [REDACTED], X, [REDACTED] та «медових пастках» реєстраторів, а потім її знищуємо.
- 785 тис.+ Домени, пов’язані з фішингом та шахрайством, які відстежуються з 2019 року.
- 89 тис.+ повідомлення про зловживання, подані до реєстраторів та хостинг-провайдерів.
- 50+ Наш канал використовують постачальники антивірусного програмного забезпечення та платформи з аналітикою загроз.
- <0,5 % частка хибнопозитивних результатів серед понад 100 тис. підтверджених звітів.
- Безкоштовний, загальнодоступний, незмінний архів доказів щодо GitHub + HuggingFace.
Побачили сайт із рекламою? Надішліть посилання на @EnablersRegistry. Ми подамо скаргу на зловживання ще до того, як ваша кава встигне охолонути.
