تخلیه‌کننده کیف پول چیست؟ تخلیه‌کننده‌های ارز دیجیتال چگونه کار می‌کنند؟

لازم نیست برای از دست دادن همه چیز، عبارت بازیابی خود را تحویل دهید. با یک برنامه‌ی حذف کیف پول، با کلیک روی «تأیید»، آن را از دست می‌دهید. یک سایت جذاب را تصور کنید که یک ایردراپ رایگان ارائه می‌دهد. کیف پول خود را متصل می‌کنید، یک کادر امضا ظاهر می‌شود، روی تأیید ضربه می‌زنید زیرا این همان چیزی است که هر برنامه‌ی غیرمتمرکز درخواست می‌کند و چند ثانیه بعد، ارز دیجیتال و NFT های شما از بین می‌روند. هیچ رمز عبوری به سرقت نرفته است. هیچ دستگاهی هک نشده است. شما خودتان سرقت را تأیید کرده‌اید، معمولاً با امضایی که بدون هزینه‌ی گس است و کاملاً بی‌ضرر به نظر می‌رسد. کل ترفند همین است و به اندازه‌ی کافی خوب عمل کرد تا فقط در سال ۲۰۲۴، ۴۹۴ میلیون دلار سرقت شود.

این راهنما توضیح می‌دهد که یک عامل تخلیه کیف پول چیست، دقیقاً در چه لحظه‌ای سرقت اتفاق می‌افتد، مجرمان چگونه آن را به یک سرویس پولی تبدیل کرده‌اند، چقدر پول برمی‌دارند و دو عادتی که تقریباً همه آنها را متوقف می‌کند، چیست.

تخلیه کننده کیف پول چیست و چرا کار می‌کند؟

یک تخلیه‌کننده کیف پول، بدافزاری نیست که بی‌سروصدا روی رایانه شما نشسته باشد. این یک قرارداد هوشمند یا اسکریپت مخرب است، یکی از dAppهای مخربی که اکنون Web3 را تسخیر کرده و در لباس یک دوست ظاهر می‌شود و شما را فریب می‌دهد تا به آن دسترسی بدهید، سپس دارایی‌های شما را در همان لحظه‌ای که این کار را انجام می‌دهید، می‌دزدد. تخلیه‌کننده‌ها تقریباً به‌طور کامل در امور مالی غیرمتمرکز یا DeFi زندگی می‌کنند - جایی که پول به جای ورود به سیستم، با امضا جابجا می‌شود و ارز دیجیتال و سایر دارایی‌های رمزنگاری‌شده شما دقیقاً همان چیزی هستند که هدف آنها هستند. تخلیه‌کننده هرگز کلید خصوصی شما را حدس نمی‌زند و هرگز هیچ رمزنگاری را نمی‌شکند. فقط شما را مجبور می‌کند تا یک تراکنش یا تأییدیه را امضا کنید که به یک غریبه اجازه قرارداد هوشمند را بر روی وجوه شما می‌دهد.

وقتی این اجازه وجود داشته باشد، بقیه کارها به صورت خودکار انجام می‌شود. هکر کیف پول شما را می‌خواند تا باارزش‌ترین توکن‌ها، NFTها و سایر دارایی‌های دیجیتال شما را پیدا کند، انتقال را انجام می‌دهد و همه چیز را به آدرسی که توسط مهاجم کنترل می‌شود، اغلب در یک بلوک واحد، منتقل می‌کند. از آنجا که درخواست به عنوان یک اقدام عادی Web3 ارائه شده است، اکثر قربانیان تا زمانی که کیف پول خالی نشده است، متوجه نمی‌شوند چه اتفاقی افتاده است. خطر ویروس نیست. این مجوزی است که شما بدون خواندن آن اعطا می‌کنید.

چگونه یک دستگاه تخلیه کیف پول، کیف پول شما را خالی می‌کند

هر تخلیه از یک قوس پیروی می‌کند: طعمه، امضا، جارو. مرحله میانی جایی است که پول از دست می‌رود، و این مرحله‌ای است که تقریباً هیچ‌کس با دقت به آن نگاه نمی‌کند.

طعمه

اول باید گیر بیفتید. کلاهبرداران، ایردراپ‌های جعلی، توکن‌های غیرمتعارف و ادعاهای توکن را منتشر می‌کنند، سپس آنها را به شدت تحت فشار قرار می‌دهند. آنها حساب‌های تأیید شده در X را می‌دزدند و لینک‌هایی از یک حساب کاربری دزدیده شده در رسانه‌های اجتماعی منتشر می‌کنند، در تلگرام و دیسکورد پیام می‌گذارند و تبلیغات جستجوی حمایت‌شده می‌خرند تا سایت جعلی بالاتر از سایت واقعی قرار گیرد. هدف همیشه فوریت، یک توکن محدود یا ادعایی است که منقضی می‌شود، زیرا مهندسی اجتماعی زمانی بهترین عملکرد را دارد که شما وقت فکر کردن ندارید. برخلاف فیشینگ قدیمی که به دنبال رمز عبور یا اعتبار ورود به سیستم بود، یک کلاهبردار اصلاً به اسرار شما نیازی ندارد. فقط باید کاربران را به یک عمل فریب دهد: کیف پول‌های آنها را به سایت جعلی متصل کند و یک درخواست واحد را تأیید کند. آن نوار پایین دقیقاً دلیل گسترش سریع کلاهبرداران و دلیل گرفتار شدن حتی افراد محتاط در یک لحظه عجولانه است. روی آن کلیک کنید و به یک کلون می‌رسید که دقیقاً شبیه پروژه‌ای است که به آن اعتماد دارید و از شما می‌خواهد کیف پول خود را متصل کنید.

تله، امضا است

این بخش مهم است. وقتی تأیید می‌کنید، «وارد سیستم» نمی‌شوید - شما یک مجوز خاص را امضا می‌کنید و برخی از آنها ویرانگر هستند. یک «approve()» در ERC-20 می‌تواند یک مجوز نامحدود ارائه دهد و به یک قرارداد اجازه دهد آن توکن را برای همیشه خرج کند. «setApprovalForAll» تمام NFTهای موجود در یک مجموعه را به طور همزمان می‌دهد. بدترین نوع، امضای آفلاین Permit یا Permit2 است. این امضا هیچ هزینه‌ای ندارد. به عنوان یک پیام ساده نمایش داده می‌شود، نه یک تراکنش. و همچنان انتقال را مجاز می‌کند. این تله‌ای است که اکثر مردم مستقیماً در آن گرفتار می‌شوند: طبق یک تحلیل SlowMist ، امضاهای به سبک Permit، 56.7٪ از تأییدیه‌های فیشینگ را در سال 2024 تشکیل می‌دادند، دقیقاً به این دلیل که شبیه هیچ چیز نیستند. مهاجمان نیز از این ارتقاها پیروی می‌کنند و از فراخوانی‌های مبهمی مانند «setOwner» و درست پس از انتشار Pectra اتریوم، نمایندگی کاملاً جدید EIP-7702 سوءاستفاده می‌کنند.

تخلیه

به محض اینکه امضا می‌کنید، تخلیه‌کننده‌ی کیف پول هر آنچه را که نیاز دارد، در اختیار دارد و هیچ تأیید دومی برای نجات شما وجود ندارد. هدف ساده و بی‌رحمانه است: قبل از اینکه واکنشی نشان دهید، وجوه را بدزدید. این برنامه از قبل دارایی‌های شما را نقشه‌برداری کرده است، بنابراین انتقال را آغاز می‌کند و توکن‌های شما در یک بلوک باقی می‌مانند. تراکنش‌های بلاکچین قطعی هستند. نیازی به تماس با بانک نیست، نیازی به پرداخت هزینه برای معکوس کردن نیست. زمانی که ایردراپ "بارگذاری نمی‌شود"، انتقال غیرمجاز از قبل روی زنجیره انجام شده است.

Drainer-as-a-Service (DaaS): جرم با داشبورد

درینرها به این دلیل گسترش نیافتند که مهاجمان باهوش‌تر شدند. آنها به این دلیل گسترش یافتند که کسی این ابزار را به یک محصول تبدیل کرد و با آن، سرقت کیف پول را به جرایم سایبری سازمان‌یافته با لیست قیمت منتشر شده تبدیل کرد.

نحوه کار DaaS

در مدل Drainer-as-a-Service، یک توسعه‌دهنده کیت تخلیه کیف پول را می‌سازد و نگهداری می‌کند و آن را به هر کسی که می‌خواهد کمپینی علیه کیف پول‌های ارز دیجیتال راه‌اندازی کند، اجاره می‌دهد. شرکت وابسته، که اغلب یک عامل تهدید کم‌مهارت است، فیشینگ را مدیریت می‌کند. کیت، سرقت را مدیریت می‌کند. آنها سهم را تقسیم می‌کنند و این تقسیم، تقریباً دقیقاً همان دستورالعمل باج‌افزار را کپی می‌کند: توسعه‌دهندگان حدود ۲۰٪ از هر چیز دزدیده شده را نگه می‌دارند، و شرکت‌های وابسته ۸۰٪ دیگر را. در ازای این سهم، خریدار صفحات فیشینگ آماده، یک داشبورد کنترل، ابزارهای ناشناس ماندن و بله، پشتیبانی واقعی مشتری را دریافت می‌کند. نوجوانی که نمی‌تواند یک خط کد بنویسد، می‌تواند تا زمان ناهار یک عملیات حرفه‌ای را اداره کند.

دوزخ، صورتی و درِ گردان

کیت‌های اصلی، مقیاس [این ماجرا] را نشان می‌دهند. Inferno Drainer از اواخر سال ۲۰۲۲ تا اواخر سال ۲۰۲۳ فعالیت می‌کرد و تقریباً ۸۷ میلیون دلار از بیش از ۱۳۷۰۰۰ قربانی، در بیش از ۱۶۰۰۰ دامنه فیشینگ که حداقل ۱۰۰ برند ارز دیجیتال را جعل می‌کردند، سرقت کرد. Pink Drainer قبل از اینکه اپراتورهایش اعلام کنند که در حال ترک کار هستند، حدود ۸۵ میلیون دلار را تسویه کرد. به این الگو توجه کنید. یک گروه بازنشسته می‌شوند، مجرمان سایبری به کیت بعدی روی می‌آورند و خود Inferno به شکلی "دوباره بارگذاری شده" برمی‌گردد. کشتن یک اپراتور، بازار را از بین نمی‌برد - بازار، خودِ سرویس است، نه کلاهبردار.

سارقان کیف پول چقدر پول می‌دزدند؟

مجموع مبالغ بسیار زیاد، متغیر و به راحتی قابل اشتباه خواندن است. یک کمپین تخلیه کیف پول ارز دیجیتال می‌تواند در یک تراکنش بیشتر از یک هک کامل صرافی، پول به جیب بزند و اعداد سالانه نیز در نوسان هستند.

واضح‌ترین منبع، Scam Sniffer ، این رقم را سال به سال محاسبه می‌کند. ضررها در سال ۲۰۲۳ به حدود ۲۹۵ میلیون دلار در بین ۳۲۴۰۰۰ قربانی رسید، در سال ۲۰۲۴ با ۶۷ درصد افزایش به ۴۹۴ میلیون دلار رسید، سپس در سال ۲۰۲۵ به شدت کاهش یافت و به حدود ۸۴ میلیون دلار رسید . این کاهش شبیه یک برد به نظر می‌رسد. اینطور نیست. این بیشتر نشان دهنده فعالیت آرام‌تر درون زنجیره‌ای و گردش مالی کیت است و 2026 اولیه، افزایش شدید ماهانه را نشان می‌دهد. بزرگترین کاهش ثبت شده در سال ۲۰۲۴ ، ۵۵.۴۷ میلیون دلار DAI از یک قربانی به دست آورد. هر کجا که مجموع کل به دست آید، کریپتوی دزدیده شده به همان روش خارج می‌شود: در عرض چند دقیقه از طریق میکسرها و صرافی‌های غیرمتمرکز شسته می‌شود، به همین دلیل است که تقریباً هیچ یک از آن برنمی‌گردد.

و قربانیان همه مبتدی نیستند. مارک کوبان حدود ۹۰۰۰۰۰ دلار را به خاطر یک کلاهبرداری از دست داد. حتی حساب X ویتالیک بوترین، یکی از بنیانگذاران اتریوم، برای تبلیغ یک ضرابخانه جعلی که تقریباً ۷۰۰۰۰۰ دلار از دنبال‌کنندگانش را از بین برد، هک شد. اگر این اتفاق به آنها برسد، خط "من هرگز گول آن را نمی‌خورم" باریک‌تر از آن چیزی است که به نظر می‌رسد.

علائم هشدار دهنده‌ی خالی شدن کیف پول

تقریباً همه نشانه‌های یک آدم ولخرج، دور یک چیز می‌چرخد: همین الان این را امضا کن. وقتی آنها را دیدی، سرعتت را کم کن.

مراقب درخواستی باشید که درخواست مجوز نامحدود توکن را می‌دهد، در حالی که تنها چیزی که می‌خواستید یک خرید واحد بود. در مورد درخواست امضایی که هیچ هزینه‌ای برای سوخت ندارد و پیامی را نشان می‌دهد که نمی‌توانید آن را به طور کامل بخوانید، محتاط‌تر باشید. این یک حرکت کلاسیک برای تخلیه بدون سوخت است. «درخواست اکنون»، «نعناع محدود» و تیک زدن شمارش معکوس را به عنوان تاکتیک‌های فشار در نظر بگیرید، نه شانس. به هر لینکی که در یک دایرکت یا یک گروه تلگرام قرار می‌گیرد، اعتماد نکنید. هرگز از طریق یک تبلیغ جستجوی حمایت‌شده به یک برنامه غیرمتمرکز دسترسی پیدا نکنید، جایی که کلاهبرداران معمولاً برای جایگاه برتر، از پروژه واقعی پیشی می‌گیرند. و همیشه دامنه دقیق را بررسی کنید، زیرا یک شبیه با یک حرف جابجا شده، قدیمی‌ترین حرکت در دفترچه راهنمای سایت‌های کلاهبرداری است و هنوز هم روشی است که کار می‌کند.

چگونه از کیف پول خود در برابر خطرات محافظت کنیم

لازم نیست هر سوءاستفاده جدیدی را پیگیری کنید. دو عادت خسته‌کننده تقریباً هر راه فراری را به تنهایی مسدود می‌کنند.

از یک کیف پول سخت‌افزاری و یک رایتر استفاده کنید

بخش عمده‌ای از ارز دیجیتال خود را در یک کیف پول سخت‌افزاری نگه دارید. کلید به صورت آفلاین باقی می‌ماند و هر تراکنش نیاز به لمس فیزیکی دستگاه دارد، بنابراین یک سایت مخرب نمی‌تواند بدون سخت‌افزاری که در دست دارید چیزی را جابجا کند. سپس یک کیف پول دوم تقریباً خالی را برای استخراج، ایردراپ و هر برنامه غیرمتمرکزی که نمی‌شناسید، راه‌اندازی کنید. اگر این پول اضافی خالی شود، پول ناهار خود را از دست می‌دهید، نه پس‌اندازتان را. اتصال کیف پول اصلی خود به یک سایت Web3 تصادفی، عادتی است که کل این جرم را سودآور نگه می‌دارد.

هر امضا را بخوانید و امضاهای قدیمی را باطل کنید

عادت دوم این است که صرفاً آنچه را که امضا می‌کنید بخوانید. کیف پول‌های مدرن و ابزارهای شبیه‌سازی، قبل از تأیید، آنچه را که امضا اعطا می‌کند، مشخص می‌کنند. از آنها استفاده کنید و هرگز پیامی را که نمی‌توانید دنبال کنید، کورکورانه امضا نکنید. سپس تأییدیه‌هایی را که دیگر نیازی به آنها ندارید، پاک‌سازی و لغو کنید. یک ابزار لغو، هر قراردادی را که هنوز می‌تواند توکن‌های شما را خرج کند، نشان می‌دهد و به شما امکان می‌دهد مواردی را که فراموش کرده‌اید لغو کنید و درهایی را که یک مهاجم می‌تواند ماه‌ها بعد از آن عبور کند، ببندید. اگر سایتی ناآشنا به نظر می‌رسد، ابتدا به قرارداد آن در یک کاوشگر بلوک نگاهی بیندازید، زیرا یک قرارداد کاملاً جدید با سابقه صفر، یک چیدمان کلاسیک است. آن تأیید نامحدودی که در سال 2021 دوباره کلیک کردید؟ هنوز زنده است تا زمانی که آن را از بین ببرید.

اگر کسی کیف پولتان را خالی کرد چه باید کرد؟

اگر چنین اتفاقی افتاد، سرعت حرف اول را می‌زند. مرتب کار کنید. هر چیزی را که مهاجم هنوز به چنگ نیاورده است، فوراً به یک کیف پول جدید و امن منتقل کنید، زیرا آنها اغلب برای بقیه پول برمی‌گردند. سپس تمام تأییدیه‌های مربوط به آدرس هک شده را لغو کنید تا هیچ مجوزی باقی نماند. آن کیف پول را سوخته در نظر بگیرید و استفاده از آن را برای همیشه متوقف کنید. هش‌های تراکنش را مستند کنید و آدرس‌ها را به سرویس‌هایی مانند Chainabuse یا Scam Sniffer که این زیرساخت را ترسیم می‌کنند، گزارش دهید. و در مورد بازیابی با خودتان صادق باشید. نقل و انتقالات درون زنجیره‌ای قطعی هستند و وجوه دزدیده شده به ندرت برمی‌گردند، بنابراین برد واقعی متوقف کردن سریع خونریزی است.

یک کلاهبردار به امضای شما نیاز دارد، نه کلیدهایتان

داشبوردها و نام کیت‌ها را کنار بگذارید، یک دستگاه تخلیه کیف پول دقیقاً یک سلاح دارد: امضایی که شما تأیید می‌کنید. نمی‌تواند کلید خصوصی شما را بگیرد، نمی‌تواند زنجیره را بشکند و نمی‌تواند یک سنت جابجا کند تا زمانی که روی تأیید کلیک کنید. این هم خبر خوب است - شمارنده به همین سادگی است. بخش عمده‌ای از آن را در فضای ذخیره‌سازی سرد نگه دارید، هر پیام "اتصال کیف پول" را مانند یک غریبه که از شما کلیدهای شما را می‌خواهد در نظر بگیرید و قبل از امضای آن، مجوز را بخوانید. این کار را انجام دهید و یک صنعت میلیارد دلاری مستقیماً به دیوار روی صفحه نمایش شما برخورد می‌کند. بنابراین دفعه بعد که یک ضرابخانه رایگان از شما می‌خواهد امضا کنید، تنها سؤال مهم را از خود بپرسید: دقیقاً چه چیزی را تأیید می‌کنم؟

Marco Lucchetti

Marco Lucchetti is a senior content strategist and blockchain analyst at Plisio. With over 7 years of experience in cryptocurrency research, DeFi protocols, and payment technologies, Marco specializes in creating clear, data-driven content for a global crypto audience. His work focuses on transaction tracing, crypto compliance, and the future of blockchain infrastructure.