Czym jest opróżnianie portfela? Jak działają opróżniacze kryptowalut
Nie musisz podawać swojej frazy początkowej, żeby wszystko stracić. Z portfelem, który opróżnia portfel, tracisz go, klikając „zatwierdź”. Wyobraź sobie sprytną stronę oferującą darmowy airdrop. Podłączasz portfel, pojawia się pole podpisu, klikasz „potwierdź”, bo o to prosi każda aplikacja zdecentralizowana, a po kilku sekundach Twoje kryptowaluty i NFT znikają. Żadne hasło nie zostało skradzione. Żadne urządzenie nie zostało zhakowane. Sam autoryzowałeś kradzież, zazwyczaj podpisem, który nie kosztował benzyny i wyglądał całkowicie nieszkodliwie. Na tym polega cała sztuczka i zadziałał na tyle dobrze, że w samym 2024 roku udało Ci się ukraść 494 miliony dolarów.
W tym przewodniku dowiesz się, kim są osoby opróżniające portfel, kiedy dokładnie dochodzi do kradzieży, jak przestępcy zamienili kradzież w płatną usługę, ile pieniędzy zabierają, a także jakie dwa nawyki powstrzymują ich od niemal wszystkich kradzieży.
Czym jest opróżnianie portfela i dlaczego działa
Drainer portfela to nie złośliwe oprogramowanie ukryte na twoim komputerze. To złośliwy inteligentny kontrakt lub skrypt, jeden ze złośliwych dAppów, które teraz nawiedzają Web3, podszywający się pod przyjaznego, który podstępem nakłania cię do udzielenia mu dostępu, a następnie natychmiast po jego udzieleniu zabiera twoje aktywa. Drainerzy działają niemal wyłącznie w zdecentralizowanych finansach, czyli DeFi — gdzie pieniądze są przesyłane na podstawie podpisu, a nie loginu, a twoje kryptowaluty i inne aktywa kryptograficzne są dokładnie tym, do czego dążą. Drainer nigdy nie zgaduje twojego klucza prywatnego i nigdy nie łamie żadnej kryptografii. Po prostu zmusza cię do podpisania transakcji lub zatwierdzenia, które daje obcemu inteligentnemu kontraktowi dostęp do twoich środków.
Po uzyskaniu tego uprawnienia reszta dzieje się automatycznie. Drainer odczytuje Twój portfel w poszukiwaniu najcenniejszych tokenów, NFT i innych aktywów cyfrowych, tworzy przelew i przesyła wszystko na adres kontrolowany przez atakującego, często w obrębie jednego bloku. Ponieważ żądanie zostało zamaskowane jako zwykła akcja Web3, większość ofiar nie zdaje sobie sprawy z tego, co się stało, dopóki portfel nie będzie już pusty. Zagrożeniem nie jest wirus. To uprawnienie, którego udzielasz bez jego odczytywania.
Jak osoba opróżniająca portfel opróżnia Twój portfel
Każdy odpływ podąża tą samą ścieżką: wabik, podpis, podmiatanie. Środkowy stopień to miejsce, gdzie traci się pieniądze, i to jest stopień, któremu prawie nikt nie przygląda się uważnie.
Przynęta
Najpierw trzeba wpaść w pułapkę. Oszuści umieszczają fałszywe zrzuty airdropów, NFT minty i roszczenia do tokenów, a następnie mocno je wykorzystują. Przechwytują zweryfikowane konta na X i publikują linki ze skradzionych kont w mediach społecznościowych, wysyłają wiadomości na Telegramie i Discordzie oraz kupują sponsorowane reklamy w wyszukiwarkach, dzięki czemu fałszywa strona wyświetla się nad prawdziwą. Celem jest zawsze pilna oferta, limitowana pula lub roszczenie, które wygasa, ponieważ socjotechnika działa najlepiej, gdy nie ma czasu na myślenie. W przeciwieństwie do tradycyjnego phishingu, który poluje na hasło lub dane logowania, drenaż w ogóle nie potrzebuje twoich sekretów. Wystarczy, że nakłoni użytkowników do jednej czynności: połączenia ich portfeli z fałszywą stroną i zatwierdzenia jednego żądania. To właśnie ta niższa poprzeczka jest powodem, dla którego drenaż rozprzestrzenia się tak szybko i dlaczego nawet ostrożni ludzie dają się złapać w pośpiechu. Klikając, docierasz do klona, który wygląda dokładnie jak projekt, któremu ufasz, i prosi cię o połączenie portfela.
Pułapka jest podpisem
To jest ta część, która ma znaczenie. Zatwierdzając, nie „logujesz się” – podpisujesz konkretne uprawnienie, a kilka z nich jest destrukcyjnych. Funkcja ERC-20 `approve()` może przekazać nieograniczony limit, pozwalając kontraktowi na nieograniczone korzystanie z tego tokena. `setApprovalForAll` oddaje wszystkie NFT w kolekcji naraz. Najgorszy jest podpis offline Permit lub Permit2. Nie kosztuje on nic. Pojawia się jako zwykła wiadomość, a nie transakcja. I nadal autoryzuje przelew. To pułapka, w którą wpada większość ludzi: według analizy SlowMist , podpisy w stylu Permit stanowiły 56,7% zatwierdzeń phishingu w 2024 roku, właśnie dlatego, że wyglądają jak nic. Atakujący również podążają za aktualizacjami, nadużywając niejasnych wywołań, takich jak `setOwner`, a zaraz po premierze Pectra w Ethereum, zupełnie nowej delegacji EIP-7702.
Odpływ
Po podpisaniu umowy, „wysysacz” portfela ma wszystko, czego potrzebuje, i nie ma drugiego potwierdzenia, które mogłoby Cię uratować. Cel jest prosty i brutalny: ukraść środki, zanim zareagujesz. Zmapował już Twoje aktywa, więc uruchamia przelew, a Twoje tokeny opuszczają jeden blok. Transakcje blockchain są ostateczne. Nie ma potrzeby kontaktowania się z bankiem, nie ma opłat do cofnięcia. Zanim zrzut „nie załaduje się”, nieautoryzowany przelew zostanie już rozliczony w łańcuchu bloków.
| O co jesteś proszony, aby podpisać | Jak to dla ciebie wygląda | Co tak naprawdę daje |
|---|---|---|
| ERC-20 `zatwierdź()` | Rutynowe zatwierdzanie tokenów | Nieograniczone wydawanie tego tokena |
| `setApprovalForAll` | „Zatwierdź kolekcję” | Kontrola każdego NFT w nim zawartego |
| Zezwolenie / Zezwolenie2 | Wiadomość z podpisem bez gazu | Prawa transferu bez śladu w łańcuchu do momentu wykorzystania |
| `setOwner` / EIP-7702 | Nieznany monit | Własność lub delegowanie Twojego konta |
Drainer-as-a-Service (DaaS): Przestępczość z pulpitem nawigacyjnym
Drainers nie skalowali się, ponieważ atakujący stali się sprytniejsi. Skalowali się, ponieważ ktoś przekształcił narzędzie w produkt, a wraz z nim kradzież portfeli w zorganizowaną cyberprzestępczość z opublikowanym cennikiem.
Jak działa DaaS
W modelu Drainer-as-a-Service jeden programista tworzy i utrzymuje zestaw narzędzi do usuwania portfeli i udostępnia go każdemu, kto chce przeprowadzić kampanię przeciwko portfelom kryptowalut. Partner, często osoba o niskich kwalifikacjach, zajmuje się phishingiem. Zestaw zajmuje się kradzieżą. Dzielą się oni zyskiem, a podział ten niemal dokładnie kopiuje podręcznik ransomware: programiści zatrzymują około 20% skradzionych danych, partnerzy zatrzymują pozostałe 80%. Za tę część kupujący otrzymuje gotowe strony phishingowe, panel sterowania, narzędzia do anonimowości i, oczywiście, prawdziwą obsługę klienta. Nastolatek, który nie potrafi napisać ani linijki kodu, może zarządzać profesjonalną firmą już w porze lunchu.
Inferno, Pink i drzwi obrotowe
Zestawy nagłówkowe pokazują skalę. Inferno Drainer działał od końca 2022 do końca 2023 roku i ukradł około 87 milionów dolarów od ponad 137 000 ofiar, rozproszonych na ponad 16 000 domen phishingowych, które podszywały się pod co najmniej 100 marek kryptowalut. Pink Drainer zarobił około 85 milionów dolarów, zanim jego operatorzy ogłosili odejście. Zwróć uwagę na schemat. Jedna ekipa odchodzi na emeryturę, cyberprzestępcy przechodzą na kolejny zestaw, a sam Inferno powraca w „odświeżonej” formie. Likwidacja jednego operatora nie zabija rynku – rynkiem jest usługa, a nie oszust.
Ile pieniędzy kradną opróżniacze portfeli
Sumy są ogromne, zmienne i łatwe do pomylenia. Pojedyncza kampania wysysania kryptowalut z portfeli może pochłonąć więcej w jednej transakcji niż cały atak na giełdę, a roczne liczby wahają się.
Najbardziej przejrzyste źródło, Scam Sniffer , liczy to rok po roku. Straty osiągnęły około 295 milionów dolarów w 2023 r. wśród 324 000 ofiar, wzrosły o 67% do 494 milionów dolarów w 2024 r., a następnie gwałtownie spadły do około 84 milionów dolarów w 2025 r . Ten spadek wygląda na zwycięstwo. Ale nim nie jest. Odzwierciedla on głównie cichszą aktywność on-chain i rotację zestawów, a wczesne 2026 już pokazywały gwałtowny miesięczny wzrost. Największy odnotowany drenaż pochłonął 55,47 miliona dolarów w DAI od jednej ofiary w 2024 r. Gdziekolwiek trafią sumy, skradzione kryptowaluty wychodzą w ten sam sposób: przemywane przez miksery i zdecentralizowane giełdy w ciągu kilku minut, dlatego prawie nic z nich nie wraca.
| Rok | Skradzione przez drenaże | Ofiary |
|---|---|---|
| 2023 | 295,5 miliona dolarów | 324 000+ |
| 2024 | 494 miliony dolarów | 332 000 |
| 2025 | 83,85 miliona dolarów | 106,106 |
A ofiary nie są nowicjuszami. Mark Cuban stracił około 900 000 dolarów z powodu drenażu. Nawet współzałożyciel Ethereum, Vitalik Buterin, padł ofiarą przejęcia konta X, aby promować fałszywą miętówkę, która wyssała z jego obserwujących około 700 000 dolarów. Jeśli do nich dotrze, granica „nigdy bym się na to nie nabrał” jest cieńsza, niż się wydaje.
Oznaki ostrzegawcze opróżniania portfela
Czerwone flagi opróżniającego portfel człowieka prawie zawsze krążą wokół jednego żądania: podpisz to, natychmiast. Kiedy je zobaczysz, zwolnij.
Uważaj na monit z prośbą o nieograniczony limit tokenów, gdy chciałeś tylko jednorazowego zakupu. Zachowaj jeszcze większą ostrożność w przypadku prośby o podpis, która nie pobiera opłaty za paliwo i wyświetla wiadomość, której nie da się w pełni odczytać. To klasyczny sposób na pozbycie się paliwa. Traktuj „zgłoś teraz”, „limitowaną miętę” i odliczanie jako taktykę nacisku, a nie szczęście. Nie ufaj żadnemu linkowi, który pojawia się w wiadomości prywatnej lub grupie na Telegramie. Nigdy nie docieraj do aplikacji zdecentralizowanej (dApp) za pośrednictwem sponsorowanej reklamy w wyszukiwarce, gdzie oszuści rutynowo przebijają oferty prawdziwego projektu o najwyższe miejsce. Zawsze sprawdzaj dokładną domenę, ponieważ sobowtór z jedną zamienioną literą to najstarszy i wciąż skuteczny sposób w strategii oszukańczych witryn.
Jak chronić portfel przed opróżnianiem
Nie musisz śledzić każdego nowego exploita. Dwa nudne nawyki same w sobie blokują niemal każdy odpływ.
Użyj portfela sprzętowego i nagrywarki
Przechowuj większość swoich kryptowalut w portfelu sprzętowym. Klucz pozostaje offline, a każda transakcja wymaga fizycznego dotknięcia urządzenia, więc złośliwa strona nie może niczego przetworzyć bez sprzętu w Twojej dłoni. Następnie załóż drugi, prawie pusty portfel „burner” do bicia kryptowalut, zrzutów i wszelkich aplikacji zdecentralizowanych, których nie znasz. Jeśli portfel jednorazowy zostanie opróżniony, stracisz pieniądze na lunch, a nie oszczędności. Podłączanie głównego portfela do losowej witryny Web3 to jedyny nawyk, który sprawia, że całe to przestępstwo jest opłacalne.
Przeczytaj każdy podpis i odwołaj stare
Drugim nawykiem jest po prostu czytanie tego, co podpisujesz. Nowoczesne portfele i narzędzia symulacyjne określają, co daje podpis, zanim go zatwierdzisz. Korzystaj z nich i nigdy nie podpisuj w ciemno wiadomości, której nie rozumiesz. Następnie zrób porządek i cofnij zgody, których już nie potrzebujesz. Narzędzie do cofania pokazuje wszystkie kontrakty, które nadal mogą wykorzystać Twoje tokeny i pozwala anulować te, o których zapomniałeś, zamykając drzwi, przez które atakujący mógłby się przedostać miesiącami. Jeśli strona wygląda nieznajomo, najpierw spójrz na jej kontrakt w eksploratorze bloków, ponieważ nowy kontrakt z zerową historią to klasyczna konfiguracja. Ta nieograniczona zgoda, którą kliknąłeś w 2021 roku? Nadal będzie działać, dopóki jej nie usuniesz.
Co zrobić, gdy ktoś opróżni Twój portfel?
Jeśli tak się stanie, szybkość ma kluczowe znaczenie. Działaj w sposób uporządkowany. Natychmiast przenieś wszystko, czego atakujący jeszcze nie przechwycił, do nowego, bezpiecznego portfela, ponieważ często wraca po resztę. Następnie cofnij wszystkie zgody na przejętym adresie, aby nie można było ponownie wykorzystać pozostałych uprawnień. Potraktuj ten portfel jako spalony i przestań go używać na dobre. Dokumentuj skróty transakcji i zgłaszaj adresy do usług takich jak Chainabuse lub Scam Sniffer, które mapują tę infrastrukturę. I bądź szczery wobec siebie w kwestii odzyskiwania. Transfery on-chain są ostateczne, a skradzione środki rzadko wracają, więc prawdziwym sukcesem jest szybkie zatrzymanie wycieku.
Osoba opróżniająca portfel potrzebuje Twojego podpisu, a nie kluczy
Odrzuć panele sterowania i nazwy zestawów, a drenaż portfela ma tylko jedną broń: podpis, który zatwierdzasz. Nie może on zabrać twojego klucza prywatnego, nie może przerwać łańcucha i nie może ruszyć ani centa, dopóki nie klikniesz potwierdzenia. To dobra wiadomość — licznik jest równie prosty. Trzymaj większość w chłodni, traktuj każde żądanie „połącz portfel” jak prośbę o klucze od nieznajomego i przeczytaj zgodę przed jej podpisaniem. Zrób to, a miliardowy przemysł wpadnie prosto na ścianę na twoim ekranie. Więc następnym razem, gdy darmowa mennica poprosi cię o podpis, zadaj sobie jedyne pytanie, które ma znaczenie: co właściwie autoryzuję?
