Что такое крипто-дренаж? Как работают крипто-дренажи?
Чтобы потерять всё, вам не нужно передавать свою сид-фразу. В случае с вредоносным кошельком, вы теряете всё, просто нажав «подтвердить». Представьте себе привлекательный сайт, предлагающий бесплатный аирдроп. Вы подключаете свой кошелек, появляется поле для подписи, вы нажимаете «подтвердить», потому что именно это запрашивает каждое децентрализованное приложение, и через несколько секунд ваша криптовалюта и NFT исчезают. Пароль не был украден. Устройство не было взломано. Вы сами санкционировали кражу, обычно с помощью подписи, которая не требовала затрат на газ и выглядела совершенно безобидной. В этом и заключается весь трюк, и он сработал достаточно хорошо, чтобы украсть 494 миллиона долларов только в 2024 году.
В этом руководстве подробно объясняется, что такое «грабитель, опустошающий кошелек», в какой именно момент происходит кража, как преступники превратили это в платную услугу, сколько они крадут, и две привычки, которые помогают им избежать почти всех подобных случаев.
Что такое устройство для опустошения кошелька и почему оно работает?
Программа для опустошения кошелька — это не вредоносное ПО, незаметно работающее на вашем компьютере. Это вредоносный смарт-контракт или скрипт, один из вредоносных децентрализованных приложений (dApps), которые сейчас распространены в Web3, замаскированный под дружелюбное приложение, который обманом заставляет вас предоставить ему доступ, а затем мгновенно забирает ваши активы. Программы для опустошения кошелька существуют почти исключительно в децентрализованных финансах (DeFi) — там, где деньги перемещаются по подписи, а не по логину, и ваша криптовалюта и другие криптоактивы являются именно тем, на что они нацелены. Программа никогда не угадывает ваш закрытый ключ и не взламывает криптографию. Она просто заставляет вас подписать транзакцию или подтверждение, которое передает смарт-контракту стороннего пользователя разрешение на доступ к вашим средствам.
Как только такое разрешение получено, всё остальное происходит автоматически. Злоумышленник считывает данные из вашего кошелька, чтобы найти ваши самые ценные токены, NFT и другие цифровые активы, формирует транзакцию и перемещает всё на адрес, контролируемый злоумышленником, часто в пределах одного блока. Поскольку запрос был замаскирован под обычное действие Web3, большинство жертв не понимают, что произошло, пока кошелёк уже не опустеет. Опасность заключается не в вирусе. Опасность заключается в разрешении, которое вы предоставляете, не читая его.
Как устройство для опустошения кошелька помогает опустошить ваш кошелек
Каждый процесс вывода средств проходит по одной и той же траектории: приманка, подпись, зачистка. На промежуточном этапе теряются деньги, и это этап, на который почти никто не обращает внимания.
Приманка
Сначала нужно попасть в ловушку. Мошенники распространяют поддельные аирдропы, NFT-релизы и заявки на токены, а затем активно их продвигают. Они взламывают подтвержденные аккаунты на X и публикуют ссылки с украденных аккаунтов в социальных сетях, рассылают сообщения в Telegram и Discord, а также покупают рекламные объявления в поисковой выдаче, чтобы поддельный сайт располагался выше настоящего. Главная цель — срочность, ограниченное количество релизов или возможность получить токены, срок действия которых истекает, потому что социальная инженерия работает лучше всего, когда у вас нет времени на размышления. В отличие от фишинга старой школы, который ищет пароль или учетные данные для входа, мошеннику, занимающемуся выкачиванием средств, ваши секреты вообще не нужны. Ему нужно лишь обманом заставить пользователей совершить одно действие: подключить свои кошельки к поддельному сайту и подтвердить один запрос. Именно эта низкая планка и является причиной быстрого распространения мошенников, и почему даже осторожные люди попадают в ловушку в спешке. Перейдя по ссылке, вы попадаете на клон, который выглядит точно так же, как проект, которому вы доверяете, и просит вас подключить свой кошелек.
Ловушка – это визитная карточка.
Вот что действительно важно. Когда вы подтверждаете транзакцию, вы не «входите в систему» — вы подписываете конкретное разрешение, и некоторые из них могут быть разрушительными. Функция `approve()` стандарта ERC-20 может предоставить неограниченное количество токенов, позволяя контракту тратить эти токены бесконечно. `setApprovalForAll` раздает все NFT из коллекции одновременно. Самая опасная — это автономная подпись Permit или Permit2. Она не требует газа. Она отображается как обычное сообщение, а не как транзакция. И она по-прежнему авторизует перевод. Именно в эту ловушку попадает большинство людей: согласно анализу SlowMist , подписи в стиле Permit составляли 56,7% фишинговых подтверждений в 2024 году именно потому, что они выглядят как ничто. Злоумышленники также следят за обновлениями, злоупотребляя малоизвестными вызовами, такими как `setOwner`, и, сразу после выпуска Ethereum Pectra, совершенно новым делегированием EIP-7702.
Слив
Как только вы подпишете соглашение, у злоумышленника будет всё необходимое, и второго подтверждения для вашей защиты не потребуется. Цель проста и жестока: украсть средства до того, как вы успеете отреагировать. Он уже определил ваши активы, поэтому перевод запускается, и ваши токены исчезают в одном блоке. Транзакции в блокчейне являются окончательными. Не нужно звонить в банк, не нужно отменять платежи. К тому моменту, когда аирдроп «не загрузится», несанкционированный перевод уже будет обработан в блокчейне.
| Что вас просят подписать | Как это выглядит для вас | Что это на самом деле предоставляет |
|---|---|---|
| ERC-20 `approve()` | Стандартное подтверждение токена | Неограниченное использование этого токена |
| `setApprovalForAll` | "Утвердить сбор" | Контроль над каждым NFT в нём |
| Разрешение / Разрешение2 | Подпись без использования газа | Права на передачу данных не отслеживаются в блокчейне до момента использования. |
| `setOwner` / EIP-7702 | Незнакомая подсказка | Владение или делегирование вашей учетной записи |
Сервис очистки канализации (DaaS): Преступность с помощью панели мониторинга
Масштабирование программ для кражи электронных денег не произошло из-за того, что злоумышленники стали умнее. Оно произошло потому, что кто-то превратил инструмент в продукт и, с его помощью, превратил кражу электронных денег в организованную киберпреступность с опубликованным прайс-листом.
Как работает DaaS
В модели «Drainer-as-a-Service» один разработчик создает и поддерживает комплект для выкачивания средств из криптовалютных кошельков и сдает его в аренду любому, кто хочет провести кампанию против криптовалютных кошельков. Партнер, часто малоквалифицированный злоумышленник, занимается фишингом. Комплект занимается кражей. Они делят прибыль, и это распределение почти точно повторяет схему программ-вымогателей: разработчики получают около 20% от всего украденного, партнеры — остальные 80%. За эту долю покупатель получает готовые фишинговые страницы, панель управления, инструменты анонимности и, да, реальную поддержку клиентов. Подросток, не умеющий писать ни строчки кода, может к обеду запустить профессиональную операцию.
«Ад», «Розовый» и вращающаяся дверь
Масштабы мошенничества очевидны. Inferno Drainer действовал с конца 2022 по конец 2023 года и украл около 87 миллионов долларов у более чем 137 000 жертв, используя более 16 000 фишинговых доменов, имитирующих как минимум 100 криптовалютных брендов. Pink Drainer заработал около 85 миллионов долларов, прежде чем его операторы объявили о прекращении своей деятельности. Обратите внимание на закономерность. Одна группа уходит на пенсию, киберпреступники переключаются на следующую группу, а сам Inferno возвращается в «обновленном» виде. Уничтожение одного оператора не убивает рынок — рынок — это услуга, а не мошенник.
Сколько денег воруют те, кто опустошает кошельки?
Общие суммы огромны, нестабильны и легко могут быть неправильно интерпретированы. Одна кампания по опустошению криптовалютных кошельков может за одну транзакцию украсть больше средств, чем полномасштабный взлом биржи, а годовые показатели сильно колеблются.
Наиболее достоверный источник, Scam Sniffer , ведет ежегодный подсчет. Потери достигли примерно 295 миллионов долларов в 2023 году среди 324 000 жертв, подскочили на 67% до 494 миллионов долларов в 2024 году, а затем резко упали примерно до 84 миллионов долларов в 2025 году . Это падение выглядит как победа. Но это не так. В основном оно отражает снижение активности в блокчейне и оборота комплектов, а ранние данные уже показали резкий ежемесячный скачок. Самый крупный зафиксированный случай утечки составил 55,47 миллиона долларов в DAI от одной жертвы в 2024 году. Независимо от итоговых сумм, украденная криптовалюта уходит одним и тем же путем: через миксеры и децентрализованные биржи в течение нескольких минут, поэтому почти ничего из нее не возвращается.
| Год | Украдено водосборщиками | Жертвы |
|---|---|---|
| 2023 | 295,5 миллионов долларов | 324 000+ |
| 2024 | 494 миллиона долларов | 332,000 |
| 2025 | 83,85 миллиона долларов | 106,106 |
И жертвами становятся не только новички. Марк Кубан потерял около 900 000 долларов из-за мошенника. Даже у сооснователя Ethereum Виталика Бутерина взломали аккаунт X, чтобы продвигать фальшивый монетный двор, который выкачал из его подписчиков примерно 700 000 долларов. Если это до них дойдет, грань «я бы никогда на это не купился» окажется тоньше, чем кажется.
Признаки того, что человек тратит все свои сбережения.
Признаки того, что кто-то опустошает ваш кошелек, почти всегда сводятся к одному требованию: подпишите это прямо сейчас. Когда вы их увидите, притормозите.
Остерегайтесь запросов на неограниченное количество токенов, когда вам нужна всего лишь одна покупка. Еще осторожнее относитесь к запросам на подпись, которые не требуют оплаты газа и отображают сообщение, которое вы не можете полностью прочитать. Это классический прием мошенников, стремящихся получить неограниченное количество токенов. Воспринимайте фразы «забрать сейчас», «ограниченное количество токенов» и обратный отсчет как тактику давления, а не как удачу. Не доверяйте ссылкам, которые попадают в личные сообщения или группы в Telegram. Никогда не переходите на децентрализованные приложения через спонсируемую рекламу в поисковой выдаче, где мошенники обычно перебивают ставки реальных проектов, чтобы занять первое место. И всегда проверяйте точное доменное имя, потому что подделка с одной замененной буквой — это старый, но до сих пор работающий прием мошеннических сайтов.
Как защитить свой кошелек от выкачивания денег
Вам не нужно отслеживать каждую новую уязвимость. Две скучные привычки сами по себе блокируют почти все источники утечки данных.
Используйте аппаратный кошелек и устройство для подзарядки.
Храните основную часть своей криптовалюты на аппаратном кошельке. Ключ остается в автономном режиме, и каждая транзакция требует физического касания устройства, поэтому вредоносный сайт не сможет ничего переместить без аппаратного кошелька в ваших руках. Затем создайте второй, почти пустой «временный» кошелек для майнинга, аирдропов и любых децентрализованных приложений, о которых вы не знаете. Если временный кошелек опустеет, вы потеряете деньги на обед, а не свои сбережения. Подключение основного кошелька к случайному сайту Web3 — это единственная привычка, которая делает это преступление прибыльным.
Прочитайте каждую подпись и аннулируйте старые.
Вторая привычка — просто внимательно читать то, что вы подписываете. Современные кошельки и инструменты моделирования показывают, что дает подпись, прежде чем вы ее подтвердите. Используйте их и никогда не подписывайте вслепую сообщение, которое вы не понимаете. Затем наведите порядок и отмените подтверждения, которые вам больше не нужны. Инструмент отмены показывает все контракты, которые все еще могут потратить ваши токены, и позволяет отменить те, о которых вы забыли, закрывая двери, через которые злоумышленник мог бы пройти спустя месяцы. Если сайт выглядит незнакомым, сначала взгляните на его контракт в обозревателе блоков, потому что совершенно новый контракт с нулевой историей — это классическая схема. То неограниченное подтверждение, которое вы нажали еще в 2021 году? Оно все еще будет действовать, пока вы его не отмените.
Что делать, если вас опустошает кошелек?
Если это произойдёт, скорость — это всё. Действуйте последовательно. Немедленно переместите всё, что злоумышленник ещё не завладел, в новый, защищённый кошелёк, потому что они часто возвращаются за остальным. Затем отзовите все разрешения на скомпрометированном адресе, чтобы никакие оставшиеся разрешения нельзя было использовать повторно. Считайте этот кошелёк сожжённым и перестаньте им пользоваться навсегда. Задокументируйте хеши транзакций и сообщите адреса в такие сервисы, как Chainabuse или Scam Sniffer, которые составляют карту этой инфраструктуры. И будьте честны с собой относительно восстановления. Переводы в блокчейне являются окончательными, и украденные средства редко возвращаются, поэтому настоящая победа — это быстрая остановка утечки.
Для того, чтобы опустошать кошелек, нужна ваша подпись, а не ключи.
Уберите панели управления и названия комплектов, и у кошелька, который выкачивает деньги, останется всего одно оружие: ваша подпись. Он не сможет забрать ваш закрытый ключ, не сможет разорвать цепочку и не сможет сдвинуть ни цента, пока вы не нажмете «подтвердить». И это тоже хорошая новость — счетчик так же прост. Храните основную массу в холодном хранилище, относитесь к каждому запросу «подключить кошелек» как к просьбе незнакомца предоставить ваши ключи, и читайте разрешение, прежде чем подписывать его. Сделайте это, и многомиллиардная индустрия наткнется на стену у вашего экрана. Поэтому в следующий раз, когда бесплатный кошелек попросит вас подписать, задайте себе единственный важный вопрос: что именно я разрешаю?
