Що таке дрейнер гаманців? Як працюють дрейнери криптовалют
Вам не потрібно передавати свою основну фразу, щоб втратити все. З додатком для зливу гаманця ви втрачаєте його, натискаючи кнопку «схвалити». Уявіть собі стильний сайт, який пропонує безкоштовний аірдроп. Ви підключаєте свій гаманець, з'являється поле для підпису, ви натискаєте «підтвердити», бо саме цього вимагає кожен децентралізований додаток, і через кілька секунд ваша криптовалюта та NFT зникають. Жоден пароль не був вкрадений. Жоден пристрій не був зламаний. Ви самі авторизували крадіжку, зазвичай за допомогою підпису, який не коштував пального та виглядав абсолютно нешкідливим. У цьому весь трюк, і він спрацював достатньо добре, щоб вкрасти 494 мільйони доларів лише у 2024 році.
У цьому посібнику розкрито, що таке висмоктування грошей з гаманця, коли саме відбувається крадіжка, як злочинці перетворили її на платну послугу, скільки вони беруть, і дві звички, які зупиняють майже всіх їх.
Що таке висмоктувач гаманців і чому він працює
«Злив гаманця» – це не шкідливе програмне забезпечення, яке тихо сидить на вашому комп’ютері. Це шкідливий смарт-контракт або скрипт, один зі шкідливих dApp, що зараз переслідують Web3, маскується під дружній, який обманом змушує вас надати йому доступ, а потім викрадає ваші активи в ту ж мить, як ви це робите. «Зливи» майже повністю працюють у децентралізованих фінансах, або DeFi, – це коли гроші переміщуються за підписом, а не за логіном, і ваша криптовалюта та інші криптоактиви – це саме те, на що вони спрямовані. «Злив» ніколи не вгадує ваш закритий ключ і ніколи не ламає жодної криптографії. Він просто змушує вас підписати транзакцію або схвалення, яке передає дозвіл незнайомця на доступ до ваших коштів через смарт-контракт.
Щойно цей дозвіл з'явиться, решта відбувається автоматично. Зчитувач зчитує ваш гаманець, щоб знайти найцінніші токени, NFT та інші цифрові активи, здійснює переказ і переміщує все на адресу, контрольовану зловмисником, часто в межах одного блоку. Оскільки запит надходить під виглядом звичайної дії Web3, більшість жертв не усвідомлюють, що сталося, доки гаманець не спорожніє. Небезпека полягає не у вірусі. Це дозвіл, який ви надаєте, не читаючи його.
Як пристрій для зливання гаманців спустошує ваш гаманець
Кожен злив проходить по одній і тій самій дузі: приманка, підпис, підйом. Середній крок - це те, де втрачаються гроші, і це крок, на який майже ніхто не дивиться уважно.
Приманка
Спочатку потрібно потрапити в пастку. Шахраї розміщують фальшиві аїрдропи, NFT-мінти та токени-претензії, а потім наполегливо їх просувають. Вони захоплюють перевірені облікові записи на X та публікують посилання з викраденого облікового запису соціальних мереж, розміщують повідомлення в Telegram та Discord, а також купують спонсорську пошукову рекламу, щоб фальшивий сайт розташовувався над справжнім. Головна ідея завжди полягає в терміновості, обмеженому мінті або претензії, термін дії якої закінчується, тому що соціальна інженерія працює найкраще, коли у вас немає часу на роздуми. На відміну від старого фішингу, який полює за паролем або обліковими даними для входу, дрейнеру взагалі не потрібні ваші секрети. Йому просто потрібно обманом змусити користувачів виконати одну дію: підключити свої гаманці до фальшивого сайту та схвалити один запит. Саме ця нижча планка є причиною того, що дрейнери поширюються так швидко, і чому навіть обережні люди потрапляють у пастку поспіху. Натисніть кнопку, і ви потрапите на клон, який виглядає точно як проект, якому ви довіряєте, і просить вас підключити свій гаманець.
Пастка — це підпис
Це та частина, яка має значення. Коли ви схвалюєте, ви не «входите в систему» — ви підписуєте певний дозвіл, і деякі з них є руйнівними. ERC-20 `approve()` може передати необмежений ліміт, дозволяючи контракту витрачати цей токен вічно. `setApprovalForAll` видає кожен NFT у колекції одночасно. Найгіршим є офлайн-підпис Permit або Permit2. Він не коштує палива. Він відображається як звичайне повідомлення, а не транзакція. І він все одно авторизує переказ. Це пастка, в яку потрапляє більшість людей: згідно з одним аналізом SlowMist , підписи в стилі Permit становили 56,7% фішингових схвалень у 2024 році, саме тому, що вони ні на що не схожі. Зловмисники також слідкують за оновленнями, зловживаючи маловідомими викликами, такими як `setOwner`, і, одразу після випуску Pectra для Ethereum, абсолютно новим делегуванням EIP-7702.
Злив
Щойно ви підписуєте свій підпис, програма, яка витягує кошти з гаманця, має все необхідне, і немає другого підтвердження, яке б вас врятувало. Мета проста та жорстока: вкрасти кошти, перш ніж ви відреагуєте. Вона вже зіставила ваші активи, тому здійснює переказ, і ваші токени залишають блокчейн. Транзакції блокчейну остаточні. Немає потреби телефонувати в банк, немає плати за скасування. На той час, коли аірдроп «не завантажується», несанкціонований переказ вже врегульовано в блокчейні.
| Що вас просять підписати | Як це виглядає для тебе | Що це насправді надає |
|---|---|---|
| ERC-20 `схвалити()` | Звичайне затвердження токена | Необмежені витрати цього токена |
| `setApprovalForAll` | "Схвалити колекцію" | Контроль кожного NFT у ньому |
| Дозвіл / Дозвіл2 | Безгазове підписне повідомлення | Права передачі без відстеження в мережі до моменту використання |
| `setOwner` / EIP-7702 | Незнайома підказка | Володіння або делегування вашого облікового запису |
Drainer-as-a-Service (DaaS): Злочинність з інформаційною панеллю
Зловмисники масштабувалися не тому, що зловмисники стали розумнішими. Вони масштабувалися тому, що хтось перетворив інструмент на продукт, а разом з ним крадіжку гаманців на організовану кіберзлочинність з опублікованим прайс-листом.
Як працює DaaS
У моделі «Висмоктування як послуга» один розробник створює та підтримує комплект для висмоктування гаманців і здає його в оренду всім, хто хоче провести кампанію проти криптовалютних гаманців. Афілійована особа, часто низькокваліфікований зловмисник, займається фішингом. Комплект займається крадіжкою. Вони ділять прибуток, і цей розподіл майже точно копіює схему роботи програми-вимагача: розробники залишають собі близько 20% усього вкраденого, афілійовані особи залишають собі решту 80%. За цю частку покупець отримує готові фішингові сторінки, панель керування, інструменти анонімності та, так, справжню підтримку клієнтів. Підліток, який не може написати жодного рядка коду, може вже до обіду керувати професійним бізнесом.
Інферно, Пінк та обертові двері
Заголовні набори демонструють масштаб. Inferno Drainer працював з кінця 2022 року до кінця 2023 року та вкрав приблизно 87 мільйонів доларів у понад 137 000 жертв, розподіливши їх по понад 16 000 фішингових доменах, які підробляли щонайменше 100 криптобрендів. Pink Drainer отримав близько 85 мільйонів доларів, перш ніж його оператори оголосили про припинення діяльності. Зверніть увагу на закономірність. Одна команда йде на пенсію, кіберзлочинці переходять до наступного набору, а сам Inferno повернувся у «перезавантаженому» вигляді. Знищення одного оператора не вбиває ринок — ринок — це послуга, а не шахрай.
Скільки крадуть крадіжки з гаманців
Загальні суми величезні, нестабільні та їх легко неправильно зрозуміти. Одна кампанія зі знешкодження криптогаманців може за одну транзакцію забрати більше, ніж повний злом біржі, а щорічні цифри коливаються.
Найчіткіше джерело, Scam Sniffer , підраховує це рік за роком. Збитки сягнули близько 295 мільйонів доларів у 2023 році серед 324 000 жертв, зросли на 67% до 494 мільйонів доларів у 2024 році, а потім різко впали приблизно до 84 мільйонів доларів у 2025 році . Це падіння виглядає як перемога. Але це не так. Воно здебільшого відображає спокійнішу активність у мережі та оборот наборів, а початок 2026 вже показав різкий щомісячний сплеск. Найбільший за всю історію спостережень збиток забрав 55,47 мільйона доларів у вигляді денного втраченого капіталу від однієї жертви у 2024 році. Куди б не потрапляли ці суми, вкрадена криптовалюта виходить однаково: промивається через міксери та децентралізовані біржі протягом кількох хвилин, тому майже нічого з неї не повертається.
| Рік | Вкрадено зливниками | Жертви |
|---|---|---|
| 2023 рік | 295,5 мільйонів доларів | 324 000+ |
| 2024 рік | 494 мільйони доларів | 332 000 |
| 2025 рік | 83,85 мільйона доларів | 106,106 |
І жертви не всі новачки. Марк К'юбан втратив близько 900 000 доларів через злив грошей. Навіть співзасновник Ethereum Віталік Бутерін був викрадений з свого облікового запису X, щоб проштовхнути фальшивий монетний двор, який вичерпав приблизно 700 000 доларів з його підписників. Якщо це дійде до них, межа «я б ніколи на це не повевся» буде тоншою, ніж здається.
Попереджувальні ознаки виснаження гаманця
Червоні прапорці, що сигналізують про вичерпання гаманця, майже всі стосуються однієї вимоги: підпишіть це просто зараз. Коли ви їх побачите, зменшіть темп.
Зверніть увагу на запит із запитом на необмежену кількість токенів, коли все, що вам було потрібно, це одна покупка. Ще обережніше ставтеся до запиту на підпис, який не стягує плату за газ і показує повідомлення, яке ви не можете повністю прочитати. Це класичний хід «безгазового зливу». Ставтеся до «отримайте зараз», «обмежена мінетна літера» та зворотного відліку як до тактики тиску, а не до удачі. Не довіряйте жодному посиланню, яке потрапляє в особисті повідомлення або групу Telegram. Ніколи не потрапляйте на децентралізований додаток через спонсоровану пошукову рекламу, де шахраї регулярно перебивають реальний проект за перше місце. І завжди перевіряйте точний домен, тому що схожий проект з однією заміненою літерою – це найстаріший хід у схемі шахрайських сайтів, і досі той, який працює.
Як захистити свій гаманець від зливу
Вам не потрібно відстежувати кожен новий експлойт. Дві нудні звички самі по собі блокують майже кожен стік.
Використовуйте апаратний гаманець та сміттєзвалище
Зберігайте більшу частину своєї криптовалюти на апаратному гаманці. Ключ залишається офлайн, і кожна транзакція потребує фізичного дотику до пристрою, тому шкідливий сайт не може нічого перемістити без обладнання у ваших руках. Потім запустіть другий, майже порожній гаманець-"пальник" для майнінгу, аїрдропів та будь-якого dApp, який ви не знаєте. Якщо одноразовий гаманець спорожніє, ви втратите гроші на обід, а не свої заощадження. Підключення вашого основного гаманця до випадкового сайту Web3 – це єдина звичка, яка робить весь цей злочин прибутковим.
Прочитайте кожен підпис та скасуйте старі
Друга звичка — це просто читати те, що ви підписуєте. Сучасні гаманці та інструменти моделювання чітко визначають, що надає підпис, перш ніж ви його підтвердите. Використовуйте їх і ніколи не підписуйте повідомлення, якому ви не можете слідувати. Потім приберіть у кімнаті та скасуйте схвалення, які вам більше не потрібні. Інструмент скасування показує кожен контракт, за яким все ще можна витрачати ваші токени, і дозволяє скасувати ті, про які ви забули, зачиняючи двері, через які зловмисник може пройти через місяці. Якщо сайт виглядає незнайомим, спочатку перегляньте його контракт у блочному огляді, тому що абсолютно новий контракт без історії — це класична схема. Те необмежене схвалення, на яке ви натискали у 2021 році? Все ще живе, поки не вб'єте його.
Що робити, якщо вас вдарить грабіжник, який злив гаманець
Якщо це станеться, швидкість – це найважливіше. Працюйте по порядку. Негайно перемістіть усе, що зловмисник ще не захопив, на новий, безпечний гаманець, бо він часто повертається за рештою. Потім скасуйте всі дозволи на скомпрометованій адресі, щоб жодні залишки дозволів не можна було використати повторно. Ставтеся до цього гаманця як до спаленого та назавжди припиніть його використовувати. Задокументуйте хеші транзакцій та повідомте адреси сервісу, такому як Chainabuse або Scam Sniffer, які відображають цю інфраструктуру. І будьте чесними з собою щодо відновлення. Перекази в мережі є остаточними, а вкрадені кошти рідко повертаються, тому справжня перемога – це швидка зупинка кровотечі.
Висмоктувач гаманців потребує вашого підпису, а не ваших ключів
Якщо забрати панелі інструментів та назви наборів, у вичерпувача гаманців буде лише одна зброя: підпис, який ви схвалюєте. Він не може взяти ваш закритий ключ, не може розірвати ланцюжок і не може зрушити ні цента, доки ви не натиснете кнопку «Підтвердити». Це також гарна новина — лічильник такий самий простий. Зберігайте основну частину в холодному сховищі, ставтеся до кожного запиту «підключити гаманець» як до незнайомця, який просить ваші ключі, і читайте дозвіл, перш ніж підписувати його. Зробіть це, і мільярдна індустрія зіткнеться зі стіною біля вашого екрану. Тож наступного разу, коли безкоштовний монетний двор попросить вас підписати, задайте собі єдине важливе питання: що саме я авторизую?
