Вернуться к новостям
УГРОЗА WEB3

Как работает криптовалютный мошенник: как за 6 месяцев исчезли 1,93 млрд долларов

Дрейнер не крадет вашу семенную фразу. Он крадет ваши подпись. Один клик — один неверный клик на кнопку «Получить», «Подтвердить» или «Подключить кошелек» — и цепочка заранее настроенных смарт-контрактов опустошит ваш счет, прежде чем вы успеете убрать палец с трекпада.

Время чтения: 12 минут· Обновлено май 2026 года· PhishDestroy Intelligence
Anatomy of a crypto wallet drainer — six-stage kill chain
1,93 млрд долларов
Убытки за первое полугодие 2025 года
+540 % по сравнению с 2023 годом
284 миллиона долларов
Одна жертва, январь 2026 года
Мошенничество с семенной фразой Trezor
Триста двадцать тысяч
Жертвы в 2023 году
около 900 каждый день
5–10 тыс. долларов
Стоимость подключения к DaaS
комплект «под ключ»

Что на самом деле представляет собой дренаж

A крипто-дрейнер — это фишинговый инструмент, специально разработанный для Web3. Он не пытается выудить ваш пароль или похитить приватный ключ. Вместо этого он заставляет вас подписать сделку — обычно approve(), setApprovalForAll()или вне цепочки Permit сообщение — которое предоставляет злоумышленнику право распоряжаться вашими средствами по своему усмотрению. Кошелек остается «вашим». А вот средства — нет.

Эта модель чрезвычайно эффективна, поскольку она злоупотребляет законный базовые элементы блокчейна. Ваш закрытый ключ никогда не подвергается риску. На вашем компьютере нет вредоносного ПО. Существует лишь одна подпись на одной транзакции, которую увидят аналитики блокчейна и действие которой ни одна инстанция не сможет отменить.

Согласно Chainalysis, drainer — это «фишинговый инструмент, разработанный для экосистемы Web3», который маскируется под легитимное dApp. Group-IB, Исследовательский центр Check Point, и ScamSniffer мы проанализировали тысячи рекламных кампаний, построенных именно на этой механике.

Цепочка уничтожения из 6 этапов

Каждая атака по сбору средств — Inferno, Pink, Angel, MS, CLINKSINK, Rugging и десятки безымянных форков — проходит по одной и той же шестиэтапной схеме. Искусство заключается в том, чтобы сжать все эти этапы в считанные секунды между подключением кошелька и подтверждением транзакции.

1Приманкаэйрдроп / реклама / личные сообщения2Подключитьсякошелек на крючке3РеконanalyzeWallet()4Подписатьутвердить / разрешить5СливtransferFrom()6СтиркаDEX → мост → XMRСОЦИАЛЬНАЯ ИНЖЕНЕРИЯТЕХНИЧЕСКОЕ ОСУЩЕСТВЛЕНИЕЭКСФИЛЬТРАЦИЯ

1. Приманка

Поддельные аирдропы, спонсируемая реклама в Google/X, взломанные аккаунты с подтверждением (это Учетные записи SEC и Mandiant (в том числе в качестве «мегафонов» для сбора данных), ботов для верификации в Discord, поддельных платформ для чеканки NFT, «эксклюзивных» приглашений в бета-версии и мошеннических схем с лицензированием интеллектуальной собственности. Независимо от внешней оболочки, цель заключается в том, чтобы заманить вас на домен, контролируемый злоумышленником.

2. Подключиться

Вы нажали «Подключить кошелек». MetaMask, Rabby, WalletConnect, Phantom — всё в порядке, всё как и ожидалось. Теперь скрипт-драйнер имеет доступ на чтение к объекту вашего кошелька через window.ethereum (или его эквивалент) и начинает стрелять eth_call запросы, выполняемые в фоновом режиме.

3. Разведка

Дрейнер перечисляет ваши активы: баланс в фиатной валюте, токены ERC-20, коллекции NFT, позиции в DeFi по нескольким цепочкам. Он использует ценовые оракулы в стиле CoinGecko, чтобы привести все к доллару США. Премиум-наборы, такие как Инферно Дрейнер сохранять настройки в цепочке (BNB Chain), чтобы его можно было обновлять без повторного развертывания JS-кода.

4. Подпись

dApp предлагает вам «Подтвердить право владения», «Получить аирдроп», «Утвердить сбор средств» или «Подписать для входа». В интерфейсе кошелька отображается сообщение, которое выглядит безобидно. На самом деле данные вызова тщательно подобраны для нанесения максимального ущерба — см. следующий раздел.

5. Слить воду

Как только вы поставите подпись, злоумышленник сразу же свяжется с вами transferFrom() из отдельного кошелька (операционное разделение — «Адрес», получивший подтверждение, никогда не является «Получателем», у которого хранится добыча). Премиум-наборы объединяют в один пакет native ETH, токены ERC-20, NFT стандартов ERC-721/1155 и переводы Permit2 multicall. Чистая задержка от подписания до перевода средств: секунд.

6. Стирка

Средства проходят через SushiSwap / Uniswap (большинство инструментов безопасности намеренно включают эти легальные DEX в список разрешенных), затем через мосты в другие цепочки, далее через форки Tornado Cash и, наконец, поступают в Monero. Инцидент с Trezor на сумму 284 млн долларов оказались в XMR буквально за несколько часов.

Ваш кошелек (до подписания)

Эфириум2.4815
Монета в долларах США18,420.00
WBTC0.34
Голубоглазый йети № 4291Один NFT
stETH12.1

Контракт атакующего (после одной подписи)

Эфириум+2,4815
Монета в долларах США+18 420,00
WBTC+0,34
Голубоглазый йети № 4291Один NFT
stETH+12,1

Один подписанный Permit2 Сообщение может авторизовать всю партию. Второго подтверждения не требуется. Возможность восстановления отсутствует.

Четыре смертоносных боевых модуля

Каждый дренажник в реальных условиях использует ту или иную комбинацию этих четырёх базовых элементов. Каждый из них представляет собой законный Стандарт ERC или метод RPC. Никаких «патчи» — только осведомленность.

1. approve(spender, type(uint256).max) — Неограниченные расходы по стандарту ERC-20

Классический вариант. Вы утверждаете контракт токена на максимально возможную сумму (2^256 − 1) на адрес получателя, который вы не контролируете. Затем получатель — то есть злоумышленник — вызывает transferFrom(you, attacker, balance) в удобное для них время. Это разрешение действует бессрочно, пока вы явно не отмените его с помощью Revoke.cash или непосредственно контракт токена.

// Что вы на самом деле подписали:утвердить( 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, // атаки0xffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffмаксимальное 256-битное целое число без знака ) // В интерфейсе кошелька отобразилось: «Подтвердить владение кошельком»

2. setApprovalForAll(operator, true) — полная коллекция NFT

Хуже, чем одобрение стандарта ERC-20, потому что это «всё или ничего» для каждой коллекции. Один подпись = все NFT в этом контракте теперь могут быть переведены злоумышленником. Именно так Сет Грин лишился 4 Bored Apes в 2022 году, а одна из жертв потеряла 14 BAYC в результате мошеннической схемы с поддельной лицензией «Forte Pictures» в декабре 2022 года.

setApprovalForAll( 0x-атаки..., // «оператор»верно// одобрено для всей коллекции )

3. EIP-2612 / Подписи Permit2 вне цепочки

Это 2024–2026 гг. — оружие выбора. Вместо цепочки блоков approve() (что требует расхода газа и явно сказывается на вашем кошельке), злоумышленник собирает внецепочечную подпись EIP-712 посредством eth_signTypedData_v4. Никаких транзакций. Никаких комиссий с вашей стороны. Просто всплывающее окно с надписью «Подпишите это сообщение». Пользовательский интерфейс кошелька для подписи введенных данных, как известно, крайне неудобен для чтения, а в Uniswap Разрешение № 2 превращает одну подпись в разрешения на несколько токенов одновременно.

// Что показал вам MetaMask:// «PermitSingle»// донор: 0x000000000022D473030F116dDEE9F6B43aC78BA3// ...выглядит нормально, это и есть настоящий контракт Permit2...// Что было фактически разрешено: { «подробности»: { «токен»: Монета «Zero-x» номиналом в один доллар США, «сумма»: «1461501637330902918203684832716283019655932542975», // макс«срок действия»: 281474976710655// год ~10889 }, «донор»: «0x-атаки...», «sigDeadline»: 9999999999 }

Это Полное тематическое исследование Blockaid по проекту Permit2 для прохождения реальной атаки, включая трюк с маршрутизацией через SushiSwap, который маскирует отток ETH под обычный обмен.

4. Прямой социальный инжиниринг с использованием семенной фразы

Строго говоря, это не «дрейнер» в узком смысле этого слова, но в 2026 году это будет самый высокодоходный вариант. Инцидент с Trezor в январе 2026 года не обошли никакого шифрования. «Сотрудник службы поддержки» позвонил жертве, провел её через поддельную процедуру «подтверждения» и заставил прочитать вслух ключ восстановления. Результат: 1 459 BTC + 2,05 млн LTC = 284 млн долларов, что составило 71 % от общего объема убытков от краж криптовалюты за тот месяц; эти средства были конвертированы в Monero до того, как об этом заговорили в СМИ.

Аппаратные кошельки предотвращают удаленное извлечение ключей. Однако они не защищают вас от ввода седа на фишинговом сайте. Используйте Пароль BIP-39.

Экономика «Drainer-as-a-Service»

Ни один из тех, кто на самом деле обманывает вас и забирает ваши деньги, не пишет код. Они взят . «Drainer-as-a-Service» (DaaS) представляет собой полностью стандартизированный рынок B2B, характеризующийся наличием брендинга, ценовых уровней, каналов поддержки, выпусков новых версий и явного давления на снижение комиссионных операторов.

Ад
Самая продвинутая. Настройка в цепочке (BNB), C2 с шифрованием AES, защита от отладчиков, маршрутизация через SushiSwap. Анализ CP
сокращение на 15–20 %
Энджел (GhostSec)
Многоцепочечные, готовые к использованию — выпуски с указанием версий, как в коммерческом программном обеспечении (v8.2, v8.3...).
сокращение на 20 %
CLINKSINK
На базе JS, ориентированный на Solana. Набор инструментов, использованный при взломе Mandiant X (на сумму 900 тыс. долларов) и атаке на SEC.
сокращение примерно на 20 %
Розовый
Специализируется на NFT. Рекорд по сумме одной транзакции: 320 000 долларов США в BAYC/MAYC/Otherdeed.
сокращение примерно на 20 %
MS Drainer
59 млн долларов, похищенных у 63 тысяч жертв через рекламные объявления в X (Twitter) в период с марта по ноябрь 2023 года. ScamSniffer
был.
Многоцепочечная система крепления
Стратегия ценового лидера: снижение комиссионных по сравнению с Angel/Inferno для привлечения большего объема клиентов.
Скидка 5–10 %

Стоимость вступления для партнера: а Депозит в размере 5 000–10 000 долларов, а иногда и готовый комплект для этого. Партнер оставляет себе 75–95 % похищенных средств, а все технические вопросы — JS-код, смарт-контракт, хостинг, схему отмывания денег и даже круглосуточную поддержку в Telegram — передает оператору. SentinelOne и Академическое исследование IMC 2025 подробно проследить цепочку поставок.

Именно поэтому разовых операций по ликвидации отдельных угроз недостаточно — и именно поэтому регистраторы, которые закрывают глаза на злоупотребления являются реальным узким местом. PhishDestroy зафиксировал и сообщил об этом Более 16 000 доменов, связанных с Inferno сам.

На что следует обратить внимание перед подписанием

Диалоговое окно подписи — это последняя линия защиты. Если выполняется любое из следующих условий, отменить — нет никаких законных оснований, требующих их использования:

  • Вы перешли на эту страницу по спонсируемому результату поиска, через личное сообщение или по ссылке в электронном письме. Результаты поиска по криптовалютам, содержащие рекламу, подвергаются манипуляциям во всех крупных поисковых системах. Всегда переходите на сайты через закладки.
  • Подпись является «бесплатной» / «без комиссии» / «вне цепочки». Это внецепочечная подпись в стиле Permit2. Прочитайте поля с типизированными данными. Если spender если это вам незнакомо, лучше уйти.
  • Сумма составляет uint256.max, 0xfff…fffили «без ограничений». Практически ни один законный рабочий процесс не требует неограниченного одобрения.
  • Функция заключается в том, что setApprovalForAll в коллекции, которую вы не узнаете. Или для «оператора», который не является OpenSea / Blur / LooksRare.
  • Сразу после подключения сайт предлагает вам сменить цепочку. В настоящее время выполняется цикл извлечения данных из нескольких цепочек.
  • Контракт назначения был развернут менее 7 дней назад. Дренеры класса «Инферно» меняют промежуточные контракты каждые 24 часа.
  • Вы чувствуете, что вас торопят. Таймеры обратного отсчета, надписи «Срок действия предложения истекает через 4:32», «Осталось всего 12 мест» — все эти элементы уже включены в каждый шаблон для сбора контактов.
  • С вами первыми связались сотрудники службы поддержки. Trezor, Ledger, MetaMask, Coinbase, Binance — ни один из них вам не пишет в личные сообщения. Никогда.

Как действительно защитить себя

  • Разделение кошельков. Холодный кошелек (оборудование, основная часть активов) → операционный «горячий» кошелек (на 1–2 недели активности) → одноразовый кошелек (для любых новых операций, с балансом, близким к нулю). Никогда не подключайте холодный кошелек к новому dApp.
  • Аппаратный кошелек + парольная фраза BIP-39. Пароль — это то, что отличает «инцидент с Trezor на 284 млн долларов» от ситуации, когда «злоумышленник завладел вашим седом, но ничего не нашел». Запомните его. Не храните его в цифровом виде.
  • Симуляторы транзакций.Blockaid, Защита кошелька, «Карманная вселенная», «Огонь» — установите одну из них. Они показывают фактическое изменение баланса до того, как вы нажмете «Подписать».
  • Добавьте все dApps в закладки. Никогда не вводите в Google слово «Uniswap». Никогда не переходите по ссылкам на криптовалютные ресурсы из социальных сетей. Рекламные результаты оказываются ложными гораздо чаще, чем вы думаете.
  • Еженедельно проверяйте свои утверждения.Revoke.cash показывает все активные разрешения во всех цепочках. Отмените все, чем вы не пользуетесь.
  • Сначала проверьте любой незнакомый сайт через прокси-сервер. Опустошите кошелек, посмотрите, что он из себя представляет, а потом решите, стоит ли он вообще того, чтобы в него вкладывать настоящие деньги.
  • Отключите расширения браузера в профиле кошелька. Отдельный профиль браузера (или окно Brave Tor) исключительно для Web3. Расширения являются известным источником утечки ресурсов — см. Анализ цепочки поставок npm для Mend.io.
  • Проверьте репутацию домена. Вставьте URL-адрес в Отчеты по домену PhishDestroy, urlscan или наш бот в Telegram. Если мы уже видели это, оно помечено.

Если вы уже подписались: сделайте это в течение следующих 60 секунд

  1. Стоп. Не подписывайте ничего больше, в том числе предложения о «исправлении» или «восстановлении» — это мошенничество второго уровня, направленное на то, чтобы воспользоваться вашей паникой.
  2. Уберите всё, что ещё не высохло. Создайте новый кошелек (желательно аппаратный) и перенесите в него сохранившиеся активы. Начните с самых ценных. Обращайтесь каждый адрес, полученный на основе скомпрометированного ключа, считается окончательно уничтоженным.
  3. Отменить разрешения на взломанный кошелек через Revoke.cash — для любой блокчейн-сети, а не только для Ethereum. Это гонка с автоматизацией, которую использует злоумышленник.
  4. Все документируйте. Хэши Tx, адреса злоумышленников, временные метки, точный URL-адрес фишингового сайта. Скриншот, сделанный до закрытия вкладки.
  5. Отчет. Файл с Центр по приему жалоб на интернет-преступления ФБР, в местное подразделение по борьбе с киберпреступностью, указав затронутые протоколы (Uniswap, OpenSea и т. д. — они иногда блокируют деривативы), а также отправьте URL-адрес фишингового сайта по адресу @PhishDestroy_bot так что мы уничтожаем инфраструктуру для следующей жертвы.
  6. Если фраза-секрет была раскрыта: Кошелек пропал. Хватит пытаться его «защитить». Двигайся дальше, начни с нуля, извлеки из этого урок.

«Дрейнеры не взламывают криптографию. Они опровергают предположение о том, что люди способны обрабатывать данные вызовов со скоростью, требуемой кошельками. Достаточно замедлить обработку всего на одну подпись — и вся индустрия краж рухнет».

Источники и дополнительная литература

  1. Chainalysis — «Крипто-дрейнеры»: угроза для Web3
  2. Group-IB — Расследование по делу «Инферно Дрейнер»
  3. Check Point Research — «Адский Дрейнер: Перезагрузка»
  4. ScamSniffer — Pink Drainer 2024: инциденты
  5. Blockaid — Пошаговая схема кражи криптовалюты
  6. BleepingComputer — Взлом Mandiant X через CLINKSINK
  7. Cyber Daily — Взлом Mandiant = кампания стоимостью 900 тысяч долларов
  8. SentinelOne — Распространение модели «Drainer-as-a-Service»
  9. Гуру — Злоупотребление функцией утверждения кошелька → атаки на Web3 с использованием вредоносного ПО
  10. Mend.io — Атака на цепочку поставок npm, направленная на пакеты Web3
  11. AInvest — Январь 2026 г. Анализ Trezor: 284 млн долларов
  12. IMC 2025: академическая программа — Исследование по оценке экономики DaaS
  13. PhishDestroy — Регистраторы, способствующие распространению мошенничества по всему миру
  14. PhishDestroy — Как проходит ликвидация фишингового сайта
  15. PhishDestroy — Список угроз в режиме реального времени (более 130 тыс. активных угроз)

Как PhishDestroy борется с «дрейнерами»

Мы — некоммерческое волонтерское объединение. Мы круглосуточно выявляем уязвимости в инфраструктуре дренажных систем с помощью SEO, платной рекламы, Discord, X, Telegram и ловушек у регистраторов, а затем устраняем их.

  • 785 тыс.+ Домены, связанные с фишингом и мошенничеством, отслеживаемые с 2019 года.
  • 89 тыс.+ заявления о злоупотреблениях, поданные в регистраторы и хостинг-провайдеры.
  • 50+ Наши данные используют поставщики антивирусного ПО и платформы аналитики угроз.
  • <0,5 % доля ложноположительных результатов по более чем 100 000 подтвержденных отчетов.
  • Бесплатный, общедоступный, неизменяемый архив доказательств по GitHub + HuggingFace.

Заметили сайт с пиратским контентом? Пришлите ссылку на @PhishDestroy_bot. Мы подадим заявление о нарушении, пока ваш кофе не остыл.

#CryptoDrainer#Web3Security#WalletDrainer#Permit2#DaaS#Inferno

Поделиться этой статьёй

Связанные расследования

ПРИМЕР ИЗ ПРАКТИКИ
BuyTRX Drainer: расследование на уровне панели
Anatomy of a Takedown
МЕТОДОЛОГИЯ
Как проходит ликвидация фишингового сайта
Registrars Enabling Scams
РАССЛЕДОВАНИЕ
NameSilo, Webnic, NiceNic: регистраторы, способствующие мошенничеству
Уведомление о прозрачности. PhishDestroy — это некоммерческий проект, основанный на работе волонтеров. Наши исследования могут отражать некоторую предвзятость в отношении мошеннической инфраструктуры и сервисов, способствующих её функционированию. Ссылки ведут на первоисточники, когда это возможно — просим вас самостоятельно оценивать информацию. Ничто из представленного здесь не является финансовой или юридической консультацией. Ознакомьтесь с полным текстом нашего заявления о прозрачности →