Большинство людей считает, что потеря крипты из-за ссылки означает, что устройство заразил вирус, или хакер удалённо взломал кошелёк. В большинстве дел, которые мы в Match Systems расследуем, не было ни того ни другого. Жертва сама санкционировала кражу, подписав транзакцию, которая дала вредоносному смарт-контракту право перемещать её средства.
Дрейнер кошелька не крадёт ваш приватный ключ; он обманом вынуждает вас передать право тратить ваши активы, маскируя это под рядовое взаимодействие с сайтом. Жертва переходит по ссылке, попадает на то, что выглядит как легитимная DeFi-платформа, подключает кошелёк, подтверждает то, что кажется стандартным подтверждением, и дрейнер опустошает кошелёк за считанные секунды.
Эти атаки используют то, как устроены разрешения на токены в Ethereum и схожих сетях. Когда вы взаимодействуете с DeFi-протоколом, кошелёк просит вас подписать транзакцию-разрешение (approval), дающую контракту право тратить определённое количество ваших токенов.
Дрейнеры этим и пользуются. Вредоносный сайт показывает запрос кошелька, неотличимый от легитимного запроса разрешения. Жертва подписывает его, но разрешение уходит контракту злоумышленника, а не настоящему протоколу, и сумма выставлена как неограниченная. Затем дрейнер сметает все токены в кошельке ещё до того, как пользователь закроет вкладку браузера.
Более изощрённые варианты используют подписи Permit по стандарту EIP-2612, которые санкционируют перевод токенов через офчейн-подпись, а не через ончейн-транзакцию. Такая подпись не отображается как стандартное разрешение в симуляторе транзакций кошелька, поэтому обходит привычные визуальные предупреждения. Жертва подписывает то, что выглядит как сообщение для входа, а злоумышленник позже использует эту подпись, чтобы опустошить кошелёк.
После обновления Ethereum Pectra в мае 2025 года злоумышленники в течение нескольких недель начали эксплуатировать EIP-7702, упаковывая несколько вредоносных действий в одну подпись.
Хотя технический механизм изощрён, слой социальной инженерии может сработать проще.
Одна из схем, которую мы видим снова и снова, — ссылка, опубликованная со взломанного официального аккаунта. В 2025 году злоумышленники регулярно угоняли верифицированные аккаунты в X, принадлежащие криптопроектам, инфлюенсерам и даже государственным ведомствам, и публиковали ссылки на сайты-дрейнеры. Жертвы переходили по ссылке, потому что источник выглядел заслуживающим доверия.
Самые распространённые приманки:
Общий знаменатель — срочность, обряженная в легитимность: дедлайны, официально выглядящий брендинг, давление действовать, пока не упустил момент.
Ещё недавно запуск дрейнера кошелька требовал реальных технических навыков: писать смарт-контракты, выстраивать фишинговую инфраструктуру, вести кампанию. Теперь всё иначе. Исследователи безопасности, отслеживающие эти операции, задокументировали, что партнёры (аффилиаты) крупных наборов вроде Angel Drainer платят первоначальный взнос от 5000 до 10 000 долларов плюс 20%-ю комиссию с украденных активов. Операторы предоставляют смарт-контракт, шаблоны фишинговых сайтов и панель управления. Партнёр берёт на себя распространение.
Это и есть Drainer-as-a-Service, и он поставил кражу из кошельков на промышленную основу. Именные наборы вроде Inferno, Angel и Pink — у каждого были свои партнёрские сети и регулярные обновления, чтобы обходить новые предупреждения безопасности кошельков. Когда один набор закрывается под давлением правоохранительных органов, его место на рынке в течение нескольких недель занимает другой. В конце 2024 года Inferno передал свою инфраструктуру Angel Drainer — открытая передача преступного инструментария.
Результат здесь — объём. 106 000 жертв потеряли в совокупности 83,85 миллиона долларов из-за фишинга с дрейнерами кошельков в 2025 году — против 494 миллионов в 2024-м. Это снижение отчасти отражает улучшение средств безопасности кошельков, но также и сдвиг злоумышленников в сторону труднее отслеживаемых векторов, таких как компрометация приватных ключей и точечная социальная инженерия. Угроза не уменьшилась, а видоизменилась.
С точки зрения отслеживания, первое время сразу после атаки дрейнера имеет критическую важность, и развиваются всё стремительно. Украденные активы, как правило, немедленно дробятся. Контракт дрейнера разбивает средства по нескольким свежим кошелькам, чтобы усложнить отслеживание и задержать срабатывание биржевых оповещений, которые вызывают крупные входящие переводы. В течение нескольких минут активы могут быть обменены через децентрализованную биржу на другой токен, убирая всякую очевидную связь с адресом кражи.
Дальше путь отмывания обычно включает перевод через мост в другую сеть, прогон через миксер или вывод на OTC-площадку для конвертации в фиат. Каждый шаг сокращает окно для заморозки.
Преимущество на стороне расследователей в том, что каждый шаг записан в блокчейне. Дробление, обмены, переводы через мосты — всё это оставляет отслеживаемый граф. А приведёт ли этот граф к чему-то действенному, зависит от того, как быстро начнётся расследование.
Честный ответ: иногда, и это сильно зависит от скорости. Когда украденные средства попадают на централизованную биржу с требованиями KYC, расследователи могут направить в отдел комплаенса юридическое уведомление, чтобы пометить принимающий аккаунт и заблокировать вывод. Если уведомление приходит до того, как злоумышленник выведет средства, их можно сохранить до завершения юридической процедуры.
Когда среди украденных средств есть стейблкоины вроде USDT или USDC, появляется дополнительная возможность. Tether и Circle могут ограничить конкретные адреса по запросу правоохранительных органов. Match Systems работает напрямую с правоохранительными органами, чтобы запустить этот процесс как можно быстрее. Как только средства конвертированы из формы стейблкоина, этот путь закрывается.
Сложнее всего дела, где средства были полностью конвертированы в нативные токены, переведены через мосты в нескольких сетях и прогнаны через децентрализованную инфраструктуру ещё до начала какого-либо расследования. Во многих делах, которые мы расследуем, жертва тянула с обращением несколько дней, что уже существенно сужало возможности.
Самые действенные меры защиты — поведенческие, а не технические.
В большинстве случаев нет. Само по себе посещение вредоносного сайта без подключения кошелька и подписания транзакции не опустошает ваши средства. Опустошение требует вашей санкции, пусть и замаскированной. Продвинутые атаки, использующие уязвимости браузерных расширений или вредоносное ПО, подменяющее буфер обмена, работают иначе, но подавляющему большинству требуется подписанное разрешение.
Откройте кошелёк и проверьте историю транзакций на предмет исходящих переводов, которые вы не инициировали. Многие кошельки теперь включают встроенные функции просмотра и отзыва активных разрешений на токены; воспользуйтесь ими, чтобы отрезать любое действующее право, которое вы могли предоставить. Если средства уже перемещены, зафиксируйте хеш транзакции кражи и адрес получателя и обратитесь в профильную компанию по расследованиям. Больше не взаимодействуйте с этим подозрительным сайтом.
Стандарт Permit позволяет кошельку санкционировать перевод токенов через офчейн-подпись, а не через ончейн-транзакцию-разрешение. Поскольку она не отображается как стандартное разрешение в большинстве интерфейсов кошельков, она обходит привычные визуальные предупреждения. Злоумышленники используют подписи Permit, чтобы опустошать кошельки, выдавая запрос за нечто безобидное, вроде входа или подтверждения личности.
Если вы взаимодействовали с поддельным клоном, легитимная платформа не несёт юридической ответственности. Если же официальный домен или соцаккаунт настоящей платформы был взломан и использован для распространения ссылки-дрейнера, основания для претензий могут быть, но они сложны и зависят от юрисдикции.
Расследователи отталкиваются от транзакции кражи, выстраивают картину дробления и цепочки обменов по кошелькам и сетям и выявляют точки, где средства касались централизованной биржи. Затем в отделы комплаенса бирж направляются юридические уведомления. Match Systems ведёт этот процесс благодаря налаженным отношениям с биржами, что значительно сжимает сроки реагирования по сравнению со стандартными каналами правоохранительных органов.
В расследованиях криптокраж время значит больше, чем осознаёт большинство жертв.
После того как украденные средства обменяны, переведены через мост или выведены через OTC-каналы, возврат становится значительно сложнее. Match Systems расследует инциденты с дрейнерами кошельков и фишинговые атаки, отслеживая украденные активы по разным сетям и работая с биржами и правоохранительными органами, чтобы поддержать юридический возврат.
Начните оценку вашего дела: https://matchsystems.com
