Drainer-сервисы: что это, как работают и как защититься

🔍 Drainer‑сервисы: что это и почему опасны

Дрейнер‑сервисы (от англ. wallet drainer) — это вредоносные инструменты, с помощью которых злоумышленники выманивают подписи на опасные транзакции и моментально выводят токены и NFT на свои адреса. Подменённые сайты, фейковые airdrop‑акции и «клоны» dApp маскируют операцию под безобидное действие, а кража происходит сразу после нажатия пользователем кнопки «Подтвердить» в кошельке.

Цель материала — системно разобрать устройство дрейнеров, типы (Ethereum, Solana и др.), распространённые сценарии атак, реальные кейсы (Monkey, Inferno, Pink, Angel и т. п.), юридические риски для авторов/партнёров таких схем и практические меры защиты для пользователей. Все термины поясняются по мере появления.

🧠 Что такое «дрейнер» и как он работает

Дрейнер (wallet drainer): программный комплект для «осушения» кошельков. Это скрипт на фишинговом сайте и/или смарт‑контракт, который после вашей подписи формирует перевод активов на адрес злоумышленника. Он не «взламывает» блокчейн — он заставляет вас подписать нужную ему транзакцию.

Фишинговый dApp: сайт, притворяющийся легитимным Web3‑сервисом (обменник, минт, airdrop). Он подключает ваш кошелёк и подсовывает «ловушку» — например, глобальный approve/setApprovalForAll или скрытый перевод.

Ice phishing: разновидность фишинга, где жертва сама авторизует действия злоумышленника (разрешения/переводы), не замечая подвоха в тексте транзакции.

Современные дрейнеры умеют: обнаруживать ценные активы в кошельке, подставлять опасные разрешения на токены (ERC-20) и коллекции (ERC-721/1155), обфусцировать данные транзакций, разбивать кражу на несколько шагов и быстро уводить средства по цепочке адресов. Интерфейсы кошельков показывают предупреждения, но при спешке или из‑за правдоподобного «повода» (airdrop, эксклюзивный mint, «срочное обновление») пользователи всё же подтверждают запрос.

Кейс: кража коллекции NFT за одну подпись. Мошенники месяц вели «переговоры» от имени продакшн‑студии, предложив владельцу коллекции «оформить лицензию» на часть NFT. Ссылка вела на псевдо‑сервис для «подписания контракта». После подключения кошелька и подтверждения «лицензии» дрейнер провёл перевод всех 14 NFT с минимальной «компенсацией» в копейки на адрес злоумышленников.

Итого: жертва лишилась активов на семизначную сумму, не передавая seed‑фразу и приватные ключи — достаточно было одной неверной подписи.

🧭 Типовые схемы атак

Эти сценарии повторяются почти во всех кейсах с дрейнер‑сервисами. Ниже — классический путь жертвы и популярные приёмы для его реализации.

Приманка. Клон популярного сайта, «эксклюзивный airdrop/минт», поддельный лендинг, похожий домен.
Трафик. Реклама в поиске и соцсетях, массовые посты/боты, взломанные официальные аккаунты проектов.
Подключение кошелька. Фишинговый dApp просит «подтвердить действие», на деле подсовывает approve/setApprovalForAll или прямой перевод активов.
Кража и сокрытие следов. Средства мгновенно дробятся и уводятся на новые адреса; часто меняют цепочки и контракты для запутывания анализа.

Часто используемые приёмы

🎁 Airdrop/NFT‑дроп. «Заберите бонус» — классический триггер срочности.
🧑‍💻 Взлом соцсетей. «Официальная» ссылка от имени бренда или инфлюенсера выглядит убедительно.
🔎 Реклама в поиске. Псевдо‑сайты часто оказываются выше оригиналов по горячим запросам.
🎭 Социальная инженерия. Длительные «контракты», фейковые документы, «переговоры» и ручная работа для усыпления бдительности.

🧩 Разновидности и целевые платформы

💻 Ethereum‑дрейнеры

Экосистема EVM — главная цель: здесь больше ликвидности, больше DeFi/NFT и привычка «подписывать часто».

⚙️ Механика: опасные approve/permit для ERC‑20 или setApprovalForAll для NFT, после чего злоумышленник сам списывает активы.
🎯 Цель: токены с высокой стоимостью, ликвидные NFT, «права на коллекцию».
🧪 Варианты: мультицепочечные наборы под Ethereum, BSC, Polygon, Arbitrum и др.

✅ Сильные стороны (для атакующего)

🔹 Высокая база потенциальных жертв и брендов для клонирования.
🔹 Широкий спектр «легитимных» поводов для подписи (минты, фарминг, airdrop).

❌ Слабые места (для защиты)

🔻 Отслеживаемость on‑chain и возможность быстрого отзыва (ревока) разрешений.
🔻 Фильтры фишинга в кошельках и браузерные расширения‑анализаторы.

В EVM‑сетях риск высок из‑за богатства экосистемы и привычки к частым подписям; дисциплина ревоков и расширения‑«переводчики» транзакций заметно снижают угрозу.

⚡ Solana‑дрейнеры

Появились позже, но быстро эволюционировали благодаря «портированию» идей из EVM и утечкам кода.

🔐 Подпись: транзакции на перевод SOL/токенов; встречаются формы для выманивания seed‑фразы (нельзя вводить нигде, кроме официального приложения кошелька).
🧰 Наборы: готовые генераторы фишинг‑страниц, шаблоны «минтов», скрипты «проверки прав».
📉 Ущерб: средний чек ниже, чем в Ethereum, но число атак растёт вместе с популярностью экосистемы.

Различия в формате транзакций не спасают от социальной инженерии — основная защита остаётся поведенческой.

🌐 Ключевые drainer‑сервисы и масштабы

Сформировался полноценный рынок Scam‑as‑a‑Service: разработчики продают или «сдают в аренду» дрейнер‑киты, а партнёры запускают фишинговые кампании. Базовая модель — вступительный взнос и комиссия с каждой кражи; альтернативная — единоразовая продажа набора с модулями.

📛 Название	📆 Период активности	💰 Масштаб	⚙️ Модель	⭐ Особенности
🐒 Monkey Drainer	2022–2023	Десятки миллионов $ тысячи жертв	Комиссия партнёров	Один из первых «дрейнеров‑как‑сервис» ориентир на NFT
🔥 Inferno Drainer	2023	Крупнейшие суммы сотни тысяч жертв	20–30% комиссия услуга «под ключ»	Тысячи фишинг‑доменов мультицепочечный подход
🎀 Pink Drainer	2023–2024	Суммы под $100 млн совокупно	Комиссия партнёров	Взлом соцсетей брендов/лиц правдоподобные ссылки
👼 Angel Drainer	2023–н.в.	Отдельные кейсы сотни тысяч $ за часы	Вступительный взнос + комиссия	Участие команды в атаках компрометация виджетов/интеграций
💻 MS Drainer	2023–2024	Десятки миллионов $ десятки тысяч жертв	Продажа набора фикс. цена + модули	Массовое злоупотребление контекстной рекламой

🧱 «Экономика» дрейнер‑рынка

Почему такие сервисы не исчезают после громких «закрытий».

💸 Финансы: комиссия с «улова» стимулирует авторов разворачивать инфраструктуру для партнёров; разовые продажи по фиксированной цене удешевляют вход.
🧩 Модули: клоны сайтов, массовая генерация доменов, интеграция с популярными кошельками, автоматический выбор наиболее ценных активов.
🔄 Ротация брендов: «закрытия» часто означают ребрендинг и миграцию на новые каналы и домены.

Экосистема дрейнеров живуча из‑за низкого порога входа для партнёров и высокой окупаемости для авторов; потому защита должна быть постоянной дисциплиной, а не разовой кампанией.

⚖️ Юридический статус и ответственность

Создание, распространение и использование дрейнер‑китов — уголовно наказуемые деяния (мошенничество, несанкционированный доступ, соучастие/пособничество). Попытки «я только писал код» не снимают ответственности: предоставление инструмента для кражи само по себе образует состав правонарушения.

🏛️ Практика: выявляются личности авторов и аффилиатов; работают международные запросы о правовой помощи, OSINT (анализ открытых источников) и on‑chain‑аналитика.
🧑‍⚖️ Риски для партнёров: администраторы доменов/каналов, арендодатели хостинга и «рекламщики» тоже попадают в зону ответственности.
🧾 Комплаенс проектов: брендам важны процедуры анти‑фишинга: контроль доменов/соцсетей, подписи релизов, блок‑листы, быстрые опровержения.

🛡️ Как защищаться: практические советы

Seed‑фразу и приватные ключи вводят только в официальном приложении вашего кошелька. Любая веб‑форма или «служба поддержки», просящая seed — мошенники.

🧳 Раздельные кошельки. Рабочий — для экспериментов с dApp (минимальный баланс для комиссий). Накопительный — отдельно, желательно холодный. Из «рабочего» регулярно выводите всё ценное.
🔍 Проверка адреса и источника. Не переходите по рекламе; набирайте адрес вручную или используйте закладки. Проверяйте домен побуквенно: схожие символы — частый трюк.
📜 Читайте запрос. Перед подписью смотрите, что именно запрашивает сайт: глобальный approve, setApprovalForAll, перевод — красные флаги.
🧩 Расширения‑«переводчики» транзакций. Плагины, которые объясняют простым языком, что произойдёт после подписи, и предупреждают о фишинге.
🚫 Ревоки разрешений. Периодически проверяйте и отзывайте выданные ранее доступы на токены/NFT, особенно после участия в сомнительных dApp.
🔒 Гигиена устройств. Актуальные версии кошельков/браузеров, анти‑фишинговые списки, отключение автозапуска контента и загрузки неопознанных расширений.
🧠 Психология. Не поддавайтесь на срочность: «только сегодня», «первые 500» — стандартные приёмы. Делайте паузу, проверяйте новость у первоисточника.

❓ Вопросы и ответы (FAQ)

Может ли антивирус «поймать» дрейнер на сайте?

Обычные антивирусы блокируют известные домены и загрузки, но дрейнер — это чаще скрипт на «похожем» сайте, а риск — в самой подписи транзакции. Помогают анти‑фишинговые расширения и внимательное чтение запроса в кошельке.

Есть ли шанс вернуть украденные токены/NFT?

Почти нет: транзакции необратимы, а средства быстро «размазывают» по адресам. Сосредотачивайтесь на профилактике (раздельные кошельки, ревоки, проверки).

✅ Заключение

Drainer‑сервисы — зрелая криминальная экосистема «мошенничества как сервиса». Их сила — не в разрушении смарт‑контрактов, а в эксплуатации человеческой поспешности и доверия к «знакомым» брендам и интерфейсам.

Противодействие строится на трёх столпах: поведенческая гигиена (осторожность и проверка), технические средства (расширения, ревоки, раздельные кошельки) и организационные меры проектов (анти‑фишинговая дисциплина, оперативные оповещения).

Ключевой навык эпохи Web3 — уметь читать смысл запроса на подпись и останавливаться всякий раз, когда видите глобальные разрешения или «слишком щедрые» предложения.

Drainer‑сервисы в хакерских схемах: как «осушают» криптокошельки