О нас
О нас
BTC
60236
GRAM
1.5584
ETH
1579.8
SOL
71.78
RU
EN

Wallet drainers: как работают крипто-пылесосы и почему они опаснее фишинга

Евгений Круль
Автор: Евгений Круль
15.05.2026
5 мин чтения
Содержание:

13 октября 2024 года анонимный пользователь потерял токены PEPE на $1,2 млн за одну транзакцию. Зашёл на фишинговый сайт, нажал «Claim Airdrop» и подтвердил подпись в MetaMask. Никакого взлома, никакого вируса — только одно нажатие «Подтвердить». Инструмент назывался Inferno Drainer, и его создатели сдавали его в аренду за 20% от украденного. Схема «скрипт в аренду» — как Shopify, только вместо интернет-магазина — чужой кошелёк.

Главное за 30 секунд

  • Drainer — не вирус, а скрипт, который активирует ваша собственная подпись на фишинговом сайте
  • Рынок устроен как франшиза: Inferno, Pink, Angel, Rainbow — готовые инструменты с комиссией 20-30% от украденного
  • За 2024 год через drainer'ы ушло $494 млн; в 2025-м потери снизились, но число атак утроилось
  • Главная защита — симуляция транзакции в Rabby или Wallet Guard до подписи
  • Вторая защита — регулярный отзыв разрешений через revoke.cash

Чем drainer отличается от классического фишинга

Классический фишинг просит ввести логин и пароль на поддельном сайте. Drainer работает иначе: он ждёт, пока вы сами подпишете разрешение на доступ к кошельку. Технически — это легальная операция. Именно так устроено любое взаимодействие с DeFi-протоколами. Разница в том, что на фишинговом сайте подпись передаёт злоумышленнику право переводить ваши токены в любой момент.

Атака эксплуатирует стандартные функции блокчейна:

  • Permit — внецепочечная подпись, которая разрешает третьей стороне тратить ваши токены без отдельной транзакции
  • setApprovalForAll — разрешает перемещать все NFT из кошелька одним действием
  • multicall — выводит сразу несколько активов одной транзакцией, чтобы за один раз «подмести» всё

Подробнее о том, как устроены апрувы и как их отзывать, — в нашем разборе Approval и revoke.cash. Drainer эксплуатирует именно эти механизмы. Никакого взлома, никаких вирусов: вы сами нажали «Подтвердить».

«Пылесос в аренду»: как устроен чёрный рынок

По данным ScamSniffer, за 2024 год через drainer'ы украдено $494 млн у более чем 330 тысяч жертв — это +67% к 2023-му. Но самое важное — не цифры, а бизнес-модель.

Индустрия работает по принципу франшизы. Разработчики создают скрипт и «сдают» его операторам. Операторы строят фишинговые сайты и гонят трафик — через взломанные аккаунты в Twitter, рекламу в Google, поддельные серверы в Discord, уведомления о фейковых airdrop'ах.

Самый известный пример — Inferno Drainer. Запустился в ноябре 2022-го, за год украл более $80 млн у 137 тысяч жертв. Условия: 20% украденного — разработчикам, 80% — оператору. Хочешь сайт «под ключ»? Плюс ещё 10% — и фишинговую страницу создадут за тебя. В ноябре 2023-го объявил о «закрытии», вернулся в 2024-м и занял 40-45% рынка. В октябре 2024-го снова «ушёл» — и передал кодовую базу команде Angel Drainer.

Pink Drainer — второй по масштабу: $85 млн с 21 тысячи жертв, «вышел из бизнеса» в мае 2024-го. Параллельно работают Rainbow, Nova, Ace. В 2025-м появился Vanilla — закрытая модель, доступная только через личные контакты.

Объявления о «завершении работы» — стандартный манёвр. Пока исследователи снижают бдительность, команда перегруппировывается или передаёт инфраструктуру под новым именем. Верить им не стоит.

Данные 2025 года показывают противоречивую картину. ScamSniffer зафиксировал снижение потерь от сигнатурного фишинга до $83,85 млн (-83% к 2024-му) — хорошая новость. Но Chainalysis фиксирует другое: число инцидентов с компрометацией личных кошельков выросло до 158 тысяч — почти втрое больше, чем в 2022-м. Часть атак переместилась в сложнее отслеживаемые каналы: вредоносные расширения, скомпрометированные npm-пакеты, атаки на цепочку поставок. О том, как распознать угрозы в браузере, читайте в нашем гайде по расширениям-шпионам.

Как проходит атака: пять шагов

1. Приманка. Взломанный аккаунт в Twitter (среди жертв в 2024-м — SEC, компания Mandiant, платформа CoinGecko) публикует ссылку на «эксклюзивный минт» или «компенсацию». В 2024-м выявлено 290 тысяч вредоносных доменов от ведущих drainer-групп.

2. Фишинговый сайт. Визуально идентичная копия настоящей платформы — с SSL-сертификатом, привычным интерфейсом, иногда рабочей капчей (чтобы обойти автоматические сканеры). Домен отличается одной буквой или использует другую зону (.io вместо .com).

3. Подключение кошелька. «Connect Wallet» — обычное действие для любого DeFi-пользователя. На этом шаге ещё ничего не произошло.

4. Вредоносная подпись. Сайт предлагает подписать транзакцию. В данных транзакции — разрешение на вывод всех токенов или NFT. MetaMask по умолчанию показывает техническую строку, а не человекочитаемое описание операции.

5. Мгновенный вывод. Скрипт автоматически переводит активы на кошелёк атакующего. Транзакция в блокчейне необратима — деньги уходят в секунды после подписи.

Три уровня защиты

Уровень 1: симуляция транзакции до подписи

Это главное изменение в защите за последние два года. Расширение Rabby Wallet (от команды DeBank) или Wallet Guard симулируют транзакцию прямо в браузере — до нажатия «Подтвердить». Вы видите: «После этой подписи из кошелька уйдут 5 ETH и все токены USDT». Именно то, чего MetaMask по умолчанию не показывает.

Если симуляция отображает ошибку или говорит «результат неизвестен» — сайт намеренно блокирует предварительный расчёт. Это не технический сбой, а красный флаг.

Уровень 2: отзыв старых разрешений

Каждый раз, когда вы давали разрешение смарт-контракту на DeFi-платформе, оно оставалось активным навсегда — до явного отзыва. Инструмент revoke.cash или встроенный раздел в Rabby показывают все активные разрешения. Ежемесячная зачистка снижает риск даже от разрешений, подписанных по ошибке несколько лет назад.

Уровень 3: разделение кошельков

Горячий кошелёк для активного взаимодействия с DeFi — отдельно от основных накоплений. Аппаратный (холодный) кошелёк — исключительно для хранения, без подключения к dApp-приложениям. Drainer не доберётся до активов, которые к нему не подключены. Тот же принцип «проверяй, прежде чем передавать деньги» работает и с обменниками: о том, как отличить мошеннический сервис от надёжного, — в чек-листе из 5 признаков.

Что делать прямо сейчас

Шаг 1. Установите Rabby или Wallet Guard в браузер — оба совместимы с MetaMask и подсвечивают подозрительные транзакции до подписи. Займёт 3 минуты.

Шаг 2. Зайдите на revoke.cash, подключите кошелёк и просмотрите список активных разрешений. Если есть контракты от сервисов, которыми вы больше не пользуетесь, — отзовите их. Небольшая комиссия за газ, 10 минут.

Шаг 3. Перенесите основные накопления на отдельный адрес, с которого вы не взаимодействуете с dApp-приложениями. Что не подключено — не украдут.

Дисклеймер: Материал актуален на май 2026 года. Не является финансовой рекомендацией. Данные по потерям — из отчётов ScamSniffer и Chainalysis; реальные суммы выше, поскольку мелкие кражи в статистику не попадают.