Wallet drainer — это вредоносный механизм, который заставляет владельца криптокошелька самому выдать разрешение на списание активов или подписать опасное действие. В отличие от обычной кражи пароля, здесь злоумышленнику не всегда нужна сид-фраза. Человек может не передавать секретные слова, не устанавливать подозрительную программу и всё равно потерять токены, если подключит кошелёк к поддельному сайту и подтвердит неправильную операцию.
Такие атаки особенно опасны потому, что выглядят как обычное действие в криптосервисе: получить раздачу токенов, обменять монету, подтвердить участие в продаже, забрать награду, проверить право на выплату, подключиться к новой площадке или обновить доступ. В 2025 году, по данным Scam Sniffer, потери от фишинговых атак с использованием вредоносных списаний снизились примерно до $84 млн, но число пострадавших всё равно оставалось большим, а злоумышленники продолжали использовать подписи Permit и другие способы обмана разрешений.
Как работает wallet drainer
Обычный сценарий начинается с приманки. Пользователь видит ссылку в социальной сети, поисковой рекламе, личном сообщении, поддельном объявлении, канале проекта или на сайте, который копирует известный сервис. Страница выглядит правдоподобно: логотип, кнопка подключения кошелька, счётчик времени, обещание награды, список поддерживаемых сетей, отзывы и даже предупреждения о безопасности.
После подключения кошелька сайт предлагает подтвердить действие. На экране может быть написано что-то безобидное: «проверить доступ», «получить токены», «подтвердить владение», «обновить разрешение», «начать обмен». Но внутри подписи или транзакции может быть другое: разрешение стороннему смарт-контракту тратить токены пользователя, передача NFT, продажа актива за ничтожную сумму, смена прав или подготовка серии списаний.
Главный обман строится на разрыве между тем, что человек видит на сайте, и тем, что реально подтверждает кошелёк. Если интерфейс кошелька плохо объясняет действие, пользователь нажимает кнопку почти вслепую. Вредоносный сайт этим пользуется: он не взламывает блокчейн, а заставляет владельца кошелька подписать вредное разрешение.
Почему сид-фраза может оставаться у владельца
Многие думают, что криптовалюту можно украсть только через сид-фразу. Это опасное заблуждение. Сид-фраза действительно даёт полный доступ к кошельку, но вредоносному сайту часто достаточно разрешения на конкретные токены. В сетях, совместимых с Ethereum, пользователь может дать смарт-контракту право тратить определённый актив. Если разрешение слишком широкое, злоумышленник может забрать токены позже, даже когда человек уже закрыл сайт.
Особенно опасны бесконечные разрешения. Иногда кошелёк или приложение предлагает разрешить контракту тратить не одну конкретную сумму, а весь баланс токена. Это удобно для обычных децентрализованных бирж, потому что не нужно подтверждать доступ каждый раз. Но в руках вредоносного контракта такая привычка становится прямым путём к потере средств.
Подписи Permit и Permit2 сделали атаки ещё тоньше. Они позволяют выдавать разрешения через подпись сообщения, а не через обычную транзакцию с газом. Пользователь может подумать, что ничего серьёзного не происходит, потому что комиссия не списывается. Но сама подпись может дать злоумышленнику право забрать активы. В отчётах по 2025 году именно вредоносные Permit-подписи назывались одним из главных инструментов крупных фишинговых краж.
Чем вредоносный сайт отличается от обычного взлома
При обычном взломе злоумышленник получает пароль, сид-фразу, доступ к устройству или биржевому аккаунту. При wallet drainer пользователь часто сам выполняет последнее действие: подключает кошелёк, подписывает сообщение, подтверждает разрешение. Поэтому после атаки человеку кажется, что деньги исчезли «сами», хотя в блокчейне видно цепочку: разрешение, вызов контракта, перевод активов, быстрый обмен, вывод через несколько адресов.
Такой тип атаки трудно отменить. В блокчейне нет службы поддержки, которая вернёт токены после ошибочной подписи. Если актив ушёл на адрес злоумышленника, а затем был обменян или переведён дальше, вернуть его почти невозможно. Именно поэтому защита важнее реакции после кражи.
Wallet drainer чаще всего крадёт то, что можно быстро продать: популярные токены, NFT, стейблкоины, ликвидные монеты, активы в нескольких сетях. Современные вредоносные наборы могут сканировать кошелёк, находить самые ценные позиции и предлагать подписи так, чтобы сначала забрать самые ликвидные активы.
Основные способы обмана
Злоумышленники используют не один приём, а целую цепочку доверия. Они стараются попасть туда, где пользователь уже ждёт действия: раздача токенов, выпуск новой коллекции, срочный обмен, миграция токена, проверка права на награду, голосование, предварительная продажа или восстановление доступа.
Чаще всего встречаются такие сценарии:
- Поддельная раздача токенов выглядит как официальная страница проекта, где пользователь якобы должен подключить кошелёк и подтвердить право на награду, но вместо получения монет он выдаёт разрешение на списание уже имеющихся активов.
- Фальшивая страница обмена имитирует децентрализованную биржу, показывает привычную форму обмена и нормальный курс, но в момент подтверждения подсовывает разрешение или транзакцию, которая уводит токены на чужой адрес.
- Поддельный сайт выпуска NFT создаёт срочность, ограниченное количество мест и давление таймера, чтобы пользователь не читал детали подписи и быстрее подтвердил действие.
- Сообщение от «поддержки» убеждает человека, что кошелёк нужно срочно синхронизировать, обновить доступ или проверить безопасность, хотя настоящий проект никогда не просит подписывать непонятные действия через личные сообщения.
- Реклама в поиске ведёт на сайт, похожий на известный сервис, и пользователь попадает туда не через закладку, а через верхнюю рекламную строку, где домен может отличаться одной буквой или лишним символом.
- Взломанный аккаунт проекта в социальной сети публикует ссылку на «официальную» награду, и доверие к имени проекта снижает осторожность даже у опытных пользователей.
Во всех этих случаях злоумышленнику нужно не взломать математику блокчейна, а заставить человека поверить интерфейсу.
Какие действия в кошельке особенно опасны
Не каждое подключение кошелька автоматически опасно. Само соединение обычно показывает сайту публичный адрес и баланс. Опасность начинается там, где появляется подпись, разрешение или транзакция. Особенно внимательно нужно смотреть на действия, где сайт просит не просто войти, а что-то подтвердить.
Наиболее рискованные операции выглядят так:
| Действие | Почему опасно | Что проверить |
|---|---|---|
| Approve | Даёт контракту право тратить токен | Сумму, адрес контракта и необходимость разрешения |
| Permit или Permit2 | Может выдать право без обычной транзакции | Какой токен, какая сумма, кто получает разрешение |
| Set approval for all | Даёт доступ ко всем NFT коллекции | Нужен ли полный доступ и кому он выдаётся |
| Подпись сообщения | Может выглядеть безобидно, но иметь последствия | Текст, домен, назначение подписи |
| Swap | Может скрывать плохой маршрут или подмену получателя | Актив, сумму, адрес и ожидаемый результат |
| Claim | Часто используется в поддельных раздачах | Официальность сайта и смысл подтверждения |
| Миграция токена | Может быть фальшивой заменой старого токена | Объявления проекта и адрес нового контракта |
Главный принцип: если кошелёк показывает непонятный набор данных, не нужно подтверждать действие только потому, что сайт выглядит красиво. В криптовалюте непонятная подпись должна считаться опасной, пока не доказано обратное.
Почему атаки становятся убедительнее
Вредоносные сайты стали намного качественнее. Они копируют дизайн известных проектов, используют похожие домены, покупают рекламу, создают поддельные страницы в социальных сетях, добавляют проверку кошелька, показывают таблицы наград и даже предупреждают о фишинге, чтобы выглядеть надёжнее. Пользователь видит не грубую подделку, а почти настоящий сервис.
Отдельная проблема — автоматизация. Готовые вредоносные наборы позволяют злоумышленникам запускать такие сайты быстрее. Им не нужно писать всё с нуля. Они покупают или арендуют готовый инструмент, меняют дизайн, привязывают домен и начинают рассылку. Coinbase в материалах о защите пользователей отдельно подчёркивала, что вредоносные списания часто прячутся за поддельными децентрализованными приложениями, фишинговыми ссылками и социальной инженерией.
Чем выше рынок, тем больше таких атак. Когда криптовалюты растут, люди чаще ждут новых раздач, запусков, быстрых возможностей и редких шансов. Злоумышленники используют это настроение: «успей забрать», «последний день», «подключи кошелёк», «подтверди до окончания окна». Срочность выключает осторожность.
Кто чаще всего становится жертвой
Жертвой может стать и новичок, и опытный пользователь. Новичок чаще не понимает разницу между подключением, подписью и разрешением. Опытный пользователь может попасться из-за спешки, доверия к известному имени, усталости или привычки быстро подтверждать действия в кошельке. Особенно опасна ситуация, когда человек работает с несколькими сетями, разными токенами, раздачами и децентрализованными приложениями каждый день.
В зоне повышенного риска находятся:
- пользователи, которые часто участвуют в раздачах, предварительных продажах и новых запусках, потому что именно вокруг таких событий злоумышленники создают больше всего поддельных страниц;
- владельцы NFT, привыкшие выдавать разрешения торговым площадкам, потому что подпись «дать доступ ко всем предметам коллекции» может выглядеть привычно и не вызвать тревоги;
- трейдеры мем-токенов и новых монет, которые быстро переходят по ссылкам из чатов и социальных сетей, часто не проверяя домен и адрес контракта;
- люди, хранящие долгосрочные активы и экспериментальные монеты в одном кошельке, потому что одна ошибка на рискованном сайте может затронуть весь капитал;
- пользователи, которые не очищают старые разрешения, поскольку вредоносный контракт может использовать ранее выданный доступ позже, когда на кошельке появятся новые средства.
Опыт в криптовалюте не защищает сам по себе. Защищают привычки: проверка домена, отдельные кошельки, лимиты разрешений, холодное хранение и отказ от непонятных подписей.
Почему один кошелёк для всего — плохая идея
Одна из главных ошибок — использовать один кошелёк для хранения, торговли, раздач, NFT, игр, мем-токенов и тестов новых приложений. Такой кошелёк постоянно подключается к разным сайтам и со временем накапливает разрешения. Если он содержит ещё и долгосрочные BTC-заменители в других сетях, ETH, стейблкоины или дорогие NFT, риск становится слишком высоким.
Лучше разделять кошельки по задачам. Один — для долгосрочного хранения, без подключения к новым сайтам. Второй — для обычной работы с проверенными сервисами. Третий — для рискованных раздач, новых приложений и тестов, где лежит небольшая сумма. Тогда ошибка на вредоносном сайте не уничтожит весь портфель.
Такое разделение кажется неудобным, но оно намного дешевле, чем потеря всех активов. В криптовалюте безопасность часто строится не на одном идеальном инструменте, а на изоляции рисков.
Как защититься от wallet drainer
Защита начинается с недоверия к срочным ссылкам. Если сайт обещает бесплатные токены, просит быстро подтвердить подпись и давит ограничением по времени, это уже повод остановиться. Настоящая возможность не должна требовать слепого подтверждения непонятной операции.
Рабочие правила безопасности:
- Открывать важные сервисы через закладки или вручную набранный адрес, потому что поисковая реклама и ссылки из социальных сетей часто ведут на поддельные страницы, отличающиеся от настоящего домена одной буквой или лишним символом.
- Использовать отдельный кошелёк для раздач, новых приложений и экспериментов, чтобы даже при ошибочной подписи злоумышленник получил доступ только к небольшой сумме, а не к долгосрочным активам.
- Не выдавать бесконечные разрешения там, где можно указать точную сумму, потому что ограниченное разрешение снижает ущерб, если контракт окажется вредоносным или будет скомпрометирован.
- Регулярно проверять и отзывать старые разрешения, особенно после работы с новыми биржами, NFT-площадками, игровыми проектами и неизвестными сервисами.
- Читать окно кошелька, а не только сайт, потому что именно кошелёк показывает, какое действие действительно подписывается, даже если вредоносная страница описывает его другими словами.
- Держать крупные суммы на холодном кошельке, который не подключается к случайным сайтам, потому что аппаратное подтверждение помогает остановиться и проверить детали операции.
- Не подписывать сообщения, смысл которых непонятен, особенно если в них фигурируют Permit, Permit2, approval, operator, setApprovalForAll или необычные адреса контрактов.
Главное правило: лучше пропустить одну настоящую раздачу, чем подтвердить одну вредоносную подпись.
Что делать, если подпись уже подтверждена
Если пользователь понял, что подписал подозрительное действие, действовать нужно быстро. Иногда средства списываются сразу. Иногда вредоносное разрешение остаётся и может быть использовано позже. В такой ситуации важно не ждать.
Порядок действий:
- Сначала нужно отключить кошелёк от сайта, закрыть страницу и не подтверждать новые действия, даже если сайт показывает ошибку, просьбу повторить подпись или «отмену» операции.
- Затем стоит проверить активные разрешения через надёжный сервис отзыва разрешений или через интерфейс кошелька, потому что опасность может сохраняться даже после закрытия вредоносной страницы.
- Если на кошельке ещё есть ценные активы, их лучше перевести на новый чистый адрес, но только после проверки, что перевод сам не требует взаимодействия с вредоносным контрактом.
- Если украдены NFT или токены, нужно сохранить хэш транзакции, адрес сайта, адрес контракта и все детали, потому что это поможет при обращении в поддержку площадок, аналитические сервисы или правоохранительные органы.
- Если использовался один и тот же кошелёк для многих задач, лучше больше не считать его безопасным для хранения крупных сумм, даже если часть разрешений удалось отозвать.
- Если есть подозрение на вредоносное расширение или файл на устройстве, нужно переносить средства только с чистого устройства, потому что проблема может быть не только в одной подписи.
Чем быстрее пользователь реагирует, тем выше шанс сохранить хотя бы часть активов. Но если средства уже ушли и были обменяны, возврат обычно крайне сложен.
Почему нельзя доверять «сервисам возврата»
После кражи жертве часто пишут новые мошенники. Они обещают вернуть украденные деньги, найти злоумышленника, «откатить транзакцию», разблокировать кошелёк или договориться с биржей. Это почти всегда второй слой обмана. Человека уже эмоционально выбили из равновесия, и он готов поверить тому, кто обещает быстрый возврат.
В блокчейне нельзя просто отменить транзакцию. Реальные аналитические компании и биржи могут помочь отследить движение средств, пометить адреса, передать данные, иногда заморозить активы при попадании на централизованную площадку. Но никто не должен просить сид-фразу, предоплату «за разблокировку» или новую подпись в кошельке.
Если после кражи кто-то предлагает вернуть деньги за комиссию, почти наверняка это продолжение атаки. Потерпевшему лучше сохранять данные, обращаться в поддержку площадок и не подписывать ничего нового.
Как кошельки могут помогать пользователю
Современные кошельки постепенно становятся умнее. Они предупреждают о подозрительных разрешениях, показывают симуляцию транзакции, подсвечивают известные вредоносные адреса, объясняют, какие токены могут быть списаны, и помогают ограничивать сумму разрешения. Это важное направление, потому что большая часть пользователей не умеет читать сырые данные подписи.
Но кошелёк не может защитить полностью. Если человек сам подтверждает действие, игнорирует предупреждения и доверяет сайту больше, чем экрану кошелька, риск остаётся. Поэтому лучший вариант — сочетание хорошего кошелька, аппаратного устройства, разделения адресов и личной дисциплины.
Особенно полезны функции предварительного просмотра: что уйдёт, кому уйдёт, какие права выдаются, какой контракт получает доступ. Если кошелёк показывает, что сайт просит право тратить все токены или все NFT, нужно остановиться, даже если страница обещает безобидную награду.
Итог
Wallet drainer — это не магический взлом кошелька, а обман, который заставляет пользователя подписать вредное действие. Вредоносный сайт может выглядеть как раздача токенов, децентрализованная биржа, NFT-площадка, форма миграции или страница проверки доступа. Опасность начинается в момент подписи, разрешения или транзакции, особенно если речь идёт о Permit, Permit2, approve или доступе ко всем активам коллекции.