Wallet drainer: что это, как работает, почему невозможно отменить

Пользователь подписывает не перевод конкретной суммы, а разрешение (approve или permit) на использование токенов — функция ERC-20/ERC-721. Дрейнер запрашивает лимит на максимально возможную сумму или на все NFT сразу. После подтверждения смарт-контракт немедленно вызывает transferFrom и выводит активы на адрес злоумышленника. Всё происходит в рамках легитимных функций блокчейна — никакой «взлом» сети не нужен. Риск: транзакция выглядит как стандартное взаимодействие с DeFi-протоколом.

Блокчейн Ethereum и совместимые сети (BNB Chain, Polygon, Base) необратимы по архитектуре: подтверждённая транзакция записана в блок и изменить её невозможно без контроля над большинством мощностей сети. Нет центрального оператора, который мог бы «откатить» перевод. Единственный вариант — если злоумышленник сам не успел вывести средства из промежуточного кошелька, и блокировщик (например, OFAC) заморозил адрес. Риск: это происходит в единичных случаях и только при крупных суммах с публичным резонансом.

Три основных вектора: фишинговые сайты-клоны популярных DeFi-протоколов (Uniswap, OpenSea, Blur) с изменённым одним символом в домене; взломанные Discord и Twitter официальных проектов с поддельными ссылками на «минт» или «клейм»; вредоносные рекламные объявления в Google и Twitter, которые ведут на фишинг. По данным Kaspersky, значительная часть атак начинается именно с фишинговых ссылок в социальных сетях. Нюанс: внешне сайт может быть визуально неотличим от оригинала.

Уязвимы все токены стандарта ERC-20 (USDT, USDC, WETH, любые альткоины) и NFT стандарта ERC-721/ERC-1155, если пользователь дал разрешение контракту. ETH на балансе напрямую через approve не вывести — но дрейнер может запросить подпись транзакции на перевод нативного ETH отдельно. Токены, к которым не выдано разрешение (approve), недоступны дрейнеру. Риск: многие пользователи накапливают старые разрешения годами и не проверяют их.

По данным Scam Sniffer (специализированный сервис мониторинга фишинга), в 2023 году wallet drainer-атаки принесли злоумышленникам около $494 млн, жертвами стали более 324 000 адресов. Наиболее крупные единичные кражи превышали $24 млн с одного кошелька. В 2024 году масштаб атак продолжил расти с распространением permit-подписей (EIP-2612), не требующих отдельной on-chain транзакции для выдачи разрешения. Нюанс: большинство случаев не попадает в публичную статистику.

Через сервисы revoke.cash или etherscan.io (раздел Token Approvals) можно увидеть все активные разрешения для вашего адреса и отозвать лишние. Отзыв — отдельная on-chain транзакция, стоит небольшую сумму в нативном токене сети. Рекомендуется проверять разрешения после каждого взаимодействия с новым протоколом и регулярно — раз в 1–3 месяца. Риск: если дрейнер уже вывел средства, отзыв разрешения не вернёт активы — он только предотвращает повторный вывод.

Частично. Антивирус может заблокировать известные фишинговые домены, но не проверяет содержимое транзакции. Основная защита — собственная внимательность при подписи и использование аппаратного кошелька.