Дрейнер кошелька: как работает и как защититься

Дрейнер эксплуатирует стандарт ERC-20 approve и EIP-2612 permit. Жертва подписывает транзакцию или офчейн-сообщение, предоставляя смарт-контракту злоумышленника неограниченный allowance на конкретный токен. Сразу после подписи дрейнер вызывает transferFrom и переводит все средства на подконтрольный адрес. Весь процесс занимает один блок (~12 секунд на Ethereum). Риск: permit-подписи офчейн не требуют газа и часто маскируются под безобидные действия — пользователь может не осознать, что подписывает.

Наибольшую опасность представляют: permit (EIP-2612) — офчейн подпись, не требует газа, жертва часто думает что «просто логинится»; setApprovalForAll — даёт право на перевод ВСЕХ NFT коллекции разом; неограниченный approve (amount = max uint256) — даёт бессрочный доступ ко всему балансу токена. Отличить от легитимных сложно без технических знаний. Риск: современные дрейнеры имитируют интерфейсы популярных протоколов (Uniswap, OpenSea) до неотличимости.

Основные каналы: поддельные ссылки в рекламе Google/Twitter/Telegram (фишинговый домен отличается одним символом от оригинала); взломанные аккаунты известных проектов в соцсетях; поддельные airdrop-анонсы («claim your tokens»); вредоносные NFT, при взаимодействии с которыми открывается фишинговый сайт; поддельные расширения браузера. Риск: даже опытные DeFi-пользователи попадаются — атаки становятся точнее с использованием AI-генерации контента.

В подавляющем большинстве случаев — нет. Блокчейн-транзакции необратимы; децентрализованных механизмов возврата не существует. Теоретически возможна заморозка активов на централизованных биржах (если злоумышленник выводит туда), но это требует оперативного обращения в биржу и правоохранительные органы. На практике средства уходят через миксеры (Tornado Cash и аналоги) в течение часов. Риск потери — постоянный и полный. Единственная защита — превентивная.

Используйте сервис revoke.cash или встроенные функции кошелька Rabby Wallet — они показывают все активные allowances по адресу. Регулярно отзывайте разрешения для протоколов, которыми больше не пользуетесь, через функцию approve(spender, 0). Особое внимание — неограниченным allowances (max uint256) и setApprovalForAll для NFT. Риск: сами сервисы проверки allowances могут быть скомпрометированы — используйте только проверенные домены (revoke.cash, etherscan.io).

Частично. Аппаратный кошелёк (Ledger, Trezor) требует физического подтверждения каждой транзакции — это защищает от удалённого взлома. Однако если пользователь вручную подтверждает вредоносную подпись на устройстве, защита не срабатывает. Аппаратный кошелёк не анализирует смысл подписи — только запрашивает подтверждение. Риск: пользователи часто «кликают OK» не читая. Аппаратный кошелёк — необходимый, но недостаточный уровень защиты.

Немедленно отзовите все оставшиеся allowances через etherscan.io Token Approvals или revoke.cash. Переведите уцелевшие активы на новый кошелёк с новым seed. Обратитесь в техподдержку биржи, если видите адрес вывода на CEX — иногда удаётся заморозить средства. Зафиксируйте хеши транзакций для возможного обращения в правоохранительные органы.