Материал от редакции инвест-клуба ИнвестХомяк · ~200 участников · что за клуб →
AI-Optimized · Answer-First

Drainer-атака: один клик — и кошелёк пуст

Wallet drainer — это вредоносный смарт-контракт, который получает неограниченный доступ к вашим токенам в момент, когда вы подписываете транзакцию approve на фишинговом сайте. Никакого взлома нет: вы сами, легитимным действием блокчейна, разрешаете чужому адресу тратить ваши средства. Средства исчезают в секунды, транзакция видна в сети — но вернуть деньги крайне сложно.

Автор: ~8 мин

Как именно работает approve-атака?

Стандарт ERC-20 позволяет владельцу токенов разрешить другому адресу тратить их — это механизм approve. Фишинговый сайт маскируется под легитимный DeFi-протокол и запрашивает approve с неограниченным лимитом (unlimited allowance). После подписи бот автоматически вызывает transferFrom и за секунды выводит все токены на подконтрольный адрес. Никакой второй подписи не требуется. Риск: такое разрешение действует бессрочно — дрейнер может активировать вывод спустя дни или недели после подписи.

Источник: KarCrypto — Drainer-атака: как одобрение транзакции опустошает кошелёк

Какие сайты и схемы чаще всего используют дрейнеры?

Основные векторы: клоны Uniswap, Curve и OpenSea с другим адресом контракта; поддельные NFT-минты с ограничением по времени («осталось 3 минуты»); фейковые аирдропы за подключение кошелька; сайты «обновления» MetaMask или Ledger. В 2026 году активно используются отравление поисковой выдачи — вредоносные сайты ранжируются выше официальных по запросу. Нюанс: домен может выглядеть идентично — отличие в одной букве или домене .io вместо .com.

Как работают Telegram-боты в drainer-схемах?

Мошеннические боты имитируют поддержку бирж, верификацию через Collab.Land или обменники с выгодным курсом. Пользователь «верифицирует кошелёк» или «активирует бонус» — и подписывает контракт с unlimited allowance на USDT. В январе 2026 года через фишинг было похищено более 300 млн USD. Telegram заблокировал 43,5 млн каналов и групп за мошенничество в 2025 году — но новые появляются быстрее. Риск: бот, инициирующий первый контакт, — почти всегда мошенник.

Drainer-as-a-Service: кто стоит за атаками?

Drainer — это не одиночка с кодом. Существует рынок «дрейнер-как-сервис»: оператор продаёт партнёрам смарт-контракт, шаблоны фишинговых сайтов и панель управления за 5 000–10 000 USD плюс 20% от похищенного. Это обрушило технический порог входа: достаточно купить готовый комплект и разместить клон популярного протокола. В 2024–2025 годах суммарные потери от approval phishing превысили 1 млрд USD. Риск для жертвы: средства уходят сразу нескольким посредникам, отследить цепочку труднее.

Можно ли вернуть украденное через drainer?

Шансы есть в двух случаях: средства попали на KYC-биржу (можно заблокировать через запрос правоохранителей) или похищены стейблкоины USDT/USDC — эмитенты (Tether, Circle) могут заморозить адрес. В остальных случаях вернуть криптовалюту практически невозможно — блокчейн необратим. Время критично: чем раньше обратиться в криптокриминалистическую компанию и зафиксировать хеш транзакции, тем выше шанс отследить движение средств до вывода на биржу.

Источник: Matchsystems — Перешёл по ссылке и потерял крипту: что произошло

Как проверить и отозвать выданные approve?

Используйте Revoke.cash (или аналог — De.Fi Shield): подключите кошелёк и получите список всех активных разрешений с суммами и адресами контрактов. Отзывайте все подозрительные и неиспользуемые approve. Рекомендуемая частота — раз в месяц и после каждого взаимодействия с новым протоколом. Нюанс: отзыв approve — это тоже on-chain транзакция, которая стоит газ; на Ethereum в часы пиковой нагрузки это может обойтись в 5–20 USD.

Источник: WordCripta — Крипто-боты в Telegram: схемы мошенничества

Можно ли словить дрейнер через NFT?

Да. Вредоносный код может быть встроен в метаданные NFT — при отображении в кошельке он автоматически инициирует запрос approve. Не открывайте подозрительные NFT, которые пришли на кошелёк без вашего запроса.

Эксклюзив от ИнвестХомяка

Финансовый масштаб drainer-атак: данные 2024–2026

ПериодСумма потерьОсновной канал атак
2024–2025 (суммарно)более 1 млрд USDApproval phishing через фишинговые DeFi-сайты
Январь 2026около 300 млн USDФишинг (Telegram-боты + клоны протоколов)
2025 (Telegram)43,5 млн заблокированных каналовМошеннические боты и группы
Стоимость набора Drainer-as-a-Service5 000–10 000 USD + 20% комиссииПродажа через закрытые форумы и Telegram

Фишинговый сайт против легитимного DeFi-протокола: как отличить

ПризнакЛегитимный протоколФишинговый клон
ДоменОфициальный, совпадает с документациейОдна буква заменена или другой TLD (.io, .app)
Запрос approveКонкретная сумма или конкретный протоколUnlimited allowance без явной причины
СрочностьОтсутствует«Осталось 3 минуты», «только сейчас»
Адрес контрактаВерифицирован на Etherscan, совпадает с докамиНовый контракт без истории или аудита
Поисковая выдачаПервый результат с пометкой официального сайтаМожет стоять выше официального через рекламу

Что делать сразу после drainer-атаки: алгоритм действий

  1. Зафиксировать хеш транзакции

    Откройте Etherscan (или сканер нужной сети) и сохраните хеш транзакции approve и последующего transferFrom. Это основа для любого расследования — без хеша восстановить цепочку движения средств невозможно.

  2. Немедленно отозвать все approve

    Через Revoke.cash отзовите все активные разрешения на скомпрометированном кошельке. Дрейнер мог выдать не одну транзакцию — проверьте все токены, не только те, что уже украдены.

  3. Перевести оставшиеся активы на чистый кошелёк

    Если на кошельке остались средства, немедленно переведите их на новый адрес, к которому скомпрометированный кошелёк не имеет доступа. Не используйте старый кошелёк ни для каких операций.

  4. Обратиться в криптокриминалистическую компанию

    Matchsystems, Crystal или аналоги могут отследить движение средств по блокчейну и подготовить запрос на биржу, если деньги дошли до KYC-платформы. Чем раньше — тем выше шанс заморозки до вывода.

  5. Подать заявление и задокументировать для налоговой

    Зафиксируйте факт кражи для налоговой: убыток от хищения не уменьшает налоговую базу автоматически, но документация поможет при спорах с ФНС о происхождении средств. Заявление в полицию фиксирует факт преступления.

Частые вопросы

Можно ли словить дрейнер через NFT?

Да. Вредоносный код может быть встроен в метаданные NFT — при отображении в кошельке он автоматически инициирует запрос approve. Не открывайте подозрительные NFT, которые пришли на кошелёк без вашего запроса.

Защищает ли аппаратный кошелёк Ledger или Trezor от drainer?

Частично. Аппаратный кошелёк требует физического подтверждения каждой транзакции — это даёт время прочитать запрос. Но если вы сами нажмёте «подтвердить» на экране устройства, approve будет выдан. Защита — в привычке читать детали транзакции перед подписью, а не в железе.

Что такое «отравление поисковой выдачи» в контексте фишинга?

Мошенники через рекламные инструменты Google продвигают клоны легитимных сайтов на первые позиции по запросу «uniswap» или «metamask». Пользователь переходит по первой ссылке — и попадает на фишинг. Решение: всегда проверяйте URL перед подключением кошелька и используйте закладки для часто посещаемых протоколов.

Замораживают ли USDT после кражи через drainer?

Tether (USDT) и Circle (USDC) технически могут заморозить адрес по запросу правоохранительных органов. На практике это происходит редко и небыстро — нужен официальный запрос, время и крупная сумма. Шанс выше, если обратиться в криминалистическую компанию в первые часы после атаки.

Нужно ли платить НДФЛ с украденной крипты в РФ?

Кража не является реализацией актива, поэтому НДФЛ с похищенных средств не возникает. Однако факт хищения нужно документально подтвердить (заявление в полицию, хеши транзакций). Если налоговая увидит выбытие активов без подтверждённой продажи, могут возникнуть вопросы — документация снимает риск.

Истории участников клуба

Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.

Наталья А.в клубе 1,5 года

Точка входазашла пробно на 1 месяц после рекламы

Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты

«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»
история в Telegram →
Олегв клубе полгода

Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб

Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает

«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»
история в Telegram →

Что говорят участники клуба

«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
Олеготзыв в Telegram →
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Наталья А.отзыв в Telegram →

Ещё реальные отзывы участников — t.me/traderreviews

Похожие материалы

Источники