Защита кошелька от wallet drainer: как работают атаки и как от них защититься

Drainer использует стандартные функции ERC-20: `approve` (разрешение тратить токены) и `permit` (подпись офф-чейн, не требующая gas от жертвы). Жертва подписывает транзакцию на фишинговом сайте, думая, что это mintинг NFT или claim airdrop. Смарт-контракт дрейнера немедленно вызывает `transferFrom` и выводит все разрешённые токены. Современные дрейнеры сканируют кошелёк и выводят активы в порядке убывания стоимости за одну транзакцию. Риск: транзакция в блокчейне необратима — после подписи вернуть средства практически невозможно.

Наиболее опасны три типа: 1) `approve` с неограниченным лимитом (unlimited approve) — разрешает тратить все токены данного типа; 2) `permit` — офф-чейн подпись стандарта EIP-2612, не требующая gas, поэтому не вызывает подозрений у невнимательного пользователя; 3) `setApprovalForAll` для NFT — одним действием разрешает передачу всей коллекции. Permit-атаки особенно распространены, так как выглядят как безобидная подпись сообщения, а не транзакция. Риск: большинство пользователей не читают содержимое подписи перед подтверждением.

Злоумышленники используют несколько техник: тайпсквоттинг (uniswаp.org вместо uniswap.org с заменой символов); взлом официального Twitter/Discord протокола для публикации фишинговых ссылок; покупка рекламы в поисковиках по запросам типа «uniswap» с фишинговым сайтом на первом месте; компрометация CDN или DNS проверенного домена. Визуально сайт может быть неотличим от оригинала — скопированы интерфейс, логотипы и тексты. Риск: даже опытные пользователи попадались на скомпрометированные официальные домены — только проверка URL и адреса контракта даёт реальную защиту.

Горячий кошелёк — подключён к интернету и используется для регулярных DeFi-транзакций; холодный — аппаратный кошелёк (Ledger, Trezor), хранит основной капитал офлайн. Стратегия разделения: на горячем кошельке держите только сумму, необходимую для текущих операций (условно «рабочий капитал»). Основной капитал на холодном кошельке никогда не подключайте к незнакомым сайтам. Компрометация горячего кошелька не затрагивает холодный. Риск: аппаратный кошелёк защищает ключи, но не от подписания вредоносной транзакции на экране компьютера — всегда читайте, что показывает экран устройства.

Через сервисы revoke.cash или etherscan.io (вкладка Token Approvals для ERC-20) можно увидеть все активные разрешения и отозвать их. Рекомендуется: регулярно проверять активные approvals после каждой DeFi-сессии; немедленно отзывать разрешения для неизвестных контрактов; никогда не оставлять неограниченные approve (unlimited) для контрактов, которые вы больше не используете. Каждый отзыв — отдельная транзакция с gas-комиссией. Риск: permit-подписи не отображаются в стандартном списке approvals — для их проверки нужны специализированные инструменты.

Действуйте немедленно: 1) откройте Etherscan и проверьте последние транзакции кошелька — подтверждён ли вывод. 2) Если вывод ещё не произошёл (редко, но возможно) — попытайтесь отозвать approve через revoke.cash с более высоким gas, чем у транзакции дрейнера. 3) Переведите оставшиеся активы на другой адрес быстрее, чем дрейнер их заберёт. 4) Никогда больше не используйте скомпрометированный адрес. Риск: в большинстве случаев дрейнер срабатывает мгновенно после подписи — времени на реакцию нет, поэтому профилактика важнее лечения.

В подавляющем большинстве случаев — нет. Транзакции в блокчейне необратимы. В редких случаях при быстром обращении биржа может заморозить средства, если атакующий попытается вывести их через централизованную платформу. Вероятность этого крайне низка.