Drainer-скрипты: как сайт ворует крипту одним кликом

Представьте: вы кликаете «Connect Wallet» на сайте популярного NFT-проекта, подписываете транзакцию — и через две секунды баланс кошелька обнуляется. Без взлома, без слитой seed-фразы, без вируса в системе. Это не миф и не редкий случай: за 2024–2026 годы криптодрейнеры лишили пользователей более 500 миллионов долларов. Только Inferno Drainer вернулся в 2025 году и за полгода украл 9 миллионов долларов у 30 тысяч жертв в 30 блокчейн-сетях.

В этой статье разберём, как технически работают drainer-скрипты, какие громкие операции прогремели в 2024–2026, почему модель Drainer-as-a-Service сделала кражу крипты массовой и как обезопасить свой кошелёк.

Что такое drainer-скрипт и почему он опаснее фишинга

Drainer — это вредоносный JavaScript-код, встроенный в сайт-приманку. Когда пользователь подключает кошелёк (MetaMask, Trust Wallet, Phantom) и подписывает транзакцию, скрипт через смарт-контракт получает разрешение на вывод всех ценных активов: токенов ERC-20, NFT, стейблкоинов USDT/USDC.

Отличие от классического фишинга — в технической изящности. Жертве не нужно отдавать пароль или seed-фразу. Достаточно подписать одну транзакцию, которая внешне выглядит как «approve» для свопа или клейма NFT, а на деле — это разрешение setApprovalForAll, permit2 или прямой вызов transferFrom с подменой адреса получателя.

По данным Scam Sniffer, в 2024 году дрейнеры опустошили 332 000 кошельков на сумму 494 млн долларов. В 2025-м цифры выросли: средняя сумма потерь на одного пользователя поднялась с 782 до 2 764 долларов за транзакцию — мошенники научились находить «жирные» кошельки.

Анатомия атаки: 4 шага от клика до пустого кошелька

Шаг 1: Заманивание

Жертву ведут на фейковый сайт через:

• рекламу в Google Ads и Яндекс.Директ под видом популярных DeFi-проектов;
• взломанные Discord-серверы и Telegram-каналы (типичный сценарий 2025–2026 — захват просроченных vanity-ссылок Discord);
• посты от взломанных Twitter/X аккаунтов известных проектов;
• результаты поиска с подменой Unicode-символов (binаnce.com через кириллицу).

Шаг 2: Подключение кошелька

Кнопка «Connect Wallet» работает корректно — пользователь видит привычное окно MetaMask. Это создаёт ложное чувство безопасности: сайт не просит пароль, всё «как обычно».

Шаг 3: Подпись «безобидной» транзакции

Дрейнер анализирует кошелёк жертвы, выбирает самые ценные активы и формирует транзакцию-приманку. Это может быть:

• запрос подписи EIP-712 (выглядит как off-chain сообщение, по факту — разрешение на permit2);
• setApprovalForAll на NFT-контракт;
• вызов фейкового метода «claim airdrop», который на деле выполняет transferFrom.

В кошельке отображается набор HEX-данных, который большинство пользователей не читает.

Шаг 4: Вывод средств

После подписи дрейнер автоматически выводит активы на адрес атакующего. По исследованию Check Point Research, Inferno Drainer использует одноразовые смарт-контракты, которые «живут» 5 минут — этого хватает на кражу, но недостаточно для блокировки в антифишинг-базах.

Drainer-as-a-Service: кража по подписке

Раньше для написания дрейнера нужны были навыки разработки на Solidity и JavaScript. С 2023 года появилась модель Drainer-as-a-Service (DaaS): готовые наборы продаются на даркнет-форумах за 100–1 500 долларов.

MS Drainer — один из самых дорогих и продвинутых. Поддерживает Ethereum, BNB Smart Chain, Polygon, Avalanche, Arbitrum, Fantom, Optimism. Базовая цена — 1 499,99 долларов с полным исходным кодом и инструкцией по установке. После утечки исходников в 2025 году появились десятки клонов.

Inferno Drainer работает иначе: клиент платит процент с украденного (типично 20–30%), получает доступ к панели управления, готовые шаблоны фишинг-сайтов и техподдержку. С сентября 2024 по март 2025 года Check Point идентифицировал 1 190 клиентских адресов, связанных с инфраструктурой Inferno.

Pink Drainer специализировался на Discord — закрыли операцию в мае 2024 года после того, как украли более 75 миллионов долларов.

По данным расследования Recorded Future, русскоязычная группа Rublevka Team управляет одной из крупнейших DaaS-платформ, обслуживающих сотни «партнёров».

Реальные кейсы 2024–2026

Сентябрь 2025: -6,5 млн долларов за одну транзакцию. DeFi-трейдер с многолетней историей подписал транзакцию на фейковом сайте, копирующем популярный лаунчпад. Inferno Drainer вывел сразу 6,5 миллиона долларов в стейблкоинах.

Январь 2026: address poisoning + drainer. Пользователь потерял 509 000 USDT — мошенники предварительно «отравили» историю транзакций кошелька, отправив пыль с похожего адреса, а затем дополнили атаку drainer-скриптом на ложной странице обмена.

Inferno Drainer Reloaded (2025). Спустя 1,5 года после публичного «закрытия» в 2023 году группа вернулась с обновлённой инфраструктурой: командные серверы скрыты в зашифрованных смарт-контрактах, коммуникация идёт через Cloudflare Workers, кошельки для вывода меняются каждые 1–2 месяца.

Рекорд PEPE. В рамках одной кампании Inferno украл 107,8 миллиарда токенов PEPE на сумму около 761 000 долларов.

Почему антивирусы не спасают

Drainer — не вирус в классическом понимании. Никакой код на ваш компьютер не попадает. Скрипт исполняется в браузере на сайте мошенников, а вы сами подписываете транзакцию приватным ключом. С точки зрения блокчейна это легитимный перевод.

Дополнительная проблема: современные дрейнеры используют четыре слоя шифрования на стороне клиента, ключи генерируются из таймстампов и случайных значений. Это блокирует автоматический анализ Web3-расширениями вроде Wallet Guard или Pocket Universe в первые минуты после развёртывания фейкового сайта.

10 правил защиты от криптодрейнеров

1. Не подключайте кошелёк к сайтам по ссылкам из соцсетей и рекламы. Только закладки или прямой ввод адреса.
2. Проверяйте домен побуквенно — мошенники регистрируют unisweep.org вместо uniswap.org и Unicode-подделки.
3. Используйте отдельный «горячий» кошелёк для интерактивных операций. Основные накопления держите на холодном — Ledger, Trezor, Tangem.
4. Читайте, что подписываете. Если в окне MetaMask виден setApprovalForAll, permit2, неизвестный контракт-получатель — отменяйте.
5. Регулярно отзывайте approve-разрешения через revoke.cash или Etherscan Token Approvals. Старые approvals — главный риск.
6. Установите расширения-защиту: Pocket Universe, Wallet Guard, Scam Sniffer. Они отлавливают известные drainer-контракты.
7. Не клейтите airdrop с сайтов, ссылку на которые прислали в Discord или Telegram.
8. Для крупных сумм используйте hardware wallet с проверкой транзакции на экране устройства.
9. Никогда не вводите seed-фразу на сайтах — даже если требуют «верификации».
10. Для обмена крипты на рубли — только проверенные оффлайн-обменники с офисом и репутацией.

Что делать, если уже стали жертвой drainer

1. Немедленно переведите оставшиеся активы на новый кошелёк с новой seed-фразой.
2. Отзовите все approve на скомпрометированном адресе (revoke.cash).
3. Зафиксируйте доказательства: хэш транзакции, адрес атакующего, URL фейкового сайта, скриншоты.
4. Сообщите в Chainalysis Reactor и Etherscan — адрес попадёт в чёрные списки.
5. Подайте заявление в Управление «К» МВД (киберпреступления) и в Центр Реагирования на компьютерные инциденты ФинЦЕРТ.
6. Не пользуйтесь «возвратными» сервисами — это второй уровень развода: «вернём ваши деньги за предоплату».

FAQ

Могут ли украсть крипту без моей подписи? В стандартном сценарии — нет. Drainer требует подписи транзакции. Исключение — если на устройстве установлен зловред (clipper, infostealer), но это уже другой класс атак.

Что такое permit2 и почему его боятся? Permit2 — стандарт Uniswap для off-chain подписей разрешений. Дрейнеры эксплуатируют его, потому что пользователь видит только сообщение, а не транзакцию, и подписывает по неведению разрешение на полный вывод токенов.

Защищает ли хардварный кошелёк от drainer? Защищает от кражи seed-фразы, но не от вашей собственной подписи. Если вы подтвердите вредоносную транзакцию на экране Ledger — деньги уйдут. Поэтому всегда читайте детали на экране устройства.

Безопасны ли клейм-сайты для airdrop? Большинство крупных дрейнерских кампаний 2024–2026 маскировались под клейм airdrop. Используйте только официальные ссылки из верифицированных аккаунтов проекта (Twitter Blue + checkmark не гарантия — аккаунты взламывают).

Может ли drainer украсть USDT с TRC20? Да. Несмотря на то что большинство drainer-кампаний нацелены на EVM-сети, существуют версии для TRON: пользователь подписывает разрешение TRC20 approve, и средства уходят на адрес атакующего.

Поможет ли VPN или антивирус? Нет. Drainer работает в браузере и эксплуатирует вашу подпись. Антивирус не видит подписания транзакции в кошельке.

Можно ли вернуть украденную крипту? В единичных случаях — да, если средства попали на централизованную биржу с KYC и удалось вовремя оповестить службу безопасности. В целом возврат маловероятен, особенно если активы прошли миксер.

Заключение

Drainer-скрипты — это эволюция фишинга, рассчитанная на массовое и тихое опустошение кошельков. Inferno Drainer, MS Drainer и десятки клонов сделали кражу крипты услугой по подписке: атакующему не нужны навыки разработчика — достаточно купить готовый набор и развернуть фейковый сайт. По данным Group-IB и Chainalysis, в 2026 году дрейнеры остаются одной из главных угроз для розничных держателей криптовалют.

Главные правила: использовать отдельный кошелёк для интерактива, читать каждую подпись, регулярно отзывать approve и не подключать основной кошелёк к подозрительным сайтам. А для конвертации крипты в рубли — выбирать офлайн-обменники, где нет рисков drainer, фейковых ссылок и сомнительных «airdrop».

Simple Exchange — безопасный обмен крипты в Нижнем Новгороде с офисом, без рисков P2P и онлайн-скама. https://obmen52.ru

---

Источники: Check Point Research (Inferno Drainer Reloaded, 2025), Group-IB Knowledge Hub, Scam Sniffer Annual Report 2025, Kaspersky Lab Blog, Recorded Future (Rublevka Team), Decrypt, Хакер.ру.