Inferno Drainer и скрипты-дрейнеры: механизм опустошения кошельков и защита

В мире Web3 и цифровых активов появилась новая, крайне опасная категория угроз — скрипты-дрейнеры. Эти специализированные вредоносные программы, такие как печально известный скам Inferno Drainer и его аналоги, способны обнулить баланс вашего криптокошелька за считанные секунды, получив всего одну подпись на транзакцию. Их деятельность превратилась в многомиллионную индустрию киберпреступности, а жертвами становятся как новички, так и опытные участники рынка. Понимание принципов работы этих механизмов, знание их типичных схем и умение распознавать угрозу до совершения рокового действия — критически важные навыки для сохранения своих активов. Эта статья глубоко погружается в технические детали работы дрейнеров, анализирует реальные кейсы их применения и предлагает практическую систему защиты.

Суть явления: что такое скрипт-дрейнер

Скрипт-дрейнер (от англ. to drain — осушать, опустошать) — это вредоносный код, основная функция которого заключается в несанкционированном выводе всех криптоактивов из кошелька жертвы. В отличие от классического взлома с кражей сид-фразы или приватного ключа, дрейнеры действуют более изощрённо. Они не крадут ваши главные ключи от всего кошелька. Вместо этого они выманивают у владельца кошелька ограниченное разрешение на выполнение конкретных операций с активами. Это разрешение оформляется через подпись специальной транзакции, которая внешне может выглядеть как рутинное действие в мире DeFi или NFT.

Ключевая опасность и особенность скриптов-дрейнеров заключается в их легитимности с точки зрения блокчейна. Полученная подпись является юридически (в контексте смарт-контрактов) действительным согласием на перевод средств. Блокчейн не может отличить эту подпись, данную в результате обмана, от подписи, данной сознательно для честного взаимодействия с децентрализованным приложением (dApp). Таким образом, злоумышленники используют саму архитектуру доверия Web3 против её пользователей.

Inferno Drainer стал одним из самых нашумевших и успешных с коммерческой точки зрения проектов в этом теневом сегменте. Он функционировал как сервис (Drainer-as-a-Service), который технические мошенники могли арендовать для проведения своих атак. Создатели Inferno Drainer предоставляли клиентам (дропперам) готовый инструментарий, инфраструктуру для фишинговых сайтов и поддержку, забирая себе процент от украденных средств. За время своего существования эта сеть вывела сотни миллионов долларов, демонстрируя высокий уровень организации киберпреступного бизнеса.

Эволюция угрозы: от фишинга к сложным социальным инженерным атакам

История дрейнеров неразрывно связана с развитием фишинга в криптосфере. Если раньше типичная атака заключалась в попытке выманить сид-фразу через фальшивую страницу восстановления кошелька MetaMask, то современные скрипты для опустошения кошельков действуют на более высоком уровне.

Первая волна была примитивной: пользователя просили «подтвердить кошелёк» или «пройти верификацию», вводя секретную фразу на поддельном сайте. Это работало только против неопытных пользователей.

Вторая волна, к которой относится и Inferno Drainer, использует интерактивность Web3. Жертве предлагают совершить действие, имеющее логичный контекст: заминтить (создать) лимитированный NFT, получить аирдроп долгожданного токена, участвовать в пресейле (предварительной продаже) популярной коллекции, подключиться к новой прибыльной DeFi-ферме или подтвердить владение кошельком для «белого списка». Все эти действия требуют подписи транзакции. Пользователь, ожидая выгоды, подписывает её, даже не вчитываясь в детали, которые смарт-контракт запрашивает в окне его кошелька.

Третья, формирующаяся волна, включает в себя ещё более сложные схемы. Среди них — атаки на уровне протокола, использование уязвимостей в кросс-чейн мостах, компрометация легитимных фронтендов dApp-приложений и таргетированные атаки (spear-phishing) на крупных держателей через поддельные предложения об инвестициях или партнёрстве. Контекст атаки становится безупречным, а сайты-ловушки технически неотличимы от настоящих.

Как работает механика «одной подписи»: технический разбор

Чтобы понять, как одна подпись опустошает кошелёк, нужно разобраться в двух ключевых концепциях блокчейна Ethereum и совместимых сетей (EVM): транзакции (transaction) и подписи (signature) для смарт-контрактов.

Обычная транзакция vs. Подпись для контракта

1. Обычная транзакция на перевод нативных монет (ETH, BNB, MATIC) или стандартных токенов (ERC-20).

   • Что делает: явно указывает получателя и сумму.

   • Что видит пользователь в кошельке (например, MetaMask): «Отправить 1 ETH на адрес 0x123…».

   • Риск: понятен и прозрачен. Пользователь точно знает, что он отправляет и кому.

2. Разрешение (approve) для токенов ERC-20.

   • Что делает: даёт стороннему смарт-контракту право распоряжаться определённым количеством ваших токенов. Это необходимо для работы DEX (децентрализованных бирж) типа Uniswap: чтобы совершить своп, вы сначала разрешаете контракту пула забирать ваши USDT.

   • Что видит пользователь: «Разрешить контракту 0xabc… использовать ваши USDT? Лимит: Unlimited (Бесконечно)».

   • Риск: пользователь может не обратить внимание на адрес контракта и выдать разрешение мошенническому контракту. Классическая уязвимость.

3. Подпись произвольных данных (sign) или транзакция для выполнения вызова контракта (contract interaction).

   • Что делает: подписывает сообщение или вызывает функцию чужого смарт-контракта. Это самый гибкий и потому самый опасный тип.

   • Что видит пользователь: Зашифрованный шестнадцатеричный код (hex data) или общее сообщение «Подписать сообщение»/«Подтвердить транзакцию». Детали спрятаны внутри этого data-поля.

   • Именно здесь кроется ловушка дрейнеров. Внутри этой, на первый взгляд, безобидной транзакции может содержаться вызов функции permit (для токенов стандарта ERC-2612), setApprovalForAll (для NFT ERC-721) или прямой вызов мультикаллового контракта-дрейнера.

Анатомия атаки Inferno Drainer и подобных скриптов

1. Приманка (Bait). Мошенник создаёт идеальный контекст: фишинговый сайт, копирующий дизайн и URL легитимного проекта, пост в Twitter от клона аккаунта известной личности, сообщение в Discord о выигрыше в приватном розыгрыше. Предложение выглядит срочным и выгодным.

2. Взаимодействие (Interaction). Жертва заходит на сайт и нажимает кнопку «Mint», «Claim Airdrop», «Verify Wallet». Сайт подключается к кошельку жертвы через Web3-провайдер (как и любой честный dApp).

3. Запрос на подпись (Signature Request). Вместо простой транзакции на минт, кошелёк (MetaMask, Trust Wallet и т.д.) выдаёт окно с запросом на подпись. Текст может быть расплывчатым: «Подпишите, чтобы подтвердить владение» или «Подпишите для верификации». Внутри этой подписи скрыт вызов вредоносного смарт-контракта.

4. Слив средств (Drain). Получив подпись, скрипт-дрейнер мгновенно исполняет закодированную в ней логику. Эта логика может включать:

   • Выдачу разрешения на все токены ERC-20 жертвы (включая стейблкоины) адресу злоумышленника.

   • Выдачу разрешения на все NFT жертвы.

   • Прямой перевод нативных монет (ETH, Polygon) на адрес дроппера.

   • Сложную последовательность действий (мультикалл): обмен одних активов на другие через DEX и их последующий вывод.
     Весь процесс занимает несколько блоков в сети, то есть секунды.

5. Отмывание (Laundering). Украденные средства немедленно отправляются через миксеры (например, Tornado Cash), кросс-чейн мосты или обмениваются на другие активы, чтобы затруднить отслеживание.

Распознавание угрозы: практическое руководство по детектированию дрейнеров

Защита от аналогов Inferno Drainer начинается с выработки здоровой паранойи и внимания к деталям. Ниже — пошаговая система проверок.

Шаг 1: Анализ источника предложения

• URL-адрес. Всегда вручную проверяйте адресную строку. Мошенники используют homograph-атаки (замена букв на визуально похожие из другого алфавита, например, «е» на «е» кириллическое), добавляют лишние дефисы или слова (opensea-io.com вместо opensea.io). Всегда пользуйтесь проверенными закладками, а не поисковыми ссылками.

• Аккаунты в соцсетях. Проверяйте официальные ссылки на сайте проекта. Аккаунт в Twitter должен быть верифицирован (синяя галочка), иметь долгую историю и много подписчиков. Обращайте внимание на недавно созданные аккаунты с малым количеством постов.

• Контекст. Если вам в личные сообщения Discord или Telegram пишет незнакомец с «эксклюзивным предложением» — это почти всегда скам. Официальные команды не рассылают индивидуальные предложения о минте или аирдропе через DM.

Шаг 2: Детальная проверка транзакции в кошельке

Это самый важный этап, который пользователи часто пропускают в спешке.

• Тип запроса. Насторожитесь, если действие, которое должно быть простым минтом (платной транзакцией), требует «подписи» (Sign). Это первый красный флаг.

• Расшифровка данных транзакции. Современные кошельки (MetaMask, Rabby, BlockWallet) имеют встроенные средства анализа рисков. Они могут предупредить, что подпись ведёт к выдаче разрешений или взаимодействию с подозрительным контрактом.

  • В MetaMask: нажмите на синий значок «шестерёнки» в окне подтверждения транзакции, чтобы увидеть детали вроде «hex data». Изучите, что там.

  • Используйте специализированные расширения для проверки, такие как Wallet Guard или Harvey. Они в реальном времени анализируют запросы на подпись и блокируют известные дрейнеры.

• Чтение того, что вы подписываете. Если кошелёк показывает предупреждение вроде «This signature will give permission to access your funds» — немедленно отмените операцию. Никогда не игнорируйте красные или жёлтые предупреждения.

Шаг 3: Проверка смарт-контракта

• Адрес контракта. Скопируйте адрес контракта, с которым вас просят взаимодействовать, и вставьте его в блокчейн-эксплорер (Etherscan, Polygonscan, BscScan).

  • Проверьте дату создания. Контракты-дрейнеры, как правило, создаются за несколько дней или часов до атаки.

  • Проверьте «Источник» (Source Code). Если контракт не верифицирован (нет исходного кода), это огромный красный флаг. Никогда не взаимодействуйте с неверифицированными контрактами.

  • Изучите историю транзакций (Transactions). Если вы видите массовые переводы разных токенов с множества адресов на один, а затем их агрегацию и вывод — это явный признак работы дрейнера.

• Базы данных угроз. Существуют сайты и списки, куда сообщают о фишинговых сайтах и контрактах. Быстрая проверка адреса или URL в подобных ресурсах может спасти ваши средства.

Шаг 4: Проактивные меры безопасности

• Аппаратные кошельки (Ledger, Trezor). Они не предотвратят подписание вредоносной транзакции, но требуют физического подтверждения на устройстве, что даёт вам дополнительное время на раздумье и проверку данных на экране самого аппаратного кошелька.

• Использование хардвер-кошельков для хранения. Это золотой стандарт. Держите основную сумму активов на адресе, который никогда не используется для взаимодействия с dApp. Для активного использования создайте отдельный «расходный» кошелёк с небольшим балансом.

• Регулярный аудит разрешений (approvals). Периодически используйте такие сервисы, как Etherscan’s Token Approval Checker, Revoke.cash или Rabby Wallet, чтобы просмотреть и отозвать ненужные разрешения, выданные контрактам.

• Отказ от Unlimited Approvals. При работе с DEX всегда устанавливайте лимит разрешения, равный сумме вашей текущей сделки, а не «бесконечность» (Unlimited).

Кейсы и примеры: как именно происходили атаки

Кейс 1: Фишинг под известную NFT-коллекцию.
Мошенники запустили сайт, полностью имитирующий анонс новой коллекции от создателей популярного проекта Bored Ape Yacht Club. Через поддельный аккаунт в Twitter была распространена ссылка. Жертвы, поверившие в эксклюзивный пресейл, подписывали транзакцию для «внесения в белый список». Эта подпись содержала вызов setApprovalForAll для всех NFT жертвы. В результате с адресов доверчивых пользователей были выведены десятки ценных NFT на сумму в сотни тысяч долларов.

Кейс 2: Ложный аирдроп токена ARB.
После долгожданного аирдропа токена ARB в сети Arbitrum появились сотни фишинговых сайтов, предлагавших «дополнительный» или «пропущенный» аирдроп. Пользователи, вводя свой адрес на сайте, видели «причитающуюся» им сумму и нажимали кнопку Claim. Запрос на подпись, который они получали, давал разрешение на все токены ERC-20 в их кошельке в сети Arbitrum. В результате терялись не только «полученные» ARB, но и все стейблкоины и другие активы.

Кейс 3: Взлом аккаунта популярного блогера.
Злоумышленники взломали Twitter-аккаунт известного крипто-инфлюенсера. От его имени они разместили твит с лимитированным предложением: «Мы раздаём 5000 ETH нашим подписчикам. Перейдите по ссылке, чтобы заявить права». Ссылка вела на профессионально сделанный сайт с таймером обратного отсчета. Тысячи подписчиков, веря авторитету блогера, подписали смертельную транзакцию и потеряли все средства из кошельков, подключённых к сайту.

Выводы и итоги: культура безопасности как главная защита

Борьба с скриптами-дрейнерами типа Inferno Drainer — это не только вопрос технологий, но и вопрос личной дисциплины и культуры безопасности. Никакой самый совершенный кошелёк не спасёт пользователя, который слепо подписывает все запросы в погоне за быстрой выгодой.

Итоговые правила можно свести к нескольким незыблемым принципам:

1. Подпись = Ответственность. Относитесь к каждой запрашиваемой подписи как к подписи под юридическим документом. Вы должны понимать каждый её пункт.

2. Контекст решает всё. Если предложение слишком хорошее, чтобы быть правдой, и требует срочных действий — это гарантированно ловушка.

3. Верификация — ваша работа. Двойная, а лучше тройная проверка URL, контрактов и аккаунтов в соцсетях должна войти в привычку.

4. Разделение рисков. Никогда не храните все активы на одном «горячем» кошельке, используемом для взаимодействия с dApp.

5. Используйте инструменты. Воспользуйтесь защитными расширениями для браузера, регулярно проверяйте и отзывайте выданные разрешения.

Экосистема Web3 построена на идее само-суверенитета и личной ответственности. Это означает, что защита ваших активов лежит в первую очередь на вас. Понимание методов работы современных цифровых грабителей — это первый и самый важный шаг к созданию неприступной крепости для ваших криптоактивов.