Drainer скрипты в DeFi: механика атак и защита кошелька

Каждый день в DeFi хакеры выкачивают миллионы долларов через drainer скрипты. В октябре 2024 только один фишинг-сайт украл $58 млн за месяц. Если ты взаимодействуешь с протоколами — эта информация может спасти твои средства. Drainer («сливщик») — это вредоносный скрипт, который получает доступ к твоему кошельку и перемещает все ценные активы на адрес мошенника. В отличие от обычного взлома, тут тебя обманом заставляют подписать транзакцию самостоятельно.

Что такое drainer скрипт — простыми словамиDrainer работает по простой схеме: ты заходишь на поддельный сайт DeFi протокола, подключаешь кошелек для «обычного» действия (swap, claim, mint), а скрипт подсовывает совсем другую транзакцию.

Данные актуальны на момент написания. Проверяйте текущие показатели на defillama.com. Вместо безобидного approve на $100 для swap, ты подписываешь:

• Approve на весь баланс токена (type(uint256).max)- setApprovalForAll для всех NFT- Permit с неограниченными правами- Прямые transferFrom на адрес мошенникаГлавное коварство: транзакция выглядит как обычная. MetaMask покажет знакомый интерфейс, газ будет адекватный. Но в деталях — совсем другой contract и функция.

Как это работает под капотомКлассический drainer состоит из трех компонентов:

Frontend-ловушка: Точная копия популярного DeFi сайта. Код интерфейса часто украден полностью, меняется только адрес контракта. Домен регистрируют похожий: uniswap-app.com вместо app.uniswap.org. Malicious contract: Смарт-контракт мошенника, который принимает твои токены. Может выглядеть как обычный DEX router, но все approve/transfer ведут на кошелек хакера. Иногда используют proxy-контракты для маскировки. Backend для мониторинга: Отслеживает подключенные кошельки, анализирует балансы в реальном времени. Если видит крупную сумму — сразу формирует транзакцию на полный слив. Продвинутые drainer'ы научились обходить популярные кошельки:

• Для MetaMask — показывают поддельную страницу подтверждения- Для WalletConnect — перехватывают JSON-RPC запросы- Для Ledger — маскируются под известные DApps в белом спискеНовое поколение drainer'ов использует multicall для одной транзакции на весь кошелек. За один подпись выводят USDC, ETH, все NFT и даже stake positions.

Реальные примеры использования**Кейс 1: Fake Uniswap (сентябрь 2024)**Мошенники создали точную копию Uniswap на домене uniswap-rewards.com. Предлагали claim «ретроактивного airdrop» UNI токенов. За две недели украли $12.3 млн у 4,800 пользователей.

Схема: жертва подключала кошелек, видела «баланс» 500 UNI для claim. При подписи транзакции approve получал не токены, а полный доступ к USDC балансу. **Кейс 2: NFT mint drainer (октябрь 2024)**Поддельный сайт популярной NFT коллекции собрал 2,400 ETH за mint. Пользователи думали, что минтят NFT за 0.08 ETH, но подписывали setApprovalForAll на все свои NFT коллекции. Особенность: drainer анализировал OpenSea API и сначала красл самые дорогие NFT. Blue chip коллекции уводили в течение минуты после approve. Кейс 3: DeFi yield farming ловушкаФейковый yield farming протокол обещал 45% APY на USDC. Сайт выглядел профессионально, даже TVL показывали $28 млн (через поддельные oracle). Механика: при попытке deposit скрипт запрашивал permit signature для «оптимизации газа». В реальности permit давал неограниченные права на все ERC-20 токены в кошельке. Потери составили $8.7 млн за три дня. Кейс 4: Cross-chain bridge подделкаМошенники склонировали интерфейс Arbitrum bridge, но с drainer контractом вместо настоящего моста. Пользователи пытались перенести токены на L2, но средства уходили на кошелек хакеров. Итог: $15.2 млн украдено за месяц. Drainer был особенно эффективен, потому что bridge операции обычно требуют крупных approve amounts.

Ограничения и подводные камниDrainer скрипты не всесильны. У них есть технические ограничения:

Не могут красть без подписи: Блокчейн требует твоего explicit consent. Если ты не подписал транзакцию — средства в безопасности. Hardware кошельки защищают лучше всего. Работают только с Web3 подключением: Если ты не подключал кошелек к сайту — drainer бессилен. CEX аккаунты и cold storage недоступны. Ограничены gas limits: Сложные операции (множественные NFT transfers) могут не поместиться в один блок. Иногда drainer крадет частично. Основные признаки drainer сайтов:

• Домен отличается от официального (дополнительные символы, другая зона)- Нет HTTPS или неправильный SSL сертификат- Слишком хорошие условия (40%+ APY, бесплатные NFT, огромные airdrops)- Срочность («осталось 2 часа», «только сегодня»)- Просят approve больше, чем нужно для операцииПроблема в том, что современные drainer'ы становятся изощреннее. Некоторые работают через legitimate контракты (используют flashloans), другие имитируют популярные protocols настолько точно, что даже опытные пользователи попадаются.

Мнение экспертаЗа три года работы в DeFi security видел эволюцию drainer'ов от примитивных скриптов до сложных multi-stage атак. Тренд неутешительный — хакеры становятся профессиональнее быстрее, чем пользователи учатся защищаться.

Особенно опасны social engineering кампании. Мошенники покупают Twitter аккаунты с историей, создают fake GitHub repositories, даже публикуют «аудиты» своих drainer контрактов. В 2024 средний ущерб от одной drainer кампании вырос в 3.2 раза по сравнению с 2023. Прогноз на 2025: ждите AI-powered drainer'ов, которые адаптируют интерфейс под конкретного пользователя в реальном времени. Машинное обучение поможет хакерам точнее имитировать популярные DApps и обходить защиту кошельков. Парадокс: чем удобнее становятся Web3 кошельки, тем легче пользователям совершить роковую ошибку. One-click transactions и gasless transactions снижают барьер входа не только для honest users, но и для жертв мошенников.

ВыводыDrainer скрипты — главная угроза для DeFi пользователей в 2024-2025. Технически они используют легитимные механизмы блокчейна (approve, permit, multicall), но с malicious намерениями.

Золотое правило защиты: всегда проверяй адрес контракта и точное название функции перед подписанием. Один лишний символ в domain name может стоить всего портфеля. Лучшая защита — hardware кошелек + внимательность. Ledger или Trezor заставят тебя дважды подумать перед approve на крупную сумму. А cold storage для основных средств снизит потенциальный ущерб до минимума. Помни: если протокол обещает нереальную доходность или требует срочных действий — скорее всего, это ловушка. В DeFi нет бесплатного сыра, особенно если его предлагают незнакомые на вид сайты.