Что такое криптодрейнеры, чем они опасны и как от них защититься

В последнее время у криптомошенников набирает все большую популярность новый класс вредоносных инструментов: дрейнеры. В этом посте мы поговорим о том, что представляют собой криптодрейнеры, как они работают, почему они опасны — в том числе и для опытных пользователей — и, конечно же, как от них следует защищаться.

Что такое криптодрейнер (crypto wallet drainer)

Криптодрейнеры — они же дрейнеры криптокошельков, — это появившийся чуть больше года назад тип вредоносного ПО, который угрожает владельцам криптовалютных активов. Дрейнеры представляют собой программные комплексы, предназначенные для быстрого и автоматизированного опустошения криптокошельков — то есть вывода из них всех (или наиболее ценных) активов на кошельки злоумышленников.

В качестве примера такого рода ограбления рассмотрим историю с кражей 14 Bored Ape NFT общей стоимостью более миллиона долларов, произошедшую 17 декабря 2022 года. Тогда мошенники создали фейковый сайт реально существующей лос-анджелесской киностудии Forte Pictures и связались от ее имени с неким коллекционером NFT. Они рассказали ему о том, что снимают фильм, имеющий отношение к NFT. Далее они предложили коллекционеру лицензировать для этого фильма интеллектуальные права на один из принадлежащих тому NFT со скучающей обезьяной.

Для этого, по словам мошенников, требовалось подписать контракт на некой блокчейн-платформе Unemployd, якобы предназначенной для лицензирования интеллектуальной собственности, связанной с NFT. Однако после того как жертва одобрила сделку, оказалось, что на самом деле в процессе этой транзакции злоумышленникам за символическую плату в 0,00000001 ETH (около 1/1000 цента на тот момент) были отправлены все 14 принадлежащих жертве Bored Ape NFT.

Как выглядел запрос жертве на «подпись контракта» (слева) и что в действительности произошло в результате одобрения этой транзакции (справа). Источник

Данная схема в существенной степени полагалась на социальную инженерию — мошенники обрабатывали жертву более месяца с помощью переписки, звонков, фейковых юридических документов и так далее. Но центральным элементом этой кражи была вовремя подсунутая жертве на подписание транзакция, передававшая криптоактивы в собственность мошенников. Вот такого рода транзакции и являются основой дрейнеров.

Как работают криптодрейнеры

Актуальные в настоящее время дрейнеры помогают во многом автоматизировать работу по опустошению криптокошельков жертв. Во-первых, они позволяют узнать примерную стоимость хранящихся в кошельке криптоактивов и обнаружить среди них особенно ценные. Во-вторых, они умеют создавать транзакции и смарт-контракты, позволяющие быстро и эффективно выводить активы из кошелька жертвы. В-третьих, они обфусцируют мошеннические транзакции, то есть специально делают их максимально «мутными», чтобы по ним было сложно понять, что именно произойдет после одобрения.

Вооружившись дрейнером, злоумышленники создают фейковые страницы, которые притворяются сайтами тех или иных криптовалютных проектов. Часто для этого они регистрируют схожие домены, пользуясь тем, что сайты таких проектов обычно размещают в «модных» доменных зонах, похожих друг на друга.

Далее мошенники теми или иными способами заманивают своих жертв на эти сайты. Зачастую предлогами для этого становятся раздача монет (airdrop) или выпуск NFT (NFT minting) — эти модели вознаграждения активности пользователей популярны в криптомире, и злоумышленники широко этим пользуются.

Реклама в X (Twitter) фейковых эйрдропов с криптодрейнерами. Источник

Встречаются и совсем неожиданные схемы: например, недавно для привлечения пользователей на фейковый сайт злоумышленники использовали взломанный Twitter-аккаунт компании, занимающейся… блокчейн-безопасностью!

Реклама в X (Twitter) фейковых выпусков NFT с криптодрейнерами. Источник

Иногда для заманивания жертв на сайты-подделки мошенники размещают рекламу в социальных сетях или поисковиках. В последнем случае это позволяет перехватывать клиентов реальных криптопроектов, когда те ищут ссылку на нужный им сайт. Пользователи, не особенно присматриваясь, кликают по размещенной мошенниками рекламной ссылке, которая всегда отображается выше органической поисковой выдачи, и в итоге попадают на фейковый сайт.

Реклама в поиске Google со ссылками на мошеннические сайты с криптодрейнерами. Источник

Ну а далее ничего не подозревающим владельцам криптоактивов подсовывается на подпись подготовленная дрейнером транзакция. Это может быть как прямая отправка средств на кошельки злоумышленников, так и более хитрые варианты вроде передачи смарт-контракту прав на управление активами в кошельке жертвы. В любом случае, после одобрения вредоносной транзакции все ценные криптоактивы максимально быстро выводятся на кошельки злоумышленников.

Насколько опасны криптодрейнеры

Популярность дрейнеров у криптомошенников быстро растет. В недавно выпущенном исследовании мошенничества с использованием криптодрейнеров говорится о том, что за 2023 год от них пострадали более 320 000 пользователей, а суммарный ущерб составил немногим менее $300 миллионов. Среди зарегистрированных исследователями мошеннических транзакций более десятка были крупнее миллиона долларов. А максимальный улов злоумышленников за одну транзакцию составил аж $24 миллиона с небольшим!

Стоит отдельно отметить, что жертвами подобных мошенничеств становятся не только новички, но и опытные криптовалютчики. Так, недавно от дрейнера пострадал основатель стартапа, разрабатывающего криптокошелек Nest Wallet: мошенники использовали фейковый сайт с обещанием эйрдропа, чтобы увести у жертвы stETH на сумму около $125 000.

Как защититься от криптодрейнеров

Как видите, даже опытные пользователи попадаются на уловки криптомошенников, использующих дрейнеры. Поэтому обязательно следует принимать меры предосторожности и защищать свои криптовалютные активы, чтобы не стать очередной жертвой.

• Не кладите все яйца в одну корзину: старайтесь держать в горячих криптокошельках лишь часть средств, необходимую для повседневной работы с вашими проектами, а основные криптовалютные активы храните в холодных кошельках.
• Чтобы подстраховаться, используйте несколько горячих кошельков: один используйте для активного взаимодействия с ресурсами web3 (например, дроп-хантинга), в другом держите операционные средства для этих активностей, а полученную прибыль выводите на холодные кошельки. Да, вам придется оплачивать дополнительные комиссии за переводы между кошельками, зато из пустого кошелька для эйрдропов злоумышленники вряд ли смогут что-то украсть.
• Постоянно и многократно проверяйте, с какими именно сайтами вы взаимодействуете. Любая подозрительная мелочь — повод остановиться и внимательно перепроверить все еще раз.
• Не переходите по рекламным ссылкам в поисковиках, для перехода используйте только ссылки из органической выдачи — то есть те, рядом с которыми нет пометки «реклама».
• Внимательно проверяйте все детали транзакций.
• Используйте браузерные расширения-компаньоны для верификации транзакций. Они помогают идентифицировать неправомерные операции и подсказывают, что именно запрашивается в транзакции.
• И конечно же, обязательно установите надежную защиту на все устройства, на которых вы работаете с криптовалютными активами.

Как работает защита от криптоугроз в приложениях Kaspersky

Кстати, в приложениях Kaspersky есть многослойная защита от криптоугроз, поэтому владельцам крипты мы рекомендуем убедиться, что все основные и дополнительные функции защиты активированы и дополнительно изучить наши подробные инструкции по защите горячих и холодных криптокошельков. А еще при покупке подписки Kaspersky Premium вы получите промокод на дополнительную скидку на холодный кошелек Tangem для безопасного хранения ваших активов.