Вход

Взлом за 4 минуты: опытный трейдер DeFi потерял $6,5 млн из-за дрэйнера

«В мире Web3 самый большой риск исходит не от хакеров, а от одного опрометчивого клика. Даже ветераны могут стать жертвами за считанные секунды.»
— Хакан Унал, руководитель отдела безопасности Cyvers

В сентябре 2025 года произошёл один из самых шокирующих инцидентов в истории криптоиндустрии: кошелёк опытного пользователя DeFi, активного более 4,5 лет, был полностью опустошён на сумму свыше $6,5 миллиона. Атака была совершена с помощью так называемого wallet drainer — вредоносного ПО, которое эксплуатирует доверие пользователей к стандартным интерфейсам dApps и кошельков.

Как сообщает компания Web3 Antivirus, которая зафиксировала атаку, злоумышленники использовали поддельные подписи (malicious approvals), замаскированные под легитимные действия протоколов Lido и Aave. Жертва, не осознавая опасности, одобрила транзакцию, что дало хакерам полный доступ к её активам. Всего за несколько минут были похищены более $4 миллионов в stETH, значительные объёмы aEthWBTC и других токенов.

Как отметил Чарльз Гильем из Ledger: «Когда вредоносное ПО выглядит как обычное обновление, даже эксперт может нажать "подтвердить".»

🔍 Что такое wallet drainer: как работает цифровой вампир

Wallet drainer — это вид вредоносного программного обеспечения, разработанный для быстрого и массового кражи средств из криптокошельков. В отличие от взломов смарт-контрактов, дрэйнеры не атакуют код, а манипулируют самим пользователем.

Механизм атаки:

  1. Фишинговая ловушка: пользователь переходит на поддельный сайт, имитирующий популярный dApp (например, Uniswap или Lido).
  2. Запрос на подпись: ему предлагается подписать «разрешение» (permit) для использования сервиса.
  3. Маскировка под легальное действие: запрос выглядит как стандартное согласие на обмен или стейкинг.
  4. Получение прав на расходование: после подписи злоумышленник получает право переводить средства без дальнейшего подтверждения.
  5. Моментальный вывод: активы мгновенно перечисляются на адреса хакеров.

Эти атаки особенно эффективны, потому что кошелёк не блокирует такие действия — они технически корректны. Проблема в том, что пользователь не понимает, что он подписывает.

⚠️ Почему даже опытные пользователи становятся жертвами?

Инцидент с потерей $6,5 млн стал тревожным сигналом: опыт больше не является защитой. Даже те, кто торгует и инвестирует в DeFi с 2020 года, могут попасться на удочку.

🧠 Психология спешки

Пользователи привыкают к рутине: подключить кошелёк, увидеть запрос, нажать «Подтвердить». Эта автоматизация делает их уязвимыми перед хорошо продуманными фишинговыми сценариями.

👁️ Совершенная маскировка

Современные дрэйнеры используют:

  • Точные копии интерфейсов известных dApps.
  • Поддельные домены, отличающиеся одной буквой (typosquatting).
  • Поддельные расширения браузера (например, поддельный WalletConnect).

🔐 Ограниченность защиты кошельков

Большинство кошельков (MetaMask, Trust Wallet) не анализируют содержание подписей. Они показывают только хэш, который невозможно прочитать. Это даёт злоумышленникам свободу действий.

📱 Мобильные устройства — новая цель

Вредоносные приложения, распространяемые через Google Play и App Store, всё чаще используются для сбора данных и перехвата сессий.

Как сказал представитель Web3 Antivirus: «Атакующие больше не ищут уязвимости в контрактах. Они ищут уязвимости в человеческом поведении.»

🚨 Новые тренды: SaaS-дрэйнеры и AI-подделки

По данным аналитиков, рынок дрэйнеров становится всё более организованным и доступным.

💻 Drainer-as-a-Service (DaaS)

Как выявил AMLBot в апреле 2025 года, вредоносные скрипты теперь продаются по модели **SaaS** (Software-as-a-Service). Мошенники могут арендовать дрэйнер всего за $100 USDt в месяц, что делает атаки массовыми и дешёвыми.

🤖 Использование ИИ

Хакеры применяют искусственный интеллект для:

  • Генерации реалистичных фишинговых сайтов.
  • Создания поддельных отзывов и рейтингов.
  • Персонализации атак на основе поведения пользователя.

🔧 Расширения как вектор атаки

В августе 2025 года основной Ethereum-разработчик Зак Кол стал жертвой дрэйнера через вредоносное расширение для VS Code, связанное с платформой Cursor AI. Хотя ущерб был ограничен несколькими сотнями долларов, инцидент показал уязвимость даже среди создателей экосистемы.

Как отметил Виталик Бутерин: «Если ты можешь украсть миллион одним кликом, ты не будешь писать сложный эксплойт. Ты просто сделаешь кнопку красивее.»

📌 Как происходила атака на $6,5 млн: пошаговый разбор

Анализ Web3 Antivirus позволил восстановить цепочку событий:

  1. Жертва посетила поддельный сайт, имитирующий интерфейс крупного DeFi-протокола.
  2. Подключила свой кошелёк — старый, с долгой историей транзакций и значительными активами.
  3. Получила запрос на подпись, оформленный как «Обновление параметров стейкинга».
  4. Не провела детальную проверку и одобрила транзакцию.
  5. Через 2 минуты начался вывод средств.
  6. За 4 минуты было похищено более $6,5 млн.
  7. Средства были перемещены через несколько адресов и отправлены на Tornado Cash и другие миксеры.

Особую тревогу вызывает тот факт, что кошелёк был активен с 2020 года и считался безопасным благодаря длительному периоду без инцидентов.

🛡️ Как защититься: практические советы

Полностью исключить риск невозможно, но можно значительно его снизить.

🔐 Для всех пользователей

  • Никогда не подтверждайте подпись, не понимая её содержания.
  • Используйте адресные книги для сохранения доверенных контрактов.
  • Регулярно отменяйте неиспользуемые разрешения (revoke approvals) через Etherscan или Revoke.cash.
  • Устанавливайте только проверенные расширения из официальных магазинов.
  • Держите основные средства на аппаратном кошельке (Ledger, Trezor).

🔧 Для продвинутых пользователей

  • Используйте изолированные среды (виртуальные машины) для работы с новыми dApps.
  • Настройте мониторинг активности кошелька через сервисы вроде Blocknative или Tenderly.
  • Создавайте отдельные кошельки для тестирования и высокорисковых операций.

🏢 Для разработчиков и команд

  • Обучайте сотрудников основам кибербезопасности.
  • Не храните приватные ключи или seed-фразы в .env файлах.
  • Используйте air-gapped устройства для управления казначейством.
  • Внедряйте многоуровневую мультиподпись для всех операций с деньгами.

Как сказал Скотт Дьюк Коминерс из a16z: «Настоящий прогресс в безопасности — это когда пользователь узнаёт о риске до того, как нажал "далее".»

✅ Решения от Web3 Antivirus: защита на уровне транзакций

Компания Web3 Antivirus, разработанная PixelPlex, предлагает комплексные решения для борьбы с дрэйнерами.

🛡️ Для пользователей: браузерное расширение

Инструмент, который:

  • Симулирует транзакции перед подписью, показывая, что на самом деле будет выполнено.
  • Обнаруживает вредоносные разрешения и отравленные адреса.
  • Выдаёт предупреждения в реальном времени при подозрительной активности.

⚙️ Для dApps и платформ: Data API

Решение, которое позволяет интегрировать защиту прямо в интерфейс:

  • Встроенные проверки на уровне транзакционного потока.
  • Блокировка рискованных взаимодействий до их завершения.
  • Предоставление доказательств для предупреждений, чтобы пользователи понимали угрозу.

Как заявила команда Web3 Antivirus: «Наша цель — сделать так, чтобы ни один пользователь не потерял средства из-за невнимательности.»

🌐 Контекст: рост числа атак в 2025 году

Инцидент с $6,5 млн — не единичный случай, а часть масштабной тенденции.

📉 Объём потерь

По данным Hacken, за первое полугодие 2025 года общие потери в индустрии превысили $3,1 миллиарда. PeckShield сообщает о росте — до $163 млн в августе (рост на 15% по сравнению с июлем).

🎯 Цели атак

Хакеры всё чаще нацеливаются на:

  • Опытных трейдеров с большими балансами.
  • Разработчиков и менеджеров проектов.
  • Команды с доступом к казначейству.

🇿🇲 Замбия: $300 млн мошенничество

В этом же месяце Интерпол сообщил о разоблачении сети, которая через поддельные мобильные приложения похитила $300 миллионов у 65 000 пользователей.

🇬🇧 Великобритания: $23 млн

Стартап Lykke был закрыт после кражи $22,8 млн, которую приписывают северокорейской группе Lazarus.

Как отметил Эллисон Пирсон из Europol: «Когда мошенничество достигает размеров государственного бюджета, оно перестаёт быть преступлением. Это война.»

✅ Выводы: безопасность начинается с одного клика

Атака, стоившая $6,5 млн, — это не просто история о потере денег. Это предупреждение всей индустрии о том, что главная уязвимость — это человек.

Ключевые выводы:

  • Опытный пользователь DeFi потерял $6,5 млн за 4 минуты из-за дрэйнера.
  • Атака была совершена через поддельное разрешение (malicious approval).
  • Жертва использовала кошелёк более 4,5 лет и считалась надёжной.
  • Drainer-as-a-Service и ИИ делают атаки массовыми и доступными.
  • Защита требует новых решений: симуляции транзакций, revocation tools, education.
  • Будущее безопасности — в проактивной защите на уровне подписи.

Как сказал Андреас Антонопулос: «В DeFi, ты не теряешь деньги из-за хакера. Ты теряешь их из-за того, что забыл задать вопрос.»

Пока мы строим децентрализованные финансы, злоумышленники строят децентрализованные атаки. И если мы хотим, чтобы Web3 выжил, необходимо изменить культуру безопасности: от реактивной к проактивной, от «надеюсь, что всё ок» к «убедился, что всё ок». Потому что в мире, где один клик стоит миллионы, каждый пользователь должен быть своим собственным защитником.

20.09.2025, 02:53
Новости