Внезапно пропали деньги с криптокошелька? Здесь поработал криптодрейнер!

Да, технологии не стоят на месте, и мошенники становится более изобретательными, придумывая все более оригинальные способы обмана. Если раньше мошенники больше ориентировались на новичков, то современные способы позволяют увести криптоактивы даже у профессионалов. Итак, речь сегодня пойдет о криптодрейнерах (crypto wallet drainer).

Дрейнер (drainer, «осушитель») – скрипт или malware ПО, который автоматически выводит средства с вашего кошелька на сторонний адрес. Эти скрипты могут быть встроены в вредоносные веб-сайты, фишинговые сообщения, или маскироваться под законное программное обеспечение.

Как же дрейнер получает доступ к деньгам? 

Чаще всего заражение происходит 3 способами:

1. Через поддельный сайт;

2. Через скачивание приложения со встроенным дрейнером

3. Через загрузку вируса с дрейнером.

Поддельный сайт. Вы хотите продать свой NFT. Вы нашли хороший маркетплейс, DeFi проект. Как и в первом случае, сайт выглядит очень прилично. Или же это может быть копия известных маркетплейсов (Uniswap, Rarible,  OpenSea, Metamask, Premint), но вы, конечно же, этого не заметили. Вы аутентифицируетесь на площадке. Теперь нужно дать разрешение площадки на подключение кошелька (Wallet Connect) для зачисления денег, вырученных от продажи ваших NFT. Вот как раз в момент подключения кошелька передаете право управления токенами в вашем кошельке. Опять же с вашей стороны все выглядит как простое Wallet Connect.

Зараженное приложение. В интернете вы наткнулось на информацию о крутом проекте, который обещает раздать жирный дроп. Проверяете сайт проекта, он выглядит очень прилично, доменное имя похоже на нормальное, есть даже сертификат SSL — безопасность 100%. Вам предлагается скачать DApp приложение проекта для получения дропа.  Это может быть кошелек, визуально очень похожий на оригинальный кошелек (Trust wallet, Exodus, Metamask т.д.). Это может быть малоизвестный софт, DeFi приложение, где бонусом обычно идет дрейнер. Проект предлагает привязать ваш кошелек  для авторизации, и, конечно же, для получения аирдропа после начала раздачи. Программе нужно запросить апрув на управление этими токенами. Вы конечно же не поймете, что передаете право управления токенам, с вашей стороны это выглядит как банальная авторизация, а на самом деле вы подписали передачу прав на управление вашими активами в кошельке.

Ссылка с вирусом. Вам на почту пришло письмо: «На ваша имя отправлены средства, для их получения перейдите по ссылке», или «Все входящие письма заблокированы! Для разблокировки почтового ящика, перейдите по ссылке». Вы переходите по ссылке, начинает что-то загружаться. И ву-а-ля, вы счастливый обладатель дрейнера.

Как вы заметили, и в первом и втором случае мошенники используют Wallet Connect. Но процедура подсоединения кошелька абсолютно стандартная и даже необходимая при работе на NFT-платформах и с DeFi-сервисами.  Каким же подключить кошелек при этом не передать права управления токенам? А для этого нам придаться разобраться с функциями смарт-контрактов.

Функции смарт-контрактов.

Функции смарт-контрактов занимают первое место в рейтинге инструментов мошенников и по статистике Chainalysis, 89% всех атак приходится на DeFi-протоколы, в особенности на кроссчейн-приложения. Смарт-контракты — это по сути инструкции для блокчейна. Они позволяют одобрять определённое взаимодействие между нашими кошельками и посредниками по типу NFT-платформ и DeFi-сервисов. Смарт-контракты определяют то, как кошелёк пользователя будет работать с платформой или сервисом. 

Основные функции, которые используются мошенники для вывода всех средств с вашего кошелька – это функции SetApprovalforAll , SafeTransferFrom и SendEth.

Функция SetApprovalforAll чаще всего появляется при выставлении своих NFT на продажу в рамках определённого маркетплейса. Эта функция предоставляет разрешение торговой платформе перемещать проданные вами NFT из вашего кошелька на кошелек покупателя на основе реализованного смарт-контракта. Звучит логично, однако здесь один нюанс.  Функция SetApprovalforAll предоставляет доступ не только к NFT, но и ко всем ERC20-токенам. К тому же такое соглашение бессрочно и относится ко всем токенам, которые в будущем окажутся на вашем адресе. В данном случае мы утверждаем, что позволяем данной платформе делать всё, что она захочет с нашими токенами. И в если мы зашли на сомнительный маркетплейс то подписывая данную функцию мы предоставляем ей неограниченный доступ к нашим средствам.

Вот как выглядит потверждение финкции setApprovalForAll. 

Дрейнер может “подсунуть” вам на подпись это разрешение под видом Wallet Connect или же Авторизации. Но единственной ситуацией, которая требует одобрения данного разрешения, является листинг NFT на соответствующем маркетплейсе и взаимодействие с децентрализованной биржей. И это действительно логично, поскольку перечисленные платформы нуждаются в разрешении для перемещения токенов с вашего кошелька при продаже или обмене. Однако за пределами перечисленных сценариев данная функция должна вызывать обеспокоенность.

То есть:

Минтите NFT? - Этой функции быть не должно.

Покупаете NFT? - Этой функции быть не должно.

Регистрируетесь в будущем проекте? - Этой функции тоже быть не должно.

Финкциия SafeTransferFrom так же используется для листинга NFT на маркетплейсе, когда вы хотите продать NFT или, когда вы хотите перевести все ваши NFT с одного кошелька на другой. Финкция SendEth требуется при переводе ETH между собственными кошельками, при покупке монет и токенов на определённом маркетплейсе, а также при минтинге собственного NFT. Во всех остальных случаях появление данной функции должно насторожить.

Твиттер кишит ссылками на фейк дропы/минты/лаунчпады, где бонусом обычно идет дрейнер.

Какие сети чаще всего подвержены подобным атакам? Это сети, которые  работают на EVM-совместимых блокчейнах (EVM -Ethereum Virtual Machine: Ethereum (ETH), Arbitrum, Optimism и Polygon (MATIC), Binance Smart Chain (BSC), Avalanche C-Chain, Кардано. То есть владельцам ETH, BNB, MATIC и т.д. стоит быть предельно внимательным при работе с кроссчейн-приложениями и с тем, какие разрешения для них вы подписываете. 

Дрейнеры могут подразделяться на разные категории:

• Работающие по определенным кошелькам: Metamask, TrustWallet, CoinBase, SafePal, Exodus, Coin98 и тд.;
• Специализирующихся на разных блокчейн сетях: ETH, BSC, Polygon, AVAX, SOL, Оptimism, Аrbitrum и тд.;
• Работающие на основе разных методов. Signature, Transfer, Permit и тд.

Заражение вирусом.

Мы перешли к последнему пункту - загрузка вируса с дрейнером. Если вирус попадает на ваше устройство, запускается скрипт, который анализирует ваш кошелек, узнает каких активов у вас больше всего и далее, как только вы захотите вывести средства с вашего кошелька, программа формирует две транзакции: пользовательскую и дрейн. Человек нажимает подписать транзакцию, думая, что подписывает одну, но на самом деле подписывает сразу обе и они отправляются одна за другой. То есть программа нарисовала для вас нужную ей картинку вы подписали вместо одной две транзакции сразу.

Цена дрейнера коллеблется от 1 500$ до 10 000$ и реализуются они на разных форумах в даркнете или в тематических сообществах.

Уберечься от дрейнера вам могут только базовые правила цифровой гигиены:

• Осторожность при скачивании: Не загружайте и не устанавливайте программное обеспечение с непроверенных источников.
• Использование антивирусного ПО: Регулярно обновляйте антивирусное программное обеспечение и проводите сканирование системы.
• Использование аппаратных кошельков: Хранение криптовалюты на аппаратных кошельках, которые не подключены к Интернету, может защитить от онлайн-атак.
• Осторожное взаимодействие с ссылками и вложениями: Не переходите по подозрительным ссылкам и не открывайте вложения в электронных письмах, если не уверены в их безопасности.

Следуя этим рекомендациям, можно значительно снизить риск стать жертвой дрейнера и других форм кибермошенничества в сфере криптовалют.

Удачи!