В 2024 году мошенники вынесли у криптопользователей $2,2 млрд только через фишинг. Это данные Chainalysis. По отчётам Scam Sniffer, около $494 млн из этой суммы пришлось на wallet drainers — класс атак, который вообще не существовал ещё в 2022. Поддельные кошельки и подписи стали индустрией с собственными SaaS-сервисами, маркетинговыми отделами и долей оборота 20–30% разработчику drainer’а. Разберём, как это устроено сейчас и как не оказаться следующей строкой в статистике.

Что такое фейковый криптокошелёк

Если коротко, фейковый кошелёк — это любой инструмент, который притворяется настоящим, чтобы получить доступ к вашим средствам. Это может быть приложение в магазине, расширение для браузера, физическое устройство в коробке с пломбой или сайт-двойник. Конечный результат один: мошенник либо получает ваш seed-фразу напрямую, либо вынуждает вас подписать транзакцию, которая отдаёт контроль над активами.

Ключевое отличие 2024–2026 годов от старых атак — seed-фразу у вас почти не просят. Это слишком очевидно. Современный подход тоньше: вам показывают красивый интерфейс и предлагают подписать «одобрение», «соединение с кошельком» или «получение airdrop». Подписали — всё, активы ушли.

5 типов поддельных кошельков

Угрозы расползлись по всем точкам входа в крипту.

• Поддельные мобильные приложения. Загружаются в App Store и Google Play под видом MetaMask, Trust Wallet, Phantom. Магазины модерируют, но не идеально — в 2024 году было несколько громких кейсов с проникновением клонов в топ поиска.
• Фишинговые web-кошельки. Сайты-двойники с похожим доменом: metamask–wallet.com, trustwalIet.com (с заглавной i вместо l), phantom-app.io. Часто продвигаются через Google Ads и Twitter-рекламу.
• Заражённые расширения браузера. Самая опасная категория: расширение получает доступ ко всем вкладкам и может подменять адреса в буфере обмена, инжектить подписи, перехватывать транзакции.
• Поддельные аппаратные кошельки. Физические «Ledger» и «Trezor» из неофициальных каналов. Внутри — предзаписанный seed или модифицированный чип, который передаёт ключи через скрытый канал.
• Фейковые «холодные» кошельки-приманки. Жертве дают «готовый» кошелёк с seed-фразой и просят туда положить деньги. Атакующий ждёт пополнения и сразу выводит средства.

Wallet drainers — главная угроза 2024–2026

Это новая индустрия, которой пять лет назад не существовало. Drainer — это вредоносный скрипт, встроенный в фишинговую страницу. Когда жертва подключает кошелёк, drainer анализирует балансы и составляет последовательность транзакций для вывода максимально дорогих активов первыми. Всё происходит за секунды.

Большинство drainer’ов работают по модели Drainer-as-a-Service (DaaS): разработчик создаёт софт и сдаёт его в аренду фишерам за 20–30% от украденного. Никакого «тёмного компьютерного гения» за каждой атакой — обычный SaaS-бизнес с маркетингом, поддержкой и обновлениями.

Таблица 1. Крупнейшие wallet drainers 2023–2025

Как drainer попадает на жертву? Через рекламу в Google Ads, фейковые airdrop-объявления в Twitter/X, ссылки в Telegram-чатах. Самый частый сценарий 2024 — жертва ищет в Google «Uniswap», кликает на платную рекламу сверху выдачи (мошенническую), подключает кошелёк, подписывает «соединение» — и теряет всё.

Approval phishing: почему у вас не просят seed

Это техническая, но критическая тема. Когда вы пользуетесь DEX или DeFi-протоколом, ваш кошелёк выдаёт смарт-контракту разрешение (approval) тратить ваши токены. Обычно — с неограниченным лимитом, чтобы не подтверждать каждую операцию.

Drainer работает так:

1. Жертва заходит на фейковую страницу (фальшивый airdrop, поддельный Uniswap).
2. Подключает кошелёк через WalletConnect или прямое соединение.
3. Сайт показывает кнопку: «Подтвердите получение токенов» или «Соединиться с приложением».
4. На самом деле кошелёк просит подписать approval на самый дорогой токен в балансе.
5. Подпись отправляется на контракт drainer’а, который тут же выводит токены.

Что важно понимать: вы не отдавали seed. Не давали доступ к кошельку целиком. Вы «всего лишь» подписали одну транзакцию — которая разрешала вывод активов. С точки зрения блокчейна всё легально и обратной операции нет.

Permit2 и off-chain подписи: атака без транзакции

В 2022 году Uniswap внедрил стандарт Permit2 — off-chain подпись, которая позволяет одобрить расход токенов без отправки on-chain транзакции. Удобно для пользователя, дёшево по газу. Но drainer-индустрия адаптировалась за несколько месяцев.

Сценарий: фишинговый сайт просит подписать сообщение «для авторизации в личном кабинете» или «для подтверждения владения кошельком». Подпись выглядит как безвредный текст. На самом деле это валидный Permit2-approval, который drainer тут же исполнит на блокчейне.

Главное коварство: эта подпись не оставляет следа в истории кошелька. Вы её даже не вспомните. А деньги уходят через несколько часов или дней, когда вы уже забыли про сайт.

Address poisoning — отравление адресной книги

Сценарий из 2023–2025, поразительно простой и работающий.

Атакующий мониторит сеть и видит ваш перевод USDT на адрес 0xab12…cd45. Он генерирует адрес с такими же первыми и последними символами — 0xab12…cd45 — и отправляет на ваш кошелёк микро-транзакцию на 0,000001 USDT. В вашей истории появляется новая запись.

Когда вы решите снова отправить USDT тому же получателю, вы открываете историю, копируете адрес… и копируете адрес мошенника. Транзакция уходит ему. Это случается чаще, чем кажется — по данным Chainalysis, в 2023 году address poisoning принёс мошенникам более $80 млн.

Защита: никогда не копируйте адрес из истории кошелька. Только из проверенного источника — из переписки с получателем, из QR-кода, из закладок в специальном менеджере.

Реальные кейсы 2023–2025

Чтобы было ясно, что это не теория, а ежедневная практика.

Trust Wallet в App Store, август 2024. Несколько клонов Trust Wallet продержались в магазине Apple по неделе каждый. Жертвы устанавливали приложение, импортировали свой seed — и через секунды теряли всё.

Ledger Connect Kit, декабрь 2023. Атакующие через скомпрометированный npm-аккаунт бывшего сотрудника Ledger внедрили вредоносный код в Connect Kit — библиотеку, которую используют сотни DeFi-сайтов для интеграции с кошельками. За несколько часов до устранения уязвимости утекло около $610 000. Это редкий случай, когда пострадали даже пользователи реальных аппаратных кошельков — через интеграцию.

Утечка базы клиентов Ledger, июнь 2020 — до сих пор. 270 000 email-адресов покупателей Ledger попали в открытый доступ. Эта база до сих пор используется для целевых фишинг-атак: жертве пишут письмо от «поддержки Ledger» с просьбой «проверить безопасность» и ссылкой на фишинговый сайт. По разным оценкам, ущерб от этой утечки превысил $20 млн.

Поддельный MetaMask в Chrome Web Store. Дважды за 2023–2024 годы расширения с похожими названиями («MetaMask Pro», «MetaMask Wallet Plus») проникали в магазин Chrome и устанавливались тысячами пользователей до удаления. Содержали clipboard hijacker и скрытый key-logger.

Inferno Drainer перезапуск, 2024. В ноябре 2023 группа «закрылась» и анонсировала уход. К середине 2024 года инфраструктура вернулась под новым названием с обновлённым кодом и продолжила работу.

Признаки фейкового кошелька в 2026 году

Признаков несколько уровней. Часть универсальная, часть актуальна именно сейчас.

• Источник не оригинальный. Приложение не с официального сайта проекта. Расширение не из официальной страницы (всегда сверяйте по link с сайта разработчика, не по поиску в магазине).
• Подозрительные разрешения. Мобильное приложение просит доступ к SMS, контактам, камере без явной причины. Расширение запрашивает доступ ко всем сайтам — и при этом представляется «нишевым кошельком».
• Запрос seed при первом запуске не для создания/импорта. Любой запрос ввести seed после того, как кошелёк уже создан — фишинг.
• Просьба «синхронизировать с другим кошельком» через ввод seed. Так не работает ни один реальный кошелёк.
• Странное поведение интерфейса. Кнопки реагируют с задержкой, всплывают окна с подозрительными запросами на подпись.
• Аппаратный кошелёк пришёл с уже записанным seed. Все настоящие кошельки генерируют seed при первой настройке — и только в вашем присутствии. Готовый seed в коробке = ловушка на 100%.
• Поломанная или неоригинальная упаковка. Целостность пломбы у Ledger/Trezor — критична.
• Сайт с https, но домен с подменой символов. Зелёный замок ничего не значит — сертификат выдаётся бесплатно за пять минут.

Как проверить подлинность кошелька

Алгоритм короткий, но обязательный к выполнению.

1. Сверьте URL с официальным. Откройте проект через закладку или Wikipedia. Никогда не через поисковую рекламу.
2. Проверьте разработчика в магазине. У реальных MetaMask, Trust Wallet, Phantom — известное юрлицо разработчика, миллионы скачиваний, годы в магазине.
3. Сверьте контракт токена. Если кошелёк просит вас «импортировать» новый токен по адресу — всегда сверяйте контракт на Etherscan или эквиваленте.
4. Установите defensive-расширения. Wallet Guard, Pocket Universe, Scam Sniffer — работают рядом с MetaMask и предупреждают перед опасными подписями. Бесплатные и резко снижают риск.
5. Периодически чистите approvals. Заходите на revoke.cash раз в 2–4 недели и отзывайте разрешения, которые больше не нужны. Это не паранойя — это гигиена.

Чек-лист безопасности на каждый день

Семь правил, которые закрывают 90% типичных атак:

• Seed-фраза только на бумаге или металле. Никогда в облаке, никогда в фотках, никогда в заметках телефона.
• Крупные суммы — на аппаратном кошельке. Горячий кошелёк — только оперативный остаток.
• Никаких подписей «вслепую». Если не понимаете запрос — отмена.
• Адреса для перевода — только из закладок, не из истории транзакций.
• Поисковая реклама в Google по криптозапросам — всегда мимо. Проект — по прямому URL.
• Никаких приватных сообщений от «поддержки» в Telegram, Discord, Twitter. Поддержка проекта не пишет первой.
• Двухфакторная аутентификация на всех биржах и в почте. Без SMS — через TOTP-приложение.

Что делать, если попали в ловушку

Бывает. Не паника. Алгоритм одинаковый для большинства сценариев.

1. Сразу отзовите approvals. Зайдите на revoke.cash с этого же кошелька и отзовите все подозрительные разрешения. Если drainer уже забрал что мог — это закроет дальнейшие выводы.
2. Переведите всё, что осталось. Откройте новый кошелёк (новый seed, новое устройство), переведите туда остатки. Скомпрометированный кошелёк больше не используйте — даже после «очистки».
3. Найдите TXID кражи. Откройте свой адрес на Etherscan и найдите транзакцию вывода. Сохраните хеш, адрес атакующего, временную метку.
4. Подайте заявление в правоохранительные органы. В России — в МВД, в США — в IC3/FBI. Если сумма серьёзная, можно обращаться в крипто-расследовательские компании (Chainalysis Reactor, TRM Labs — они работают с правоохраной).
5. Сообщите в проект. Если drainer работал через подделку конкретного проекта — напишите им. Команды иногда блэклистят адреса атакующих на стороне фронтенда.

Реалистичная картина: в 70–80% случаев вернуть украденное не получается. Drainer выводит средства через миксеры и кросс-чейн мосты в течение часов. Но фиксация инцидента важна — и для статистики, и для шанса, что когда-то будет коллективное расследование.

Альтернатива: обмен через AML-обменник вместо подключения к сомнительным сайтам

Часть жертв drainer’ов попадают на крючок, пытаясь обменять токены «по выгодному курсу» на фишинговых DEX-двойниках. В AvanChange обмен идёт по фиксированному курсу с обязательной AML-проверкой адресов с обеих сторон. Подключать кошелёк к сайту не нужно — вы просто отправляете один актив на статический адрес обменника и получаете другой на свой кошелёк. Никаких подписей, никаких approvals — и потому никаких векторов атаки через drainer.

FAQ: частые вопросы о фейковых кошельках

Можно ли вернуть украденную крипту?

В большинстве случаев — нет. Транзакции в блокчейне необратимы. Шанс возврата есть, если средства попадают на крупную биржу и команда блокирует адрес до вывода. Но drainer’ы для отмывки обычно используют миксеры (Tornado Cash, eXch) и мосты, что делает возврат маловероятным.

Может ли антивирус защитить от фейкового кошелька?

Лишь частично. Антивирус найдёт обычное malware, но не предотвратит подпись опасной транзакции в легитимном MetaMask. Защита — в комбинации: defensive-расширения (Wallet Guard, Pocket Universe), регулярный отзыв approvals и осознанная проверка каждой подписи.

Что хуже — потерять seed-фразу или подписать вредную транзакцию?

Утеря seed — катастрофа: атакующий получает полный контроль. Но подписи приближаются по последствиям: drainer может вывести 99% активов одной подписью, и пользователь увидит это только постфактум. Защита — одна и та же: критически относиться к любому запросу.

Безопасно ли подключать кошелёк к новым проектам?

В среднем безопасно — для просмотра. Опасно — когда сайт просит подписать что-то нестандартное. Базовое подключение wallet-connect не даёт сайту никаких прав на ваши средства. А вот любой запрос «Approve», «Permit» или подпись произвольного сообщения — уже зона риска.

Почему drainer-атаки выросли именно в 2023–2024?

Совпало три фактора. Возросла активность retail-пользователей после рынка 2024. Появилась DaaS-модель, снизившая порог входа в мошенничество. Уязвимости Permit2 и off-chain подписей открыли новый класс атак, к которым массовые пользователи оказались не готовы.

Можно ли вообще доверять расширениям-кошелькам?

MetaMask, Rabby, Phantom — да, с оговорками. Скачивать только с официального сайта через прямой link разработчика. Не из поиска. Не из «похожих» расширений. И обязательно проверять, что после установки расширение запрашивает разумные разрешения, а не доступ ко всем системным функциям браузера.

Что такое drainer как сервис простыми словами?

Это бизнес-модель: один человек/команда пишет вредоносный код, другие «покупают» его в аренду и сами организуют фишинговую инфраструктуру. Доход делится: 70–80% оператору фишинга, 20–30% разработчику drainer’а. Такая модель появилась в 2022 году и взрывообразно выросла в 2023–2024.

Стоит ли использовать seed-фразу «на холодную» (без устройства)?

Нет. Любой ввод seed на устройстве с доступом в интернет — компромисс. Если нет аппаратного кошелька, лучше использовать второй смартфон без SIM, без других приложений и без сети — и подключать его к интернету только для подписания транзакций.

Выводы

Поддельные кошельки эволюционировали. Сейчас речь не о наивных копиях с очевидным фишингом — это индустрия с собственным R&D, маркетингом, моделями подписки. Жертвой становится не неопытный новичок, а вполне грамотный пользователь, который один раз кликнул не туда и подписал не глядя.

Базовая защита проста по списку и сложна в дисциплине: аппаратный кошелёк для крупных сумм, defensive-расширения для активного использования, регулярная чистка approvals, никаких подписей без понимания и никаких ссылок из рекламы.

А когда задача — просто обменять одну крипту на другую, не подключайте кошелёк к DEX-двойнику. Прямой обмен через AvanChange с AML-проверкой и фиксированным курсом закрывает целый класс атак — потому что в нём вообще нет момента «подписать что-то непонятное».