Нова хвиля крипто-дрейнерів: як хакери спустошують гаманці росіян
Ринок цифрових активів знову зіткнувся з агресивною атакою: щонайменше три хакерські угруповання розгорнули масштабну кампанію з крадіжки криптовалюти у російських користувачів. Зловмисники використовують шкідливе ПЗ — так звані дрейнери (drainers), які маскуються під легітимні інвестиційні платформи та партнерські програми. За моїми даними, це не поодинокий інцидент, а добре скоординована операція, спрямована на російськомовну аудиторію.
Фахівці профільного підрозділу F6 Digital Risk Protection зафіксували запуск щонайменше 15 фішингових сайтів наприкінці травня — на початку червня. Ці ресурси не просто збирають дані — вони оснащені прихованими скриптами, які після авторизації користувача миттєво перевіряють баланс його гаманця та виводять усі доступні кошти: токени, NFT і, звісно, стейблкоїни.
Механіка обману: від бонусу до повного зливу
Схема атаки виглядає цинічно та продумано. Жертву заманюють обіцянкою відкрити інвестиційний рахунок із вітальним бонусом у $50 в USDT. Щоб його активувати, користувачеві пропонують підключити свій криптогаманець, відсканувавши QR-код через офіційний додаток. Насправді ж ця операція дає хакерам повний доступ до управління активами.
Я виділяю три основні типи приманок, які зараз активно використовуються:
- Інвестиційні рахунки: обіцянка бонусу за реєстрацію.
- Telegram-активність: пропозиція вигідної купівлі «зірок» або преміум-послуг.
- Бонусні програми: роздача безкоштовних токенів за підключення гаманця.
Щойно жертва підтверджує транзакцію, шкідливий скрипт кількома запитами «промацує» баланс і миттєво виводить усе, що знаходить. Жодних слідів, жодної можливості відкату — кошти йдуть за секунди.
Чому це відбувається зараз?
За оцінкою провідного аналітика F6 Марії Синіциної, дрейнери — не нове явище. Кілька років тому вони активно використовувалися проти англомовних користувачів, але потім активність спала. Зараз ми спостерігаємо відродження цієї тактики, але вже з фокусом на російськомовну аудиторію. Хакери адаптували свої інструменти, локалізували інтерфейси та активно використовують свіжі інформаційні приводи, щоб заманити жертв.
Я наполегливо рекомендую проявляти граничну обережність: не переходити за посиланнями з рекламних оголошень, ретельно перевіряти доменні імена (шахраї часто реєструють співзвучні адреси), а також використовувати Whois-сервіси для перевірки дати створення сайту. Якщо ресурсу менше місяця — це серйозний червоний прапорець.
Крім того, нагадаю: брокерська діяльність у Росії можлива лише за ліцензією ЦБ. Будь-які акції та бонуси варто перевіряти виключно на офіційних майданчиках. Підозрілі сайти можна надсилати на платформу «Антифішинг» — фахівці перевірять інформацію та передадуть її регуляторам для блокування.
Мій аналіз: Ця хвиля атак — прямий наслідок зростання популярності DeFi та спрощення доступу до криптовалют серед непідготовленої аудиторії. Хакери чудово розуміють, що жадібність і довірливість — головні вразливості користувачів. Поки індустрія не впровадить обов'язкові механізми попередження про підозрілі підключення гаманців, такі інциденти повторюватимуться. Будьте пильні: жоден бонус не вартий втрати всіх ваших активів.