Новини криптоміра

17.06.2026
19:49

Нова хвиля крипто-дрейнерів: як хакери спустошують гаманці росіян

Ринок цифрових активів знову зіткнувся з агресивною атакою: щонайменше три хакерські угруповання розгорнули масштабну кампанію з крадіжки криптовалюти у російських користувачів. Зловмисники використовують шкідливе ПЗ — так звані дрейнери (drainers), які маскуються під легітимні інвестиційні платформи та партнерські програми. За моїми даними, це не поодинокий інцидент, а добре скоординована операція, спрямована на російськомовну аудиторію.

Фахівці профільного підрозділу F6 Digital Risk Protection зафіксували запуск щонайменше 15 фішингових сайтів наприкінці травня — на початку червня. Ці ресурси не просто збирають дані — вони оснащені прихованими скриптами, які після авторизації користувача миттєво перевіряють баланс його гаманця та виводять усі доступні кошти: токени, NFT і, звісно, стейблкоїни.

Механіка обману: від бонусу до повного зливу

Схема атаки виглядає цинічно та продумано. Жертву заманюють обіцянкою відкрити інвестиційний рахунок із вітальним бонусом у $50 в USDT. Щоб його активувати, користувачеві пропонують підключити свій криптогаманець, відсканувавши QR-код через офіційний додаток. Насправді ж ця операція дає хакерам повний доступ до управління активами.

Я виділяю три основні типи приманок, які зараз активно використовуються:

  • Інвестиційні рахунки: обіцянка бонусу за реєстрацію.
  • Telegram-активність: пропозиція вигідної купівлі «зірок» або преміум-послуг.
  • Бонусні програми: роздача безкоштовних токенів за підключення гаманця.

Щойно жертва підтверджує транзакцію, шкідливий скрипт кількома запитами «промацує» баланс і миттєво виводить усе, що знаходить. Жодних слідів, жодної можливості відкату — кошти йдуть за секунди.

Чому це відбувається зараз?

За оцінкою провідного аналітика F6 Марії Синіциної, дрейнери — не нове явище. Кілька років тому вони активно використовувалися проти англомовних користувачів, але потім активність спала. Зараз ми спостерігаємо відродження цієї тактики, але вже з фокусом на російськомовну аудиторію. Хакери адаптували свої інструменти, локалізували інтерфейси та активно використовують свіжі інформаційні приводи, щоб заманити жертв.

Я наполегливо рекомендую проявляти граничну обережність: не переходити за посиланнями з рекламних оголошень, ретельно перевіряти доменні імена (шахраї часто реєструють співзвучні адреси), а також використовувати Whois-сервіси для перевірки дати створення сайту. Якщо ресурсу менше місяця — це серйозний червоний прапорець.

Крім того, нагадаю: брокерська діяльність у Росії можлива лише за ліцензією ЦБ. Будь-які акції та бонуси варто перевіряти виключно на офіційних майданчиках. Підозрілі сайти можна надсилати на платформу «Антифішинг» — фахівці перевірять інформацію та передадуть її регуляторам для блокування.

Мій аналіз: Ця хвиля атак — прямий наслідок зростання популярності DeFi та спрощення доступу до криптовалют серед непідготовленої аудиторії. Хакери чудово розуміють, що жадібність і довірливість — головні вразливості користувачів. Поки індустрія не впровадить обов'язкові механізми попередження про підозрілі підключення гаманців, такі інциденти повторюватимуться. Будьте пильні: жоден бонус не вартий втрати всіх ваших активів.