Наверное, всем, кто хоть раз касался крипты, писали в личку в телеге ребята с предложением о каком-то совместном заработке. Мне — регулярно. И всегда это выглядело настолько глупым разводом, что-то между «я король Зимбабве и хочу отправить вам мои деньги» и «нажми и посмотри, ты ли на этом фото», что я даже не дочитывал.
В этот раз дочитал. Решил пройти игру до конца и понять, в чём, собственно, развод. Был уверен, что упрусь в банальный фишинг — форма ввода сид-фразы, и привет. Ошибался. Под глупой обёрткой оказался рабочий дрейнер — программа, которая вычищает кошелёк подчистую, — кластер из 12 доменов и шестизначный ущерб, который читается прямо в блокчейне. Дальше по порядку, как оно разворачивалось.
Заход
Начали по учебнику. Формальные вопросы: работал ли с криптой, знаю ли, что такое стейкинг и пулы ликвидности. Я отвечал коротко. Дальше пошло пространное объяснение партнёрской программы, которая позволит заработать нам с ним )))
Я попросил подробности. Мне прислали короткое видео — поддельный кабинет Binance.US:
Надо отдать должное — сделано неплохо. Поддельный кабинет Binance.US, раздел «On-Chain Yields», доходность, всплывающее окно активации, баланс на 5.9 BTC. Комментатор за кадром даёт фору Губерниеву.
Но как же наш «крипто-Кустурица» снял этот шедевр кинематографа? В адресной строке честно горит binance.us — и это не монтаж: бар настоящий, его рисует сам браузер, я проверил по кадрам. А вот как мошенник это провернул — дальше уже моё предположение. Скорее всего, binance.us он завернул на свой клон прямо у себя на машине: подменил, на какой адрес резолвится домен, и подставил самодельный сертификат, которому его же машина доверяет (поэтому браузер и не ругается на замок). Разные пути в строке — это переключение разделов внутри страницы, без перезагрузки, домен при этом не меняется. Сам «кабинет» — рабочее приложение-дрейнер, не картинка. Если кто-то спец в этом — напишите в комментах, интересно. Фильм, кстати, реально крутой, рекомендую.
Вернёмся к переписке. Досмотреть до конца я тогда не успел, был занят. А «амбассадор Binance» уже форсировал и проявлял чудеса эмпатии в продажах: мне бы таких продавцов на мою работу. Уловив мои сомнения, он готов был снизить порог входа до приемлемых мне 100 долларов. Вообще-то все его клиенты заходят на всю котлету )))
Наживка: письмо
После моего согласия он оформил так называемый договор и прислал ссылку «от Binance». Письмо пришло на gmail и выглядело прилично.
Тема — «Binance US DeFi Staking Contract Confirmation», отправитель — do-not-reply@post.binance.com. Спуфинг, и заголовки показывают как именно. Письмо ушло с сервера самого мошенника — bsc-mail.com (155.117.117.49, хостинг FreakHosting; тот же bsc- почерк, что у его сайтов), а в поле From просто вписан Binance. SPF — softfail, DKIM — pass, но подписано доменом bsc-mail.com, не Binance: косметическая «галочка», обманывающая беглый взгляд. Итог по вердикту Google — dmarc=fail. И всё равно письмо прошло: у субдомена post.binance.com политика DMARC p=none, так что почта, распознав подделку, по инструкции домена ничего с ней не делает — подделка спокойно ложится в инбокс… и Voilà (пока писал это, вспомнил песню Barbara Pravi «Voilà»). Ну правда, хорош чертяка.
Самое аккуратное в письме — ссылки. Почти все вели на настоящий binance.us: помощь, тарифы, юридическая страница. Все, кроме одной — той самой, кнопки стейкинга. Она уходила на ссылку-переходник:
https://binanc.email/click?em=<почта-жертвы>&do=binance-group.com&hs=<хэш-клика>&re=<id-получателя>&ts=<таймстамп>&action=direct
binanc.email — ссылка-счётчик из готового набора для рассылок. По отпечатку браузера она решает, куда вести: живого человека — на дрейнер binance-group.com, сканеру или боту — на настоящий binance.us. Та самая маскировка, ботам одно, людям другое, из-за которой письмо и домен выглядят чистыми. В письме — и весь рецепт по шагам: закинь BNB «на комиссию», заведи в кошелёк минимум 100 USDT и «подпиши смарт-контракт». Сотня тут не то, что украдут, — это просто низкий порог входа, чтобы не пугал (те самые «всего 100 долларов», которыми и заманивали). «Контракт» — это approve, и после подписи оператор выносит весь баланс, а не сотню. Письмо даже обещает «не больше 3000 USDT на пользователя» — тоже ложь: у approve лимита нет, крупные жертвы теряли по $100-164k.
Что за ссылкой: как устроена кража
За этой ссылкой-переходником — обычное окно подключения кошелька, то самое «Connect Wallet» / WalletConnect, что показывает любой DeFi-сайт. Под капотом — набор Reown AppKit (бывший Web3Modal); сам WalletConnect никуда не делся, это протокол подключения, который и видит пользователь. Я подключил пустой одноразовый кошелёк и снял трафик.
Механика простая. Никакого взлома кошелька или дыры в библиотеке: жертва сама подписывает операцию, не понимая, что подписывает. По шагам:
оператор = 0x93773F84c4378f6f32c7928cde1c1cb98239FbDaжертва подключает кошелёк │ ▼подписывает approve(оператор, гигантская сумма) ← под видом «подтвердить стейкинг» │ сумма астрономическая - фактически лимит без ограничения ▼тот же оператор вызывает transferFrom(жертва → сборщик) │ жертва эту транзакцию не подписывает и не платит за неё газ ▼баланс уходит на адрес-сборщик; газ платит оператор
Если открыть саму транзакцию слива, в ней вызван transferFrom — «списать с чужого адреса по заранее выданному разрешению», а не transfer. Отправитель — адрес оператора 0x93773F84c4378f6f32c7928cde1c1cb98239FbDa, и именно ему жертва ранее выдала approve: он и есть тот spender, которому разрешили списывать. Адрес жертвы стоит лишь параметром «откуда списать». То есть списал оператор по заранее выданному разрешению — жертва транзакцию не подписывала и за газ не платила. И разрешение до сих пор активно: остаток allowance на адресе жертвы — порядка 10⁶⁰ в сырых единицах токена. Это гигантское число, фактически без предела (больше, чем вообще существует USDT), и не ровно uint256.max, а конкретная огромная сумма. Оператор может вычистить любой USDT, который жертве ещё придёт.
Адрес получателя сайт не держит открыто — он приходит с сервера отдельным запросом (data.walletAddress), зашифрованным AES-256-CBC. Только это не защита, а декоративная обфускация: ключ и вектор инициализации лежат рядом, в открытых переменных NEXT_PUBLIC — ключ от замка висит на самом замке. Шифруют не от жертвы (в транзакции адрес всё равно виден), а чтобы получатель не светился в исходниках страницы и его не выдернули автоматические сканеры и блок-листы, которые шерстят статику. Я ключ забрал, расшифровал, получил адрес — 0x28d8660E65282F7C86c9CA13C24A77b7F7046979. Он регулярно меняется на стороне сервера: на момент разбора держал ~0.019 BNB и ноль USDT, деньги уходят дальше сразу.
Если хочется общего контекста по дрейнерам, у Xakep есть хороший разбор механики (crypto-drainers). Здесь — конкретный свежий кейс с цифрами.
Кластер: домены и хостинг
Дрейнер живёт не на одном домене. Всё семейство связано одним отпечатком — служебным запросом data.walletAddress, который грузится только на странице этого дрейнера. По нему собирается 11 доменов-дрейнеров и один домен-переходник.
|
Домен |
Роль |
Зарегистрирован |
Реальный сервер за Cloudflare |
|---|---|---|---|
|
|
целевой дрейнер |
GoDaddy, 2025-12-02 |
скрыт |
|
|
дрейнер |
Registrar.eu, 2025-12-17 |
|
|
|
дрейнер, ранняя волна |
GoDaddy, 2025-07-16 |
|
|
|
дрейнер |
GoDaddy, 2025-12-05 |
скрыт |
|
|
дрейнер |
GoDaddy, 2025-12-05 |
|
|
|
дрейнер |
GoDaddy, 2025-11-06 |
скрыт |
|
|
дрейнер |
GoDaddy, 2025-12-05 |
скрыт |
|
|
тестовое зеркало |
GoDaddy, 2026-01-26 |
скрыт |
|
|
тестовое зеркало |
GoDaddy, 2026-01-26 |
скрыт |
|
|
тестовое зеркало |
GoDaddy, 2026-01-22 |
скрыт |
|
|
тестовое зеркало |
GoDaddy, 2026-01-22 |
скрыт |
|
|
переходник (не дрейнер) |
GoDaddy, 2026-05-28 |
скрыт |
Хостинг. Большинство доменов спрятано за Cloudflare. Реальный сервер засвечен у трёх, и на каждом таком сервере ровно один боевой домен. Названия хостеров здесь — только место, где физически стояли серверы, не указание на их участие.
Регистратор. Видно по столбцу «Зарегистрирован»: 11 из 12 доменов оформлены через GoDaddy, единственное исключение — staking-binance-us.com (Registrar.eu). И это именно регистратор, не хостинг: реальные серверы стоят у VDSINA/AlexHost/MVPS. Даты складываются в таймлайн — от прототипа binance-stakingv199.com (лето 2025) через основную волну (конец 2025) до редиректора binanc.email (май 2026). Сюда же — почтовый сервер bsc-mail.com (155.117.117.49, FreakHosting), с которого шла рассылка: та же GoDaddy-регистрация и тот же bsc- почерк, то есть письма и сайты-дрейнеры держит один оператор.
Структура. Под каждый боевой домен поднято тестовое зеркало (пара bsc-contract.com / bsc-demo-contract.com). Имена дрейфуют от binance-* к bsc-* и bnb-*.
Похожие по названию домены (binance-presale.com, binancegroup.com и другие) я проверил и в кластер не включил: на них либо пусто, либо парковка или продажа. Доказанных — ровно 12.
Деньги: сколько и куда
Точную сумму и число жертв вывести сложно: украденное перемешано с отмывом, прогнано через цепочку адресов, и чистую кражу от прокрутки по открытым данным не отделить. Поэтому — диапазон, посчитанный по блокчейну через Bitquery, со сверкой транзакций напрямую.
-
Не меньше ~$784k украдено у ~70 кошельков-жертв — нижняя граница: прямая сумма адресов, которые только отдавали и ничего не получали назад. Оговорка про счёт: в on-chain-выгрузке «отдающих» адресов формально 429, но 355 из них — адрес-пойзонинг: копеечные переводы с поддельных vanity-адресов, в сумме 11 центов на всех. Это не жертвы. Реальных кошельков около 70, на них и держится весь $784k. Сумма устойчива: хоть считать только крупные, от $1000 (39 кошельков, $778k), хоть все от доллара (70 кошельков, $784k) — порядок тот же.
-
Валом через сеть адресов-сборщиков прошло ~$2.5M, но это с отмывом. Часть денег оператор возвращает самим жертвам как «прибыль», чтобы те занесли ещё — это pig-butchering, «откорм свиньи»: жертве показывают растущий доход и подкидывают мелкие выплаты, пока она не вложит всё, а потом забирают разом. Похожую сеть фейкового DeFi-майнинга с тем же бесконечным allowance разбирал Sophos.
-
Крупнейшие индивидуальные кражи — $100-164k, доказаны поимённо, с хэшами транзакций. Вот один, ровно на $100k:
В нижней строке BEP-20 Tokens Transferred видно главное: 100 001 USDT уходят с адреса жертвы на адрес-сборщик, а отправитель транзакции — оператор 0x93773F84c4378f6f32c7928cde1c1cb98239FbDa, не жертва. Хэш транзакции — 0xb13f30baf88f0dc0926cbce35cc4a620fc93a759948784f2d985957ff100ad73, любой может открыть и проверить. Жертва дала approve, списал по нему оператор.
Чтобы не на одном примере — ещё два слива тем же оператором и тем же методом: 0xd130c6cbf208a1ff925edb758ef4ca46ca162873dfcaf5f7ad5fad88418d02ac (102 617 USDT) и 0x43c74d624e54bbdbf0bb73ccd924a55bbe88392b5821b38309b6647c5149abca (79 050 USDT). Все три открываются в BscScan и сверяются.
Дальше деньги стекаются на сборщики, оттуда на узел-накопитель и растворяются в кошельке-обменнике:
0x0defbb1b77a65e3bdf2b6e3b0ca644183e48f9b8 — здесь след обрывается. Важно: это не кошелёк дрейнера и не его добыча. Похоже на транзитный адрес инстант-свопа или биржи — большой баланс и поток, что видны на скрине, это его собственный оборот чужих средств, среди которых дрейнерские деньги растворяются. Сколько именно осело тут с этой схемы, по открытым данным не вычленить.
И это, скорее всего, только видимая часть. Дальше по открытым данным след холодеет, а глубже я не копал.
Почему антивирусы молчат
Я прогнал домен через всё, что под рукой. VirusTotal — 0 из 91, ни один из движков не помечает домен опасным. Google Safe Browsing — чисто. ANY.RUN в песочнице выдал вердикт «No threats detected».
Объяснение простое. Сканер получает на домене не дрейнер, а заглушку: редирект на настоящий binance.us или стену «Reload to proceed». Реальный код оживает только при живом человеке с кошельком, бот его не видит. Песочница, которая ловит большинство угроз за минуту, на дрейнере с шестизначным ущербом не нашла ничего.
Отсюда практичный вывод: чистый VirusTotal ничего не гарантирует. Свежий фишинг за Cloudflare, который умеет отличать живого человека от автоматической проверки, проходит сканеры насквозь — он на это и рассчитан.
Зачем это всё
Жалобы на блокировку я не отправлял — чтобы показать всю архитектуру и домены дрейнера целиком. Заявка всё равно ничего бы не изменила: оператор за день поднимет новый домен из той же bsc-*-серии, а разбор останется без живой натуры.
Так что если вам в личку напишет вежливый амбассадор с видео и порогом входа в 100 долларов — вы хотя бы знаете, что у него под капотом.
ссылка на оригинал статьи https://habr.com/ru/articles/1050718/