Думаю многие слышали или даже сталкивались с таким видом скама как «дрейнер»

Дрейнер — это вирус или программа, которая крадёт бабки с твоего криптокошелька. Он может быть встроен в какие-то фальшивые контракты, сайты или даже в поддельные транзакции, которые ты случайно подпишешь.

Цель дрейнера — залезть в твой кошелёк и утащить твои кровные. Обычно скаммеры используют его, чтобы без твоего ведома автоматически подписывать всякие транзакции и выводить твою крипту на свой кошелёк. Ты вроде как ничего не замечаешь, а твои бабки уже у них.

Чтобы не попасться, всегда проверяй, что именно ты подписываешь и с кем взаимодействуешь, иначе твой кошелёк может просто пустеть.

Смарт-контракты используют две основные функции для взаимодействия с кошельком:

1. Read функции (Чтение) — это функции, которые только получают данные с контракта, но не могут внести изменения в ваш кошелек. Например, такие функции могут показывать баланс или историю транзакций. Эти действия не опасны и не могут быть использованы для кражи средств.
2. Write функции (Запись) — это функции, которые могут изменять данные на блокчейне, например, проводить транзакции, передавать токены и изменять другие важные параметры. Вот здесь скрыта основная угроза. Если вы подпишете запрос на выполнение Write функции без проверки контракта, скаммеры могут использовать вашу подпись для того, чтобы вывести средства с вашего кошелька!

К примеру, при подключении кошелька к сайту могут быть запрашиваемы только read функции, которые позволяют лишь просматривать информацию с блокчейна, но не изменять её. Таким образом, просто подключив кошелек через "Connect Wallet", вы не рискуете потерять свои кровные.

Когда вы даёте разрешение (approve), всегда нужно точно понимать, на что вы соглашаетесь. Чтобы не потерять деньги, давайте разрешение только на ту сумму, которую вы реально собираетесь обменять. Это особенно важно, если вы пользуетесь малоизвестными протоколами.

Если ты уже дал апрувы на неограниченные суммы, можешь за пару кликов всё отменить на revoke.cash и спать спокойно.

О других методах дрейна, я ранее упоминал хорошие статьи

Вот вам классический пример:

Скамеры под постом у Мурада организовали ссылку на свой дрейнер, от левого аккаунта, мошенники пытаются поймать обывателя на невнимательности, это действительно классическая история.

Типичный дрейн через подпись выглядит так: тебе предлагают "бесплатные токены" или "подарки" за подписку на транзакцию. Ты думаешь, что согласился просто на получение токенов, а на самом деле подписываешь разрешение, которое даёт доступ к твоим средствам и позволяет злоумышленникам забрать все деньги с твоего кошелька.

Это как в случае с аирдропами или проектами, которые предлагают "вознаграждения", но на самом деле скрывают в контрактах возможности для неограниченного вывода средств с твоего кошелька.

Kerberus

Kerberus — это мощная система защиты для Web3, которая помогает избежать скамов и несанкционированных транзакций.

Основная фишка в том, что она использует двухуровневую защиту, которая сканирует все транзакции в реальном времени и при обнаружении угрозы может компенсировать потерю средств до 30 000 USDC, если система по каким-то причинам не предупредила тебя о риске. Это круто, если ты хочешь защищать свои активы, особенно когда делаешь какие-то операции на неизвестных платформах или протоколах.

Но важно, что защита работает только в случае, если ты потерял средства именно через Web3 транзакции, и если тебе не показали предупреждение. Например, она не покроет потери из-за скомпрометированных фраз восстановления или когда ты сам отправил средства не туда.

Если хочешь больше безопасности, нужно использовать версию Sentinel3 Pro.

Я ее про версию лично не пробовал, но это приложения в базовой версии крайне удобное на самом деле, хоть и замедляет процесс различных переводов, но твой базовый уровень безопасности кратно поднимается.

Советы

Вообще тут все на самом деле крайне просто:

1. Проверяй функции контракта: Когда ты подписываешь запрос, смотри, какую функцию вызывает контракт. Если это функция записи (Write), будь осторожен! Убедись, что это проверенный и доверенный контракт, иначе могут украсть твои средства.
2. Не подписывай неизвестные транзакции: Если тебе предлагают подписать что-то с незнакомыми контрактами, лучше дважды подумай. Проверяй, кто стоит за этим контрактом и есть ли у него какие-то риски.
3. Подписывай только то, что нужно: Если не уверен, не подписывай лишнего. Лучше пропустить запрос, чем рисковать, даже если на первый взгляд всё выглядит безопасно.
4. Берегите ваши сид фразы с приватниками :)

Конечно, комплексный подход сильно замедлит работу, но это базовый перечень, которого все таки стоит придерживаться :)

https://t.me/crabiks-Канал автора статьи