Threat Library

Crypto Drainer

Threat profileПрофиль угрозы

Crypto drainer attacks exploit wallet UX asymmetry: users approve transactions they do not fully interpret. The attack path usually starts with social lure (airdrop, bonus, migration, recovery) and ends with allowance abuse or malicious signature replay. Loss can happen in seconds after approval.Атаки crypto drainer используют асимметрию wallet UX: пользователь подтверждает транзакции, не полностью понимая их смысл. Путь атаки обычно начинается с социальной приманки (airdrop, бонус, миграция, recovery) и заканчивается злоупотреблением allowance или replay вредоносной подписи. Потеря средств может произойти за секунды после approve.

Kill-chainKill-chain

  • Initial lure: promo text, celebrity fake, support impersonation, or event deadline.Первичная приманка: promo-текст, фейк от имени знаменитости, имитация поддержки или дедлайн события.
  • Wallet connect: victim is asked to connect in browser or mobile wallet.Подключение кошелька: жертву просят подключить wallet в браузере или мобильном приложении.
  • Approval/signature: user signs transaction framed as harmless verification.Approve/подпись: пользователь подписывает транзакцию, поданную как «безопасная верификация».
  • Drain execution: assets are moved through relay wallets and laundering paths.Исполнение дренажа: активы переводятся через relay-кошельки и laundering-маршруты.
  • Post-action pressure: attacker asks for additional "unlock" steps and fees.Пост-фаза: атакующий требует дополнительные шаги и комиссии «для разблокировки».

SecuriLayer reason codesReason codes SecuriLayer

Core detections include DRAINER_PATTERN, QUISHING, ADDRESS_POISONING, NEW_WALLET_HIGH_VALUE, GOPLUS_BLACKLIST, CONTACT_MISMATCH, and NEWLY_REGISTERED_INFRA. If external feeds or blacklist intelligence hit, verdict escalates to DANGER regardless of model score.Базовые детекты включают DRAINER_PATTERN, QUISHING, ADDRESS_POISONING, NEW_WALLET_HIGH_VALUE, GOPLUS_BLACKLIST, CONTACT_MISMATCH и NEWLY_REGISTERED_INFRA. При совпадении с внешними фидами или blacklist-intelligence вердикт повышается до DANGER независимо от model score.

Controls for enterprise and government environmentsКонтроли для enterprise и госсред

  • Policy-deny unknown wallet links in official channels by default.Policy-deny неизвестных wallet-ссылок в официальных каналах по умолчанию.
  • Require transaction intent verification before any signature event.Требовать верификацию intent транзакции перед любым событием подписи.
  • Bind extension checks to organization keys and enforce quota-aware monitoring.Привязывать extension-проверки к ключам организации и включать quota-aware мониторинг.
  • Maintain known drainer intelligence and wallet reputation pipelines.Поддерживать актуальный known drainer intelligence и pipelines репутации кошельков.

Incident response playbookPlaybook реагирования

  • Immediate response: stop user interaction with suspect dApp and revoke permissions where possible.Немедленные действия: прекратить взаимодействие с подозрительным dApp и отозвать permissions, где это возможно.
  • Scope impact: identify affected wallets, contracts, and transaction hashes.Оценка масштаба: определить затронутые кошельки, контракты и transaction hashes.
  • Intel push: add malicious domains/addresses to local and shared deny-lists.Intel push: добавить вредоносные домены/адреса в локальные и общие deny-листы.
  • Post-mortem: update user guidance and enforce tighter signature verification policy.Post-mortem: обновить пользовательские инструкции и ужесточить политику верификации подписи.

False positive / false negative notesЗаметки по FP/FN

FP can occur for newly launched legitimate Web3 campaigns with low-reputation infrastructure. FN can occur when malicious links use compromised trusted domains. Practical mitigation is layered: contract reputation, text pattern signals, feed matches, and manual analyst escalation for high-value flows.FP возможен для легитимных новых Web3-кампаний с низкой репутацией инфраструктуры. FN возможен, когда вредоносные ссылки используют скомпрометированные доверенные домены. Практическое снижение риска — layered подход: репутация контрактов, текстовые паттерны, feed-matches и ручная эскалация аналитика для high-value операций.

FAQFAQ

Q: Is "Connect Wallet" always malicious?Всегда ли "Connect Wallet" является атакой?
A: No. Risk depends on domain trust, contract intent, and signature context.Нет. Риск зависит от доверия к домену, intent контракта и контекста подписи.

Q: Can drainer losses be reversed?Можно ли отменить потери от drainer?
A: Usually no. Focus on prevention, rapid containment, and evidence preservation.Как правило, нет. Фокус должен быть на предотвращении, быстром containment и сохранении evidence.

Enable drainer protection in your channelsВключить защиту от drainer в ваших каналах