Drainer-сайты в TON: как они работают и как не попасться

Drainer-сайт — это не просто фишинг. Это организованная индустрия Drainer-as-a-Service со своими разработчиками, маркетологами и партнёрскими программами. SlowMist в годовом отчёте 2025 фиксирует drainer-атаки как одну из главных угроз 2024-2025: во всех L1-сетях суммарно — $83.85 млн потерь и 106 106 жертв. Это меньше пика 2024 года (drainer-активность упала на 83% год к году благодаря давлению на сервисы), но в TON активность растёт — экосистема молодая, пользователей много, защитная инфраструктура отстаёт. Этот разбор — что такое drainer технически, как он работает в TON и какие конкретно приёмы используют атакующие.

Что такое drainer и откуда они взялись

Drainer — автоматизированный сервис, который “опустошает” кошелёк жертвы за одну транзакцию. Логика:

1. Drainer-кампания публикует поддельный сайт под видом известного dApp.
2. Жертва подключает кошелёк через TON Connect.
3. Drainer-скрипт сканирует баланс и собирает все ценные активы (jetton-ы, NFT) в одну пакетную транзакцию.
4. Жертва подписывает — все активы уходят на адрес атакующего за 5 секунд.

Изначально drainer-ы появились в Ethereum (2022-2023, Inferno Drainer и Pink Drainer), потом перешли на Solana, в 2024-2025 пришли в TON. По исследованию Recorded Future, российская группировка Rublevka Team в начале 2025 целенаправленно работала по TON, потом переключилась на Solana — это говорит о том, что drainer-сцена технически готова к TON и просто следует за деньгами.

Drainer-as-a-Service: бизнес-модель

Drainer-кит продаётся как готовый сервис. По публикациям SlowMist и Group-IB, типичная коммерческая структура такова.

• Разработчик — пишет smart-контракт и инфраструктуру. Получает 20-30% от каждой кражи.
• Аффилиат (партнёр) — закупает рекламу, делает сайт-клон, ловит жертв. Получает 70-80%.
• Дропы — “разменивают” украденные jetton-ы на TON и USDT, прогоняют через миксеры. Берут 5-10%.

Стоимость кита — $500-10 000 в зависимости от функционала. На вход — простая панель с галочками “клонировать Getgems”, “клонировать Fragment”, автоматическая интеграция с Telegram-рекламной сетью. Это превращает запуск drainer-кампании в операцию уровня “за выходные”.

Технические приёмы в TON

В отличие от Ethereum, в TON нет универсального approve. Каждый jetton — отдельный smart-контракт, и операция transfer вызывается напрямую с кошелька. Поэтому drainer-сценарий слегка отличается от EVM-аналогов.

Приём 1 — пакетный transfer

Самый прямой подход. При подключении кошелька drainer-сайт сканирует все jetton-балансы через tonscan API и формирует одну транзакцию из десятков jetton_transfer сообщений на адрес атакующего.

Жертва видит в TON Connect запрос на подпись с длинным списком операций. Если читает невнимательно (например, торопится забрать “редкий NFT”) — подписывает, и все jetton-ы уходят разом.

Защита — внимательно читать содержимое транзакции. В Tonkeeper и MyTonWallet это поле “Operations” или “Messages” с детализацией каждого пункта.

Приём 2 — подмена под mint

Сайт мимикрирует под минт NFT-коллекции. Запрос подписи вроде бы про “оплату 0.5 TON за минт”, но в составе пакета — дополнительные nft_transfer для всех NFT с адреса жертвы. Минт честный (контракт даже мажет адрес как owner), но параллельно уводит уже имеющиеся NFT.

Защита — сверять количество operation в транзакции. Если для “минта одного NFT” в запросе 15 операций — это drainer.

Приём 3 — обманчивые address-аргументы

Tonkeeper и MyTonWallet показывают адрес получателя в человекочитаемом виде. Drainer использует адрес-омограф: визуально похожие первые/последние символы (UQAB...XYZ против UQAA...XYZ). При беглом взгляде кажется, что это тот же адрес, что и проект — но средства идут к атакующему.

Защита — сверять адрес целиком, а не по первым 4 символам. Удобный приём — копировать адрес и сверять с тем, что указан на официальном сайте проекта.

Приём 4 — атака через TON Connect-сессию

Если drainer-сайт получил подключение и подпись хотя бы один раз, в Tonkeeper остаётся “связь” с приложением в разделе “Подключенные приложения”. Атакующий может через несколько часов или дней инициировать новый запрос на подпись (например, ночью), и если пользователь автоматически подтверждает push-уведомление, средства уходят.

Защита — после взаимодействия с любым новым dApp немедленно отзывать сессию. Раздел “Подключенные приложения” в Tonkeeper, “Connected apps” в MyTonWallet.

Приём 5 — gasless-trap через jetton-проверку

Новый приём 2025 года. Сайт обещает “проверить eligibility для airdrop” — пользователь подписывает якобы пустую информационную транзакцию 0 TON. На самом деле в payload зашит вызов кастомного контракта, который через TON-jetton wallet jetta уводит токены. Реализация технически сложнее, но визуально выглядит как “бесплатная проверка”.

Защита — никаких “проверок” eligibility через подпись не существует. Реальные airdrop-ы работают через snapshot и автоматическую раздачу или через простой клейм-сайт без сложных подписей.

Как выглядит drainer-кампания в TON в 2025-2026

Реальный пример (анонимизирован, основан на публичных tonscan-данных и постах SlowMist).

1. День 0. Атакующий регистрирует домен getgems-anniversary.app и закупает рекламу в Telegram-канале с 200k подписчиков (бюджет $2-5k).
2. День 1, 18:00 МСК. Активная аудитория Telegram. Посты про “юбилейную раздачу NFT в честь 3-летия Getgems”.
3. День 1, 18:00-22:00. Около 2 500 пользователей кликают по ссылке. ~500 подключают кошелёк. ~280 подписывают drainer-транзакцию.
4. День 1, 22:00. Через автоматику drainer-кита средства переводятся на промежуточные адреса, оттуда — на CEX через миксеры.
5. День 2. Жалобы в Telegram, сайт идёт в бан. Атакующий уже выводит наличку через P2P.
6. Итог. Сборы — $80-200k за вечер. Чистая прибыль атакующего после маркетинга и комиссий — $50-150k.

Этот сценарий повторяется в разных вариациях каждый месяц.

Защитный сетап

Конкретные действия, которые реально снижают риск drainer-атаки.

Сегментация кошельков

Один кошелёк для cold-storage с Ledger — не подключается к dApps вообще. Второй — горячий, с балансом $50-200, для swap-ов и минтов. Третий — одноразовый, с минимумом TON для оплаты gas. При drainer-атаке теряется содержимое только третьего, ущерб ограничен.

Подробнее про сегментацию и safe-сетап seed — в гайде по хранению seed-фразы.

Ledger при подключении к dApps

Когда подписываешь транзакцию через Ledger, детали показываются на экране устройства. Drainer не может скрыть transfer от тебя — все адреса и суммы видно физически. Минус — медленнее, плюс — ошибочные подписи практически исключены.

Чтение запросов TON Connect

Никогда не подписывай не читая. Минимум проверки:

• Адрес инициатора (Source).
• Список operation: что именно делает транзакция.
• Адрес получателя в каждой operation — должен соответствовать заявленному dApp.
• Список jetton-ов, NFT и сумм — если “минт NFT” затрагивает USDT-баланс, это drainer.

Закладки и официальные каналы

Для Getgems, Fragment, STON.fi, DeDust, Tonstakers — добавь домены в закладки. Заходи на любую “акцию” этих проектов только через закладку. Если не уверен в адресе — открой Telegram-канал проекта (@getgems_io, @ston_fi, @dedust_io) и сверься с закреплённым.

Регулярная очистка сессий

Раз в неделю — открой Tonkeeper “Подключенные приложения” и отзови сессии, которые тебе уже не нужны. Это закрывает приём 4 (повторные запросы через старые сессии).

Мониторинг tonscan

Поставь основной кошелёк в наблюдение через tonviewer.com или tonscan.org. Любая аномальная активность придёт через email или telegram-бота alert-сервиса.

Что делать после атаки

Если уже подписал drainer-транзакцию:

1. Немедленно — разорвать сессию TON Connect (не давать атакующему второй заход).
2. Если на адресе остались jetton-ы или NFT, которые drainer пропустил — вывести на чистый адрес, прежде чем мошенник вернётся.
3. Зафиксировать tonscan-ссылку на адрес атакующего и hash транзакции — для заявления.
4. Сообщить в support Tonkeeper / MyTonWallet и публичные scam-чаты — это поможет помечать адрес и спасать следующих жертв.

Полный пошаговый алгоритм — в статье “Что делать если украли TON”. Также внимательно изучи топ-10 скам-схем в Telegram — drainer обычно не работает в одиночку, его поддерживает соц-инженерия.

Сравнение TON-drainer-ов с Ethereum и Solana

Drainer-сцена развивалась с 2022 года в Ethereum, в 2023-2024 переехала на Solana, в 2024-2025 пришла на TON. Между сетями есть архитектурные различия, которые меняют поверхность атаки.

Главный риск TON в 2025-2026 — отсутствие зрелой защитной инфраструктуры. В Ethereum есть Rabby, Pocket Universe, Wallet Guard — расширения, которые имитируют выполнение транзакции и подсвечивают аномалии. Для TON аналогов пока почти нет, и пользователь полагается на собственную внимательность плюс встроенные фильтры Tonkeeper / MyTonWallet, которые защищают только от уже известных адресов.

Это значит, что в TON оценка риска новой транзакции лежит больше на пользователе, чем в Ethereum. Тем важнее не подписывать импульсивно.

Что делают сами кошельки против drainer-ов

Tonkeeper, MyTonWallet и Tonhub в 2024-2025 годах добавили несколько защитных слоёв.

• Blocklist scam-адресов. Известные drainer-адреса помечены, при попытке подписать транзакцию на них появляется красное предупреждение.
• Domain warning. Если домен dApp совпадает с блок-листом — предупреждение перед запросом подписи.
• Read-friendly transaction view. Operation-by-operation описание того, что делает транзакция: “transfer 1 200 USDT to UQ…XYZ”, а не голый bytecode.
• Limit-on-session. Возможность ограничить лимит, который dApp может потратить через одну сессию TON Connect (пока не во всех кошельках).

Это снижает риск, но не закрывает его на 100%. Новый домен с новым контрактом первые часы не помечен — именно в это окно атакующие и собирают основную добычу.

Подготовка к 2026: чего ждать дальше

По прогнозам SlowMist и Recorded Future, в 2026 ожидаются:

• AI-генерируемые drainer-сайты. Атакующие используют LLM для автоматического создания клонов под любой проект за минуты. По данным Chainalysis, AI-инструменты повышают эффективность скам-кампаний в 4.5 раза.
• Multi-chain drainer-ы. Один сайт умеет атаковать кошельки нескольких сетей (TON, Solana, EVM) — при подключении смотрит, где у жертвы баланс, и формирует подходящую транзакцию.
• Глубокая интеграция в мини-аппы. Drainer внутри якобы легитимной мини-аппы, активируется не сразу, а через несколько дней использования — для обхода первичной проверки.

Защитные практики останутся теми же — внимательность, сегментация кошельков, Ledger для основных активов, проверка домена и подписи перед каждым “Confirm”.

Источники

• SlowMist 2025 Blockchain Security and AML Annual Report
• Recorded Future — Rublevka Team report
• Group-IB Knowledge Hub — Crypto Wallet Drainers
• Talos — How drainer phishing scams work
• Ledger — Drainer-as-a-Service explainer