Drainer

Drainer — это связка фронтенд-скриптов, контрактов и инфраструктуры вывода средств, которую злоумышленник разворачивает на фишинг-сайте. Раньше каждый скам писали с нуля; сейчас существуют готовые drainer-наборы (drainer kits) — автор кода продаёт его «как сервис» и получает 20–30% от каждой жертвы.

Workflow атаки

1. Жертву заманивают на фишинг-сайт — фейковый airdrop, поддельный mint, клон DEX. Источники трафика: реклама в X, комментарии под официальными постами, прямые рассылки в Telegram.
2. Сайт показывает кнопку «Connect Wallet» — обычно через TON Connect, как у настоящих сервисов.
3. После подключения drainer сканирует кошелёк: сколько TON, какие jetton-ы и какие NFT там лежат, какова их рыночная цена.
4. Скрипт собирает злонамеренный запрос на подпись. В TON это обычно одна транзакция с большим внутренним сообщением, которая переводит сразу несколько jetton-ов и NFT на адрес атакующего.
5. Пользователь подписывает, не разобравшись в деталях. Активы уходят. Часть сразу размывается через миксеры или кросс-чейн мосты.

Специфика TON

• Атака целит не в TON, а в jetton-ы и NFT. Обычные TON-переводы пользователь распознаёт легче — там сумма видна явно. Куда коварнее запросы на трансфер всех jetton-балансов или массовый NFT-трансфер: интерфейс TON-кошельков не всегда суммирует общую стоимость, и жертва видит «несколько транзакций», но не понимает их совокупную ценность.
• Подделка mint-флоу. На фейковом NFT-mint-сайте drainer запрашивает подпись «mint», которая на самом деле является approval/transfer всех ценных NFT с кошелька.
• TON Connect — не уязвимость, а транспорт. Сам протокол работает корректно: показывает домен, передаёт сообщение в кошелёк. Drainer пользуется тем, что пользователь не читает детали подписи.
• Скорость. Хороший drainer может опустошить кошелёк за одну подпись — быстрее, чем жертва успеет осмыслить происходящее.

Признаки drainer-сайта

• Домен очень похож на легитимный, но не совпадает посимвольно.
• Сайт требует подключения кошелька до того, как показал хоть какой-то контент.
• Транзакция, которую вы должны подписать, длинная и содержит несколько внутренних сообщений сразу.
• В кошельке поле «получатель» — незнакомый адрес, не совпадающий с официальным контрактом сервиса.
• Призыв «срочно claim» с таймером.

Защита

• Хардвер-кошелёк для всего ценного. Drainer не сможет «незаметно» провести транзакцию — на экране устройства видно, что именно подписывается.
• Burner-адрес для нового dApp. Подключайте к незнакомому сайту кошелёк с минимальным балансом — даже если drainer сработает, он унесёт мелочь.
• Чтение подписи. Если кошелёк показывает «Send 5 jettons + 3 NFT to EQXxx…» — это не «mint NFT». Это вывод средств. Отказывайтесь.
• Обновлённый кошелёк. Tonkeeper, MyTonWallet и Tonhub постоянно добавляют эвристики предупреждений: подозрительные домены, известные drainer-адреса. Свежая версия защищает лучше.
• Список известных скамов. Tonviewer и Tonscan помечают вредоносные адреса. Если получатель транзакции уже известен как drainer-кошелёк — кошелёк может показать предупреждение.

Drainer — индустрия, и она будет существовать, пока находится достаточно жертв. Технического решения «выключить дренеры» не существует. Единственная защита — внимание пользователя в момент подписи и аппаратная изоляция приватного ключа.