Дренери в Web3: як один клік опустошує ваш гаманець

Якщо думаєш, що в крипто небезпечні тільки фішингові посилання — ти недооцінюєш проблему. Реальна загроза ховається в звичайному підпису транзакції.

Як це працює

Drainer — це не вірус і не сайт, де тебе просять seed-фразу. Це смарт-контракт, який виглядає зовсім легітимно. Ти бачиш звичне вікно MetaMask або іншого гаманця:

“Підписати транзакцію” — і ось тут все починається.

Бтого, що приховано за цим підписом:

Схвалити без обмежень — надаєш контракту повний доступ до всіх своїх токенів. Один раз — і він може забирати токени скільки завгодно.

Дозвіл — виглядає як перевірка, а насправді це прихований переказ. Ти навіть не зрозумієш, що сталося.

“Create NFT” — імітує звичайну дію, але замість цього спустошує баланс.

“Sign to verify wallet” — нібито перевірка, насправді — зловмисний виклик до контракту.

Одна підпис = доступ до гаманця. І скасувати це неможливо.

Що робити

Мінімум захисту:

• Ніколи не підписуй, якщо не розумієш, що підписуєш
• Перевір URL — чи співпадає з офіційним сайтом з Discord або Twitter проєкту
• Перед підписом завжди читай, що саме ти підтверджуєш

Рівень вище:

• Заходь на Revoke.cash — там можна скасувати старі дозволи
• Встанови розширення типу Wallet Guard
• Використовуй різні гаманці для різних цілей — не тримай все в одному місці

Максимум захисту:

• Апаратний гаманець (Ledger, Trezor) — підписати можна тільки фізично
• Окремий гаманець для фермерства та експериментів
• Холодне сховище для основних активів

Твій підпис у крипті — це не просто клік мишкою. Це буквально ключ від сейфу.