Исследователь блокчейна установил, что как минимум $5,27 млн в криптовалюте было украдено за три недели при помощи новой скам-слубы, известной как Vanilla Drainer.
Драйнеры (Drainers) – это сущности, предоставляющие мошенническое программное обеспечение преступникам, часто в сочетании с фишинговыми тактиками для получения доступа к средствам жертв. Vanilla является частью нового поколения этих групп и долгое время оставалась незамеченной, но недавние кражи крупных сумм привлекли внимание исследователей блокчейна.
Пик скам-атак с использованием драйнеров пришелся на 2024 год, когда жертвы потеряли почти $500 млн через ведущие сервисы, такие как Angel, Inferno и Pink, согласно данным Scam Sniffer. Атаки драйнерами все еще происходят часто, хотя объемы сократились благодаря новым технологиям безопасности. Однако исследователь блокчейна Darkbit предупреждает, что драйнеры приспосабливаются.
«Я вижу, как Vanilla переманивает многих клиентов Inferno», — рассказал Darkbit Cointelegraph. «Большинство крупных краж на шесть и семь цифр в последнее время можно отнести к Vanilla Drainer».
Одна жертва потеряла $3 млн в криптовалюте из-за Vanilla Drainer
Ранние кражи с использованием Vanilla можно проследить до октября 2024 года, но ее первое известное публичное объявление было размещено 8 декабря 2024 года, хотя впоследствии оно стало недоступным. В рекламе утверждалось, что Vanilla может обойти Blockaid — платформу обнаружения мошенничества, которую драйнеры часто называют ключевым фактором снижения доходов и, в некоторых случаях, причиной их закрытия.
Сервис начинается с комиссии в размере 20% от доходов мошенничества для провайдера драйнера, что считается стандартным разделением в мире драйнинга. Согласно рекламе Vanilla, процент может быть снижен для более крупных сумм.
Крупнейшая кража, связанная с Vanilla, произошла 5 августа, когда жертва потеряла $3,09 млн в стейблкоинах. В этом случае операторы Vanilla, по всей видимости, получили комиссию в размере $463 000 за предоставление инструментов, что составляет около 17% от украденных средств.
После разделения комиссии Vanilla обычно конвертирует токены в нативную криптовалюту блокчейна, такую как Ether (ETH), прежде чем переводить их на финальный кошелек для комиссий (0x9d3…E710d), где накапливается большая часть комиссий за мошенничество, согласно Darkbit. Около $1,6 млн в этом кошельке было конвертировано в Dai (DAI) — децентрализованный стейблкоин, привязанный к доллару США, который нельзя заморозить, в отличие от своих централизованных аналогов USDT и USDC. На момент написания кошелек содержал $2,23 млн в токенах, в основном в DAI и ETH.
Атаки драйнеров и фишинговых схем возобновляются
Несколько драйнеров прекратили свою деятельность, поскольку инструменты безопасности ослабили индустрию драйнинга, но в последнее время драйнеры используют новые тактики.
По словам Darkbit, один из способов, с помощью которого Vanilla опережает конкурентов, — это постоянная смена доменов, не задерживаясь на одном месте слишком долго.
«Я начинаю видеть создание новых вредоносных контрактов для каждого вредоносного веб-сайта и домена, чтобы не попадать в поле зрения», — сказал Darkbit.
В июле фишинговые схемы украли $7,09 млн у жертв, что на 153% больше, чем в июне. Число жертв также выросло на 56% до 9 143, согласно данным Scam Sniffer.
Наибольшая единичная потеря в июле составила $1,23 млн. Анализ блокчейна показывает, что комиссии за драйнинг, собранные в рамках этой схемы, составили 54 ETH, что эквивалентно $204 074 на тот момент. Комиссии в конечном итоге были переведены на тот же подозрительный кошелек для комиссий Vanilla, который был связан с инцидентом на $3,09 млн в августе.
Анализ блокчейна также связывает Vanilla Drainer с двумя другими инцидентами на шесть цифр в июле, доведя ответственность драйнера до оценочных $2,19 млн — более 30% от общего объема фишинговых атак в этом месяце.
Драйнеры закрываются, но не исчезают
В период с 15 июля по 5 августа Vanilla использовалась как минимум в четырех крупных мошеннических схемах на общую сумму $5,27 млн, каждая из которых привела к потерям на шесть или семь цифр.
Vanilla быстро укрепилась в уменьшающемся, но все еще опасном секторе криптопреступности. Даже несмотря на то, что общий объем драйнинга замедлился с 2024 года, Vanilla зарабатывает миллионы и привлекает бывших пользователей Inferno. Darkbit утверждает, что ее операторы остаются гибкими, меняя домены и контракты, чтобы оставаться незамеченными.
История показывает, что даже публичное закрытие редко означает конец. Inferno Drainer, например, объявил о своем закрытии в ноябре 2023 года, только чтобы появиться вновь в течение 2024 года, прежде чем передать операции Angel Drainer позднее в том же году. Несмотря на эти объявления, активность, связанная с Inferno, продолжалась в 2025 году и была связана с потерями на сумму более $9 млн за шесть месяцев.
Быстрый рост Vanilla наряду с устойчивостью Inferno показывает, что сервисы драйнеров редко исчезают — они адаптируются, переименовываются или передают свои инструменты новым операторам. Для следователей задача состоит в том, чтобы не отставать от экосистемы, которая отказывается умирать.
