Fiyatlar yükleniyor…
Zipp Zipp Reklam Ver
Kaydol Giriş yap

Wallet Drainer Nedir? Approval Phishing Açıklaması

Wallet drainer'lar 2024-2026'nın baskın zincir üstü hırsızlık aracıdır — masum görünen tek bir approval imzaladığın anda cüzdanı boşaltan kötü amaçlı akıllı sözleşmeler. İşte nasıl çalıştıkları, milyon dolarlık olaylar ve imzalamadan önce nasıl durdurulacağı.

security Zipp · 8 dk okuma ·
Wallet Drainer Nedir? Approval Phishing Açıklaması

Bu neden önemli

2024-2026'da bir cüzdanın "tek bir imzayla" boşaldığını okuyorsan, teknik mekanizma neredeyse her zaman bir wallet drainer'dır. Desen baskındır çünkü saldırganlar için olağanüstü maliyet etkindir: sözleşmeyi bir kez yaz, onlarca phishing sitesinin ve reklamın arkasına yapıştır, sonra bekle. Drainer-as-a-service kitleri — Pink Drainer, Inferno Drainer, Angel Drainer, Pussy Drainer, diğerleri — bir phishing kitine sahip herkese sözleşme ve altyapı sağlar; kit operatörü çalınan fonların %20-30'unu alır. Chainalysis ve SlowMist tutarlı olarak drainer'ların 2023'ten beri her yıl yüz milyonlarca dolar perakende kayba neden olduğunu bildirir.

İyi haber: her drainer saldırısı bir insan eylemi gerektirir — kullanıcının aslında yapmak istemediği bir işlemi imzalama. O imza talebinin şeklini anladığında, reddedebilirsin.

Henüz yaygın kripto dolandırıcılıkları'nı okumadıysan, o sayfa daha geniş dolandırıcılık manzarasını ele alır; bu sayfa en aktif tek saldırı deseni üzerine teknik derinlemesine bir dalıştır.

Bir wallet drainer aslında nasıl çalışır

Kanonik saldırı zinciri şudur:

  1. Tuzak. Kurban bir phishing sitesini ziyaret eder — sahte bir NFT mint, sahte bir airdrop talebi, sahte bir DEX, gerçek bir protokol için sahte bir "migration" sayfası, bazen bir Google reklamı veya ele geçirilmiş doğrulanmış bir Twitter hesabı aracılığıyla.
  2. Cüzdan bağlantısı. Site kullanıcıdan cüzdanını bağlamasını ister. Sadece bağlanmak fon kaybetmez; sadece cüzdan adresini paylaşır. Bu sosyal mühendislik rampasıdır.
  3. Kötü amaçlı imza talebi. Saniyeler içinde, site bir cüzdan popup'ını tetikler. Popup, kullanıcıdan birkaç aldatıcı işlemden birini imzalamasını ister: sınırsız bir ERC-20 approval'ı, bir Permit/Permit2 imzası, NFT'ler için bir setApprovalForAll veya bir "claim" çağrısı olarak gizlenmiş doğrudan bir transfer.
  4. Drainer fonları çeker. İmzalandığında, drainer sözleşmesi hemen onaylanan transferFrom'u çağırır (veya imzalı permit'i yürütür) ve cüzdanın tokenlerini saldırgana taşır. Sınırsız approval'lar için, drainer haftalarca uykuda kalabilir ve cüzdanın bakiyesi büyüdüğünde boşaltabilir.
  5. Fonlar aklanır. Dakikalar içinde, çalınan fonlar bölünür, ETH'ye swap edilir, Tornado Cash veya benzer bir mikser aracılığıyla yönlendirilir, başka bir zincire köprülenir veya merkezi bir borsaya gönderilir.

Tüm sıra — kullanıcı imzasından saldırganın cüzdanındaki fonlara — genellikle 30 saniyenin altındadır. Bir blockchain'de "geri al" düğmesi yoktur.

Drainer'ların istismar ettiği belirli imza türleri

Sınırsız ERC-20 approval'ı

En yaygın. Standart DeFi protokolleri token approval'ları ister (örn. Uniswap USDC'ni harcamak için izin gerektirir). Drainer'lar da approval ister — ama keyfi bir miktar için (sıkça type(uint256).max — "sınırsız") ve bilinen bir DEX'e değil, drainer sözleşmesine verilen. Verildikten sonra drainer transferFrom'u çağırabilir ve cüzdanındaki o türden her tokeni hareket ettirebilir. Kullanıcı "USDC'yi [Spender] için Onayla" gibi bir şey görür ve imzalar — spender drainer'dır.

Permit / Permit2 imzaları

EIP-2612 "permit", bir kullanıcının gaz ödemeden token approval'ı vermesine izin verir — sadece başkasının (spender) daha sonra zincire gönderebileceği bir zincir dışı imza. Uniswap'in Permit2'si bunu birden çok tokene ve çoklu protokol kullanımına genelleştirdi. Drainer'lar permit imzalarını sever çünkü birçok cüzdanda zararsız "oturum açma" istekleri gibi görünürler ve birçok kullanıcı imzalı bir permit'in haftalar sonra yürütülebileceğini fark etmez.

NFT'ler için setApprovalForAll

ERC-721 ve ERC-1155 NFT koleksiyonlarının, bir koleksiyondaki her NFT'yi hareket ettirme izni veren setApprovalForAll adlı bir fonksiyonu vardır. Değerli NFT cüzdanlarını hedefleyen drainer'lar bu imzayı bir "claim", "verify" veya "reveal" eylemi olarak gizlenmiş ister. İmzalandığında hedeflenen koleksiyondaki her NFT dışarı transfer edilebilir.

Claim olarak gizlenmiş doğrudan transfer

Daha az ince ama hâlâ etkili: sahte bir "claim" veya "migrate" düğmesi, adı zararsız ama payload'ı aslında cüzdanın tüm ETH'sinin (veya belirli bir tokenın) drainer'a transferi olan bir fonksiyonu çağırır. Cüzdanın popup'ı tokenler gönderen işlemi gösterecektir; okumadan imzalayan kullanıcılar bunu kaçırır.

İmzalı mesajlar ve EIP-712 imzaları

Bazı drainer'lar oturum açma veya zincir dışı anlaşma mesajları gibi görünen yapılandırılmış-veri imzaları (EIP-712) kullanır. İmzalı mesaj aslında drainer'ın fonları çıkarmak için zincire ilettiği bir meta-işlemdir. Bu fark etmesi daha zordur çünkü cüzdanlar imzayı sıkça net bir "fon gönder" uyarısı yerine insan tarafından okunabilir bir nesne olarak gösterir.

2024-2026 önemli drainer olayları

Inferno Drainer'ın tek başına, 2023 sonunda emekli olduğunu iddia etmeden önce on binlerce kurbandan 80 milyon doların üzerinde çaldığı bildirildi — neredeyse hemen klonlarla değiştirilen bir hizmet. Pink Drainer 2024 boyunca devam etti ve kötü amaçlı linkler yayınlayan tanınmış kripto Twitter hesaplarının yüksek profilli bir tehlikesi dahil birçok olaydan 70M$+ aralığında bildirilen miktarlar çaldı. Angel Drainer 2024-2025'te Discord sunucularına bot aracılı DM saldırıları dahil birçok wallets-as-a-service kampanyasına bağlandı.

Bireysel olaylar arasında tek bir approval imzalayan tek cüzdanlardan milyon dolarlık hırsızlıklar yer aldı — dikkat çekici bir 2024 vakası, bir drainer'ı bir adres-zehirleme hilesiyle birleştiren tek bir adres-spoofing saldırısıyla 69 milyon dolarlık WBTC'nin hareket ettirildiğini gördü. Kategori, zincir üstü analitik firmalarının hangi sitelerin ve Twitter hesaplarının şu anda kötü amaçlı olduğunun öncü bir göstergesi olarak toplu drainer cüzdan hareketlerini takip edecek kadar büyüktür.

İmzalamadan önce kırmızı bayraklar / kontrol listesi

Her drainer vurgusu nihayetinde bir kullanıcının bir belirli işlemi imzalamasına bağlıdır. Bunlardan herhangi birini varsayılan kırmızı bayraklar olarak değerlendirmek olayların büyük çoğunluğunu önler:

  • Site arama, reklam, DM veya sabitlenmiş tweet aracılığıyla ulaştığın bir site — bir yer imi değil. Drainer'lar sponsorlu reklamlarda ve "doğrulanmış" ele geçirilmiş hesaplarda yaşar. Yer imli URL'ler neredeyse hiç boşalmaz.
  • İmza tanıdık olmayan bir spender adresi için. Bilinen protokollere (Uniswap, Aave, Curve) approval'lar normaldir. Sözleşme doğrulaması, Etherscan etiketi, geçmişi olmayan adreslere approval'lar normal değildir.
  • İmza sınırsız (uint256.max) bir miktar için. Modern cüzdanlar (MetaMask, Phantom, Rabby) bunu işaretler. Approval'ları varsayılan "sınırsız" yerine ihtiyacın olan belirli miktarla sınırla.
  • Popup bir işlemden çok bir "imza". Permit ve EIP-712 imzaları gaz maliyeti yoktur ve tıkla-geç bir oturum açma gibi hissettirir — ama fonları hareket ettirmek için zincire iletilebilecek gazsız yetkilendirmelerdir. Birçok cüzdan artık bilinen kötü amaçlı permit desenleri için açık uyarılar gösterir; oku.
  • Site bir "claim" veya "verify" veya "migration" düğmesine bastırır. Gerçek talepler genellikle önceden yer imli projenin resmi URL'sinden gelir. Claim düğmeli yeni siteler drainer yüzeyinin %95'idir.
  • Acil zamanlama. "Sadece 24 saat", "sınırlı yer", "deprecation öncesi acil migration" — drainer'lar aciliyetle çalışır.
  • Cüzdan popup işlem detayları yanlış görünüyor. Ücretsiz bir NFT almayı beklediğinde "1,4 ETH gönder" diyorsa, reddet. Modern cüzdanlar ve Wallet Guard, Pocket Universe ve Blockaid gibi araçlar işlemleri risk uyarılarıyla notlandırır — onlara kulak ver.

İmzaladıysan ne yapmalı

Bir drainer işlemini imzaladıysan, her saniye önemlidir. Standart oyun planı:

  1. Diğer her tokeni hemen taşı. Hâlâ cüzdanda NFT'ler veya diğer varlıkların varsa, hemen yeni bir cüzdana gönder. Drainer genellikle önce en değerli tokenleri almak, sonra tozu süpürmek için script yazılır.
  2. Tehlikeye giren cüzdandaki tüm approval'ları iptal et. Her aktif token approval'ını (ve NFT setApprovalForAll'ı) iptal etmek için revoke.cash veya cüzdanının yerleşik approval yöneticisini kullan. Bu, sınırsız onayladığı ve yeni mevduatları bekleyen uykudaki bir drainer'ı durdurmanın tek yoludur.
  3. Cüzdanı anlamlı gelecek kullanım için yak. Sınırsız approval imzaladıysan ve sadece bazılarını iptal edersen, drainer yeni gelen tokenleri hâlâ boşaltabilir. Güvenli hareket, etkilenen token sınıfları için cüzdanı tamamen terk etmek — ideal olarak her şey için.
  4. Belgele. Siteyi, cüzdan popup'ını, işlem hash'ini ekran görüntüsü al. Herhangi bir rapor için buna ihtiyacın olacak.
  5. Drainer adresini zincir analitiğine bildir. Chainalysis, TRM Labs, SlowMist ve Etherscan rapor kabul eder. Adres merkezi borsalar için işaretlenir — ara sıra drainer cüzdanları cashout'ta dondurulur, çalınan fonların küçük bir kısmı iade edilir.
  6. "Kurtarma" tekliflerini kabul etme. Bir drainer vurgusundan saatler sonra, fonlarını bir ücret karşılığında kurtarmayı teklif eden DM'ler alırsın. Bunlar kendi başlarına dolandırıcılıklardır. Hiçbir meşru ücretli hizmet bir blockchain transferini geri alamaz.

Nasıl korunulur

  • Anlamlı bakiyeler için bir hardware cüzdan kullan. Hardware cüzdanlar seni saldırganın ulaşamayacağı küçük bir ekranda gerçek işlemi (veya imzayı) okumaya zorlar. Cihazda spender adresini ve miktarı okumak en etkili tek drainer savunmasıdır.
  • Sıcak/soğuk bölünmeyle çalış. Yeni siteler ve DeFi keşfi için ayrı küçük bir etkileşim cüzdanı tut. Ana bakiyeleri yalnızca bilinen protokol işlemlerini imzalayan bir hardware cüzdanında tut.
  • Resmi URL'leri yer imlerine ekle ve kullan. Bir cüzdana, borsaya, mint veya claim sitesine asla arama, reklam, DM veya sosyal link aracılığıyla ulaşma. Drainer'lar Google reklamlarında ve tehlikeye girmiş "doğrulanmış" Twitter postlarında gerçek alan adlarının üzerinde sıralanır.
  • Birkaç ayda bir approval'ları denetle ve iptal et. EVM zincirleri için revoke.cash, Solana için benzer araçlar kullan. Uzun süre unutulmuş bir dApp'e eski bir approval, sen kapatana kadar var olan bir arka kapıdır. Bunu bir alışkanlık yap.
  • Sınırsız değil sınırlı approval'lar ayarla. MetaMask, Phantom ve Rabby özel bir approval miktarı seçmene izin verir. "Şu anda ihtiyacım olan miktarı" seç, "sınırsız" değil — meşru protokollerde bile.
  • İşlem-analiz uzantıları yükle. Wallet Guard, Pocket Universe, Blockaid, Fire — bunlar işlemleri istemci tarafında inceler ve imzalamadan önce bilinen drainer desenleri hakkında uyarır. Mükemmel değiller ama hazır saldırıların büyük çoğunluğunu yakalarlar.
  • Her imza talebini tüm bakiyene mal olacakmış gibi değerlendir. Çoğu olmasa da, yakından bakana kadar geri kalan gibi davrananlar vardır. Varsayılan-reddet ve bir şey beklediğin tam şeyi söyleyene kadar yeniden oku.

Daha geniş dolandırıcılık taksonomisi ve operasyonel alışkanlıklar için yaygın kripto dolandırıcılıkları'na bak; bir sıcak cüzdan boşalsa bile fonları koruyan depolama mimarisi için kriptoyu güvenli depolama ve en iyi kripto cüzdanlar 2026'ya bak.

Drainer kampanyalarını izle, haberleri izle

Drainer kitleri haftalık kampanyalar arasında döner — ele geçirilmiş bir Twitter hesabında yeni bir kötü amaçlı URL canlıya geçer, bir NFT koleksiyonunun resmi sitesi tehlikeye girer, bir Google reklamı sahte bir Phantom yükleyicisi iter. Bunlar tipik olarak senin zaman çizelgene vurmadan saatler önce güvenlik basınına çarpar. Zippfeed güvenlik ve büyük token manşetlerini sentiment ve önem skoruyla takip eder; böylece aktif drainer kampanyalarını ve tehlikeye girmiş altyapıyı erkenden görebilirsin — DeFi için bir sıcak cüzdan çalıştırsan, yeni bir mint değerlendirsen veya sadece hangi haftanın tehditlerine ekstra dikkatli olmaya değer olduğunu bilmeye çalışsan yararlıdır.

Sıkça sorulan sorular

Wallet drainer nedir?
Bir wallet drainer, kötü amaçlı bir akıllı sözleşmedir — genellikle bir phishing sitesiyle eşleştirilir — bir kullanıcı tek bir aldatıcı işlemi imzaladığı anda bir cüzdanı boşaltır. İşlem tipik olarak drainer'a fonları hareket ettirme izni veren bir token approval'ı, bir Permit imzası veya bir NFT setApprovalForAll'dır. Drainer'lar 2024-2026'nın baskın zincir üstü hırsızlık deseni olmuştur, yılda yüz milyonlarca çalmaktadır.
Approval phishing nasıl çalışır?
Bir kullanıcı, cüzdanını bağlamasını ve sonra bir işlemi veya imzayı imzalamasını isteyen bir phishing sitesini ziyaret eder. İşlem tıkla-geç gibi görünür ama aslında sınırsız bir ERC-20 approval'ı, bir Permit veya bir setApprovalForAll'dır. İmzalandığında, drainer sözleşmesi cüzdandan tokenleri transfer etmek için o izni kullanır — bazen anında, bazen haftalar sonra cüzdan bakiyesi büyüdüğünde.
Bir işlemin wallet drainer girişimi olduğunu nasıl bilirim?
Kırmızı bayraklar: spender adresi tanıdık değil veya doğrulanmamış, approval miktarı "sınırsız" (uint256.max), popup normal bir işlem yerine gazsız bir Permit imzası, site aciliyet dili kullanıyor ("yarına kadar talep et") veya siteye bilinen bir yer imi yerine reklam / DM / sabitlenmiş tweet aracılığıyla ulaştın. Wallet Guard, Pocket Universe ve Blockaid gibi tarayıcı uzantıları bilinen drainer desenlerini notlandırır.
Bir wallet drainer işlemini imzaladıktan sonra ne yapmalıyım?
Kalan tokenleri veya NFT'leri hemen yeni bir cüzdana taşı, sonra tehlikeye giren cüzdandaki her aktif approval'ı ve setApprovalForAll'ı iptal etmek için revoke.cash (veya cüzdanının approval yöneticisini) kullan. Bir Permit imzalandıysa her zaman iptal edilemez, bu yüzden daha güvenli hareket etkilenen token sınıfları için cüzdanı tamamen terk etmektir. Drainer adresini belgele ve bildir, ama hiçbir "kurtarma hizmeti" için ödeme yapma — onlar kendi başlarına dolandırıcılıklardır.

İlgili kılavuzlar