Back to Blog

Drainer-as-a-Service: Взгляд на фишинговую экономику Ethereum объемом $135 млн

Phalcon Compliance
October 21, 2025
4 min read
Key Insights

В новой научной статье «Разоблачение теневой экономики: глубокое погружение в фишинг "Drainer-as-a-Service" в сети Ethereum» представлен первый систематический взгляд на изощренное преступное предприятие, отравляющее пространство Web3. Это совместное исследование Чжэцзянского университета и Университета искусственного интеллекта имени Мохаммеда бин Заида (MBZUAI) раскрывает принципы работы «Drainer-as-a-Service» (DaaS) — процветающей подпольной экономики, которая похитила более 💲135 миллионов долларов у 76 582 жертв.

Мы в BlockSec особенно гордимся тем, что первый автор статьи, Боуэн Хэ, провел часть этого важнейшего исследования во время стажировки в нашей команде.

Бизнес-модель DaaS: индустриализация киберпреступности

В отличие от традиционного спонтанного фишинга, DaaS функционирует как структурированная B2B-компания по производству программного обеспечения. В статье детально описан четкий операционный процесс:

  1. Операторы (разработчики): Это «мозговые центры», которые разрабатывают и поддерживают сложные инструментарии для «вывода средств из кошельков» (wallet drainer). Эти наборы включают шаблоны фишинговых веб-сайтов и, что критически важно, автоматизированные смарт-контракты для распределения прибыли.
  2. Партнеры (распространители): Они «арендуют» или приобретают эти наборы инструментов. Их задача — развертывать фишинговые сайты и привлекать трафик, заманивая жертв через социальные сети, фейковые аирдропы и скомпрометированные аккаунты.

Как только жертву обманом заставляют подписать вредоносную транзакцию, украденные средства автоматически распределяются смарт-контрактом. Исследование показывает, что наиболее распространенная пропорция — 20% оператору и 80% партнеру. Такая высокая комиссия является мощным стимулом для партнеров максимально расширять охват и масштабировать атаки, питая всю экосистему.

Расследование кражи на сумму 135 млн долларов: метод «снежного кома»

Чтобы количественно оценить эту теневую экономику, исследователи разработали инновационный «метод снежного кома» (snowball sampling). Начав с исходного набора известных фишинговых адресов, они отслеживали ончейн-транзакции по распределению прибыли, чтобы рекурсивно обнаруживать новых операторов, партнеров и контракты.

Результаты за период с марта 2023 года по апрель 2025 года поразительны:

  • Всего похищено: 💲135 миллионов (23,1 млн $ — операторам, 111,9 млн $ — партнерам)

  • Преступная инфраструктура: 1 910 контрактов для распределения прибыли и 87 077 транзакций по распределению прибыли.

  • Преступная сеть: 56 основных аккаунтов операторов и 6 087 аккаунтов партнеров.

Атаки технически изощренны. В статье раскрывается, что дренеры используют различные методы в зависимости от типа активов:

  • Для ETH: жертв обманом убеждают вызвать функцию payable (например, под названием "claim" или "mint").

  • Для ERC-20 и NFT: фишинговые сайты побуждают жертв одобрить (approve) передачу своих активов контракту дренера. Затем оператор использует функцию TransferFrom для выполнения нескольких вызовов передачи в рамках одной транзакции, выводя сразу все различные активы.

Доминирующие преступные кланы

Ландшафт DaaS — это не разрозненный рынок. Исследование выделяет девять основных «семей», при этом три группы доминируют в сети и присваивают 93,9% всей незаконной прибыли:

  1. Angel Drainer (53,1 млн $)
  2. Inferno Drainer (59,0 млн $)
  3. Pink Drainer (14,7 млн $)

Это не просто названия брендов; это отдельные организации с уникальными операционными стратегиями. В статье подчеркивается, как именно они управляют своими партнерскими сетями:

  • Продвинутое управление: Крупнейшие семьи, такие как Angel и Inferno Drainer, предоставляют партнерам специализированные админ-панели для отслеживания заработка в режиме реального времени.

  • Геймификация стимулов: Они используют системы уровней. Например, Inferno Drainer распределяет партнеров по рангам в зависимости от прибыли (10 тыс. $, 100 тыс. $, 1 млн $), предлагая участникам высшего уровня лучшую поддержку и награды.

  • Бонусные вознаграждения: Для повышения мотивации Angel Drainer случайным образом раздает NFT партнерам с высокими доходами, а Inferno Drainer периодически выплачивает награды в ETH и даже BTC самым эффективным участникам сети.

Огромная «слепая зона» в безопасности

Используя цифровые отпечатки файлов инструментариев и отслеживая логи прозрачности сертификатов (Certificate Transparency logs) на предмет подозрительных доменных имен, исследователи активно охотились за DaaS-сайтами. Им удалось выявить и сообщить о 32 819 фишинговых сайтах.

Однако самым тревожным открытием стала неадекватность текущих отраслевых средств защиты. Исследование показало, что лишь 10,8% адресов, связанных с DaaS в их выборке, были ранее помечены в общедоступных трекерах, таких как Etherscan. Это выявляет огромную «слепую зону», позволяя этим преступным сетям действовать практически безнаказанно.

Почему это исследование — критический сигнал к действию

Феномен DaaS доказывает, что фишинг в Web3 эволюционировал из простого мошенничества в индустриализированную экономику услуг. Он умело эксплуатирует децентрализованный и компонуемый характер DeFi в злонамеренных целях.

Начните работу с Phalcon Compliance

Центр комплаенса для проверки кошельков и KYT

Попробовать бесплатно

Это исследование подчеркивает острую необходимость в многоуровневой безопасности:

  • Проактивное выявление угроз: Выход за рамки простых черных списков для идентификации преступной инфраструктуры еще на стадии ее создания.

  • Продвинутая безопасность кошельков: Внедрение надежной симуляции транзакций и четких, понятных пользователю предупреждений, прежде чем он подпишет передачу своих активов.

  • Межотраслевое сотрудничество: Создание более быстрых и комплексных каналов для обмена данными об угрозах и маркировки вредоносных адресов.

Это исследование знаменует собой переломный момент. Фишинг в сети Ethereum — это больше не «подработка», а индустриализированная экономика с разделением доходов, действующая прямо у всех на виду. Мы в BlockSec продолжим использовать передовые исследования для создания инструментов безопасности нового поколения, способных эффективно противостоять этим развивающимся и профессионализированным угрозам.

Ознакомиться с полной версией статьи: https://assets.blocksec.com/pdf/1761189308551-2.pdf

Sign up for the latest updates
Руководство по комплаенс-ПО для криптовалют: технические основы и лучшие инструменты

Руководство по комплаенс-ПО для криптовалют: технические основы и лучшие инструменты

FATF, MiCA, OFAC — три регулятора, один вопрос для VASP: готова ли ваша система комплаенса к завтрашним проверкам или вы все еще живете вчерашним днем?

Инструменты криптокомплаенса: практическое руководство по интеграции Web3 и TradFi

Инструменты криптокомплаенса: практическое руководство по интеграции Web3 и TradFi

В 2024 году регуляторы наложили штрафы на сумму $4,2 млрд. Для Web3 и TradFi выбор правильного стека комплаенса стал обязательным условием выживания.

Как выбрать платформу для комплаенса в блокчейне, подходящую для вашего бизнеса

Как выбрать платформу для комплаенса в блокчейне, подходящую для вашего бизнеса

На каждые 10 000 USDT в сети приходится около 13 USDT «грязных» активов. Выбор платформы определяет, попадут ли эти средства на ваш баланс.

Start Real-Time AML with Phalcon Compliance

Turn Phalcon Network alerts into actions with Phalcon Compliance. Use verified blockchain intelligence to screen wallets, monitor transactions and investigate risks. This helps you respond quickly and stay compliant in the digital assets ecosystem.

Get Started with Phalcon Compliance
Contact Sales
Phalcon Compliance