draine
Новичок
- Сообщения
- 1
- Реакции
- 0
- Возраст
- 30
Комплексный крипто-дрейнер, замаскированный под «активацию / EIP-7702»
![[IMG]](/proxy.php?image=https%3A%2F%2Fd15shllkswkct0.cloudfront.net%2Fwp-content%2Fblogs.dir%2F1%2Ffiles%2F2024%2F01%2Fcryptodrainer.png&hash=f9cc2b6c22c4899757a06271b21be5d6 "[IMG]")
Он предназначен для получения подписи от пользователя в MetaMask и последующего автоматического вывода (кражи) ETH, ERC-20 и NFT на адрес злоумышленника.
Frontend
Назначение: выманить у пользователя криптографическую подпись.
Что происходит:
Пользователь не отправляет транзакцию, а лишь подписывает сообщение, что выглядит «безопасно», но затем используется сервером для запуска реальной транзакции.
Смарт-контракт
Назначение: выгребать активы.
Основные функции:
Backend / “Bundler”
Назначение: превратить подпись пользователя в реальную транзакцию в сети.
Что делает сервер:
Как только пользователь подписал сообщение, сервер мгновенно инициирует вывод средств без дополнительных подтверждений в MetaMask.
Общая картина
Это не тест, не «активация» и не безобидный dApp.
Фактически:
Если цель — анализ безопасности или обучение, то пример показателен.
Если цель — использование — это опасно и незаконно.
Он предназначен для получения подписи от пользователя в MetaMask и последующего автоматического вывода (кражи) ETH, ERC-20 и NFT на адрес злоумышленника.
Frontend
Назначение: выманить у пользователя криптографическую подпись.
Что происходит:
- Проверяется наличие MetaMask и запрашивается подключение кошелька.
- Подпись, nonce и адрес пользователя отправляются на локальный backend (/activate).
- Пользователю показывается «двухэтапный» процесс («Approve пропущен», «Finalize EIP-7702 Authorization») — это социальная инженерия.
- Во втором шаге MetaMask просит подписать произвольное сообщение (personal_sign), где пользователь «разрешает» взаимодействие с контрактом.
- Подпись, nonce и адрес пользователя отправляются на локальный backend (/activate).
Пользователь не отправляет транзакцию, а лишь подписывает сообщение, что выглядит «безопасно», но затем используется сервером для запуска реальной транзакции.
Смарт-контракт
Назначение: выгребать активы.
Основные функции:
- executeSweep():
- Отправляет весь ETH контракта владельцу.
- Переводит балансы популярных токенов (WETH, USDC, USDT, WBTC).
- Пытается перевести NFT из известных коллекций (BAYC, MAYC, CloneX).
- realTxOnly — анти-анализ/анти-симуляция:
- Проверки на tx.origin, остаток газа, чётность блока.
- Используется, чтобы затруднить обнаружение и симуляцию транзакции ботами и аудит-инструментами.
Backend / “Bundler”
Назначение: превратить подпись пользователя в реальную транзакцию в сети.
Что делает сервер:
- Принимает подпись и адрес жертвы.
- Формирует специальную транзакцию (тип 4, EIP-7702), где:
- Транзакция отправляется злоумышленником.
- Но авторизация берётся из подписи жертвы (authorizationList).
- Вызывает executeSweep() как будто от имени кошелька жертвы.
- Отправляет транзакцию в mainnet через Infura.
Как только пользователь подписал сообщение, сервер мгновенно инициирует вывод средств без дополнительных подтверждений в MetaMask.
Общая картина
Это не тест, не «активация» и не безобидный dApp.
Фактически:
- ✔ Пользователь подключает кошелёк
- ✔ Подписывает «безопасное сообщение»
- ✔ Сервер использует подпись для кражи активов
- ✔ Контракт выводит ETH, токены и NFT владельцу
- personal_sign с «разрешением» на контракт.
- Backend, который сам отправляет транзакции.
- Формулировки про «bundler», «instant drain», «victim».
- Контракт с функцией executeSweep.
- Отсутствие открытого, проверяемого UX-потока транзакций.
Если цель — анализ безопасности или обучение, то пример показателен.
Если цель — использование — это опасно и незаконно.