惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
WordPress大学
WordPress大学
N
Netflix TechBlog - Medium
宝玉的分享
宝玉的分享
V
Visual Studio Blog
S
Securelist
P
Palo Alto Networks Blog
A
Arctic Wolf
T
Tor Project blog
P
Proofpoint News Feed
I
InfoQ
博客园 - 三生石上(FineUI控件)
T
Threat Research - Cisco Blogs
G
GRAHAM CLULEY
M
MIT News - Artificial intelligence
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
Microsoft Security Blog
Microsoft Security Blog
MongoDB | Blog
MongoDB | Blog
C
CXSECURITY Database RSS Feed - CXSecurity.com
Apple Machine Learning Research
Apple Machine Learning Research
S
Secure Thoughts
Cyberwarzone
Cyberwarzone
Blog — PlanetScale
Blog — PlanetScale
Simon Willison's Weblog
Simon Willison's Weblog
博客园 - 【当耐特】
大猫的无限游戏
大猫的无限游戏
腾讯CDC
Latest news
Latest news
Project Zero
Project Zero
V
Vulnerabilities – Threatpost
Y
Y Combinator Blog
S
SegmentFault 最新的问题
Schneier on Security
Schneier on Security
C
CERT Recently Published Vulnerability Notes
W
WeLiveSecurity
罗磊的独立博客
Stack Overflow Blog
Stack Overflow Blog
酷 壳 – CoolShell
酷 壳 – CoolShell
L
LINUX DO - 热门话题
N
News and Events Feed by Topic
PCI Perspectives
PCI Perspectives
C
Cisco Blogs
Application and Cybersecurity Blog
Application and Cybersecurity Blog
爱范儿
爱范儿
T
The Exploit Database - CXSecurity.com
The Last Watchdog
The Last Watchdog
人人都是产品经理
人人都是产品经理
GbyAI
GbyAI
Know Your Adversary
Know Your Adversary
U
Unit 42

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Я прошёл крипто-развод до конца и реверснул дрейнер: 12 доменов и не меньше $784k у ~70 жертв
Александр · 2026-06-23 · via Все публикации подряд на Хабре

Средний

8 мин

61

Наверное, всем, кто хоть раз касался крипты, писали в личку в телеге ребята с предложением о каком-то совместном заработке. Мне - регулярно. И всегда это выглядело настолько глупым разводом, что-то между «я король Зимбабве и хочу отправить вам мои деньги» и «нажми и посмотри, ты ли на этом фото», что я даже не дочитывал.

В этот раз дочитал. Решил пройти игру до конца и понять, в чём, собственно, развод. Был уверен, что упрусь в банальный фишинг - форма ввода сид-фразы, и привет. Ошибался. Под глупой обёрткой оказался рабочий дрейнер - программа, которая вычищает кошелёк подчистую, - кластер из 12 доменов и шестизначный ущерб, который читается прямо в блокчейне. Дальше по порядку, как оно разворачивалось.

Заход

Начали по учебнику. Формальные вопросы: работал ли с криптой, знаю ли, что такое стейкинг и пулы ликвидности. Я отвечал коротко. Дальше пошло пространное объяснение партнёрской программы, которая позволит заработать нам с ним )))

Я попросил подробности. Мне прислали короткое видео - поддельный кабинет Binance.US:

Надо отдать должное - сделано неплохо. Поддельный кабинет Binance.US, раздел «On-Chain Yields», доходность, всплывающее окно активации, баланс на 5.9 BTC. Комментатор за кадром даёт фору Губерниеву.

Но как же наш «крипто-Кустурица» снял этот шедевр кинематографа? В адресной строке честно горит binance.us - и это не монтаж: бар настоящий, его рисует сам браузер, я проверил по кадрам. А вот как мошенник это провернул - дальше уже моё предположение. Скорее всего, binance.us он завернул на свой клон прямо у себя на машине: подменил, на какой адрес резолвится домен, и подставил самодельный сертификат, которому его же машина доверяет (поэтому браузер и не ругается на замок). Разные пути в строке - это переключение разделов внутри страницы, без перезагрузки, домен при этом не меняется. Сам «кабинет» - рабочее приложение-дрейнер, не картинка. Если кто-то спец в этом - напишите в комментах, интересно. Фильм, кстати, реально крутой, рекомендую.

Вернёмся к переписке. Досмотреть до конца я тогда не успел, был занят. А «амбассадор Binance» уже форсировал и проявлял чудеса эмпатии в продажах: мне бы таких продавцов на мою работу. Уловив мои сомнения, он готов был снизить порог входа до приемлемых мне 100 долларов. Вообще-то все его клиенты заходят на всю котлету )))

Наживка: письмо

После моего согласия он оформил так называемый договор и прислал ссылку «от Binance». Письмо пришло на gmail и выглядело прилично.

Так письмо выглядело в почте: тема и «отправитель» - как у настоящего Binance

Так письмо выглядело в почте: тема и «отправитель» - как у настоящего Binance

Открытое письмо: поддельное предложение DeFi-стейкинга

Открытое письмо: поддельное предложение DeFi-стейкинга

Тема - «Binance US DeFi Staking Contract Confirmation», отправитель - do-not-reply@post.binance.com. Спуфинг, и заголовки показывают как именно. Письмо ушло с сервера самого мошенника - bsc-mail.com (155.117.117.49, хостинг FreakHosting; тот же bsc- почерк, что у его сайтов), а в поле From просто вписан Binance. SPF - softfail, DKIM - pass, но подписано доменом bsc-mail.com, не Binance: косметическая «галочка», обманывающая беглый взгляд. Итог по вердикту Google - dmarc=fail. И всё равно письмо прошло: у субдомена post.binance.com политика DMARC p=none, так что почта, распознав подделку, по инструкции домена ничего с ней не делает - подделка спокойно ложится в инбокс… и Voilà (пока писал это, вспомнил песню Barbara Pravi «Voilà»). Ну правда, хорош чертяка.

Самое аккуратное в письме - ссылки. Почти все вели на настоящий binance.us: помощь, тарифы, юридическая страница. Все, кроме одной - той самой, кнопки стейкинга. Она уходила на ссылку-переходник:

https://binanc.email/click?em=<почта-жертвы>&do=binance-group.com&hs=<хэш-клика>&re=<id-получателя>&ts=<таймстамп>&action=direct

binanc.email - ссылка-счётчик из готового набора для рассылок. По отпечатку браузера она решает, куда вести: живого человека - на дрейнер binance-group.com, сканеру или боту - на настоящий binance.us. Та самая маскировка, ботам одно, людям другое, из-за которой письмо и домен выглядят чистыми. В письме - и весь рецепт по шагам: закинь BNB «на комиссию», заведи в кошелёк минимум 100 USDT и «подпиши смарт-контракт». Сотня тут не то, что украдут, - это просто низкий порог входа, чтобы не пугал (те самые «всего 100 долларов», которыми и заманивали). «Контракт» - это approve, и после подписи оператор выносит весь баланс, а не сотню. Письмо даже обещает «не больше 3000 USDT на пользователя» - тоже ложь: у approve лимита нет, крупные жертвы теряли по $100-164k.

Что за ссылкой: как устроена кража

За этой ссылкой-переходником - обычное окно подключения кошелька, то самое «Connect Wallet» / WalletConnect, что показывает любой DeFi-сайт. Под капотом - набор Reown AppKit (бывший Web3Modal); сам WalletConnect никуда не делся, это протокол подключения, который и видит пользователь. Я подключил пустой одноразовый кошелёк и снял трафик.

живой захват: подключение кошелька и запрос data.walletAddress

живой захват: подключение кошелька и запрос data.walletAddress

Механика простая. Никакого взлома кошелька или дыры в библиотеке: жертва сама подписывает операцию, не понимая, что подписывает. По шагам:

оператор = 0x93773F84c4378f6f32c7928cde1c1cb98239FbDa

жертва подключает кошелёк
        │
        ▼
подписывает approve(оператор, гигантская сумма)   ← под видом «подтвердить стейкинг»
        │   сумма астрономическая - фактически лимит без ограничения
        ▼
тот же оператор вызывает transferFrom(жертва → сборщик)
        │   жертва эту транзакцию не подписывает и не платит за неё газ
        ▼
баланс уходит на адрес-сборщик; газ платит оператор

Если открыть саму транзакцию слива, в ней вызван transferFrom - «списать с чужого адреса по заранее выданному разрешению», а не transfer. Отправитель - адрес оператора 0x93773F84c4378f6f32c7928cde1c1cb98239FbDa, и именно ему жертва ранее выдала approve: он и есть тот spender, которому разрешили списывать. Адрес жертвы стоит лишь параметром «откуда списать». То есть списал оператор по заранее выданному разрешению - жертва транзакцию не подписывала и за газ не платила. И разрешение до сих пор активно: остаток allowance на адресе жертвы - порядка 10⁶⁰ в сырых единицах токена. Это гигантское число, фактически без предела (больше, чем вообще существует USDT), и не ровно uint256.max, а конкретная огромная сумма. Оператор может вычистить любой USDT, который жертве ещё придёт.

Адрес получателя сайт не держит открыто - он приходит с сервера отдельным запросом (data.walletAddress), зашифрованным AES-256-CBC. Только это не защита, а декоративная обфускация: ключ и вектор инициализации лежат рядом, в открытых переменных NEXT_PUBLIC - ключ от замка висит на самом замке. Шифруют не от жертвы (в транзакции адрес всё равно виден), а чтобы получатель не светился в исходниках страницы и его не выдернули автоматические сканеры и блок-листы, которые шерстят статику. Я ключ забрал, расшифровал, получил адрес - 0x28d8660E65282F7C86c9CA13C24A77b7F7046979. Он регулярно меняется на стороне сервера: на момент разбора держал ~0.019 BNB и ноль USDT, деньги уходят дальше сразу.

Если хочется общего контекста по дрейнерам, у Xakep есть хороший разбор механики (crypto-drainers). Здесь - конкретный свежий кейс с цифрами.

Кластер: домены и хостинг

Дрейнер живёт не на одном домене. Всё семейство связано одним отпечатком - служебным запросом data.walletAddress, который грузится только на странице этого дрейнера. По нему собирается 11 доменов-дрейнеров и один домен-переходник.

Домен

Роль

Зарегистрирован

Реальный сервер за Cloudflare

binance-group.com

целевой дрейнер

GoDaddy, 2025-12-02

скрыт

staking-binance-us.com

дрейнер

Registrar.eu, 2025-12-17

144.124.255.36 - VDSINA, Amsterdam/NL

binance-stakingv199.com

дрейнер, ранняя волна

GoDaddy, 2025-07-16

185.216.68.40 - AlexHost, Кишинёв/MD

bnb-staking.us

дрейнер

GoDaddy, 2025-12-05

скрыт

bsc-staking.us

дрейнер

GoDaddy, 2025-12-05

2.56.212.61 - MVPS, NL

bsc-us-center.org

дрейнер

GoDaddy, 2025-11-06

скрыт

bsc-contract.com

дрейнер

GoDaddy, 2025-12-05

скрыт

demo-binance-group.com

тестовое зеркало

GoDaddy, 2026-01-26

скрыт

demo-staking-binance-us.com

тестовое зеркало

GoDaddy, 2026-01-26

скрыт

bnb-demo-staking.us

тестовое зеркало

GoDaddy, 2026-01-22

скрыт

bsc-demo-contract.com

тестовое зеркало

GoDaddy, 2026-01-22

скрыт

binanc.email

переходник (не дрейнер)

GoDaddy, 2026-05-28

скрыт

Хостинг. Большинство доменов спрятано за Cloudflare. Реальный сервер засвечен у трёх, и на каждом таком сервере ровно один боевой домен. Названия хостеров здесь - только место, где физически стояли серверы, не указание на их участие.

Регистратор. Видно по столбцу «Зарегистрирован»: 11 из 12 доменов оформлены через GoDaddy, единственное исключение - staking-binance-us.com (Registrar.eu). И это именно регистратор, не хостинг: реальные серверы стоят у VDSINA/AlexHost/MVPS. Даты складываются в таймлайн - от прототипа binance-stakingv199.com (лето 2025) через основную волну (конец 2025) до редиректора binanc.email (май 2026). Сюда же - почтовый сервер bsc-mail.com (155.117.117.49, FreakHosting), с которого шла рассылка: та же GoDaddy-регистрация и тот же bsc- почерк, то есть письма и сайты-дрейнеры держит один оператор.

Структура. Под каждый боевой домен поднято тестовое зеркало (пара bsc-contract.com / bsc-demo-contract.com). Имена дрейфуют от binance-* к bsc-* и bnb-*.

Похожие по названию домены (binance-presale.com, binancegroup.com и другие) я проверил и в кластер не включил: на них либо пусто, либо парковка или продажа. Доказанных - ровно 12.

Деньги: сколько и куда

Точную сумму и число жертв вывести сложно: украденное перемешано с отмывом, прогнано через цепочку адресов, и чистую кражу от прокрутки по открытым данным не отделить. Поэтому - диапазон, посчитанный по блокчейну через Bitquery, со сверкой транзакций напрямую.

  • Не меньше ~$784k украдено у ~70 кошельков-жертв - нижняя граница: прямая сумма адресов, которые только отдавали и ничего не получали назад. Оговорка про счёт: в on-chain-выгрузке «отдающих» адресов формально 429, но 355 из них - адрес-пойзонинг: копеечные переводы с поддельных vanity-адресов, в сумме 11 центов на всех. Это не жертвы. Реальных кошельков около 70, на них и держится весь $784k. Сумма устойчива: хоть считать только крупные, от $1000 (39 кошельков, $778k), хоть все от доллара (70 кошельков, $784k) - порядок тот же.

  • Валом через сеть адресов-сборщиков прошло ~$2.5M, но это с отмывом. Часть денег оператор возвращает самим жертвам как «прибыль», чтобы те занесли ещё - это pig-butchering, «откорм свиньи»: жертве показывают растущий доход и подкидывают мелкие выплаты, пока она не вложит всё, а потом забирают разом. Похожую сеть фейкового DeFi-майнинга с тем же бесконечным allowance разбирал Sophos.

  • Крупнейшие индивидуальные кражи - $100-164k, доказаны поимённо, с хэшами транзакций. Вот один, ровно на $100k:

слив 100k USDT

слив 100k USDT

В нижней строке BEP-20 Tokens Transferred видно главное: 100 001 USDT уходят с адреса жертвы на адрес-сборщик, а отправитель транзакции - оператор 0x93773F84c4378f6f32c7928cde1c1cb98239FbDa, не жертва. Хэш транзакции - 0xb13f30baf88f0dc0926cbce35cc4a620fc93a759948784f2d985957ff100ad73, любой может открыть и проверить. Жертва дала approve, списал по нему оператор.

Чтобы не на одном примере - ещё два слива тем же оператором и тем же методом: 0xd130c6cbf208a1ff925edb758ef4ca46ca162873dfcaf5f7ad5fad88418d02ac (102 617 USDT) и 0x43c74d624e54bbdbf0bb73ccd924a55bbe88392b5821b38309b6647c5149abca (79 050 USDT). Все три открываются в BscScan и сверяются.

Дальше деньги стекаются на сборщики, оттуда на узел-накопитель и растворяются в кошельке-обменнике:

кошелёк-обменник, куда стекаются деньги

кошелёк-обменник, куда стекаются деньги

0x0defbb1b77a65e3bdf2b6e3b0ca644183e48f9b8 - здесь след обрывается. Важно: это не кошелёк дрейнера и не его добыча. Похоже на транзитный адрес инстант-свопа или биржи - большой баланс и поток, что видны на скрине, это его собственный оборот чужих средств, среди которых дрейнерские деньги растворяются. Сколько именно осело тут с этой схемы, по открытым данным не вычленить.

И это, скорее всего, только видимая часть. Дальше по открытым данным след холодеет, а глубже я не копал.

Почему антивирусы молчат

Я прогнал домен через всё, что под рукой. VirusTotal - 0 из 91, ни один из движков не помечает домен опасным. Google Safe Browsing - чисто. ANY.RUN в песочнице выдал вердикт «No threats detected».

Объяснение простое. Сканер получает на домене не дрейнер, а заглушку: редирект на настоящий binance.us или стену «Reload to proceed». Реальный код оживает только при живом человеке с кошельком, бот его не видит. Песочница, которая ловит большинство угроз за минуту, на дрейнере с шестизначным ущербом не нашла ничего.

Отсюда практичный вывод: чистый VirusTotal ничего не гарантирует. Свежий фишинг за Cloudflare, который умеет отличать живого человека от автоматической проверки, проходит сканеры насквозь - он на это и рассчитан.

Зачем это всё

Жалобы на блокировку я не отправлял - чтобы показать всю архитектуру и домены дрейнера целиком. Заявка всё равно ничего бы не изменила: оператор за день поднимет новый домен из той же bsc-*-серии, а разбор останется без живой натуры.

Так что если вам в личку напишет вежливый амбассадор с видео и порогом входа в 100 долларов - вы хотя бы знаете, что у него под капотом.