StepDrainer виводить кошти з криптовалютних гаманців у понад 20 мережах
Інструмент для крадіжки криптовалюти під назвою StepDrainer спустошує гаманці в мережах Ethereum, BNB Chain, Arbitrum, Polygon та щонайменше 17 інших мережах.
StepDrainer працює як набір типу «шкідливе програмне забезпечення як послуга». Він використовує підроблені, але реалістичні спливаючі вікна Web3-гаманців, щоб змусити людей підтверджувати перекази. Деякі з цих екранів створено так, щоб вони виглядали як підключення гаманця через Web3Modal.
Як тільки хтось підключає свій гаманець, StepDrainer спочатку шукає найцінніші токени та автоматично надсилає їх на гаманці, підконтрольні зловмисникам, згідно з даними LevelBlue.
StepDrainer зловживає інструментами смартконтрактів
StepDrainer зловживає реальними інструментами смартконтрактів, такими як Seaport і Permit v2, щоб показувати спливаючі вікна підтвердження гаманця, які виглядають звично. Але деталі всередині цих спливаючих вікон є підробленими.
В одному випадку дослідники з кібербезпеки виявили, що жертви бачили підроблене повідомлення про те, що вони отримують «+500 USDT», через що підтвердження виглядало безпечним.
StepDrainer завантажує свій шкідливий код через змінні скрипти та отримує свої налаштування з децентралізованих ончейн акаунтів.
Такий підхід допомагає зловмисникам обходити звичайні інструменти безпеки, оскільки шкідливий код не зберігається в одному фіксованому місці, де його можна легко просканувати.
StepDrainer — це не проєкт однієї людини. Дослідники зазначили, що існує розвинений підпільний ринок, який продає готові набори дрейнерів, що полегшує багатьом зловмисникам додавання функцій крадіжки гаманців до шахрайських схем, які вони вже проводять.
EtherRAT викачує криптовалюту у користувачів Windows
Дослідники також виявили ще одне шкідливе програмне забезпечення, окрім StepDrainer, під назвою EtherRAT. Воно атакує Windows через підроблену версію інструменту мережевого адміністрування Tftpd64.
За даними LevelBlue, EtherRAT приховує Node.js всередині підробленого інсталятора, забезпечує своє збереження на комп'ютері через реєстр Windows та використовує PowerShell для перевірки системи.
Спочатку EtherRAT орієнтувався на Linux. Тепер він переносить шкідливі прийоми та крадіжку криптовалюти на Windows.
EtherRAT тихо працює у фоновому режимі. Він перевіряє такі речі, як антивірусні інструменти, налаштування системи, деталі домену та обладнання, перш ніж почати красти.
Згідно з нещодавнім звітом Cryptopolitan, понад 500 гаманців Ethereum було спустошено за останні 24 години. Зловмисник викачав понад $800K у криптоактивах, а потім здійснив своп токенів через ThorChain.
Багато зі спустошених гаманців були неактивні понад 7 років, згідно з ончейн дослідженням Wazz. Спустошені кошти були спрямовані через єдину адресу гаманця, підконтрольну зловмиснику.
Дослідники з кібербезпеки радять користувачам, які підключають гаманці до невідомих сайтів, перевіряти домен, читати деталі транзакції перед підписанням та видаляти будь-які необмежені підтвердження токенів.
Існує середній шлях між зберіганням грошей у банку та ризиком у криптовалюті. Почніть із цього безкоштовного відео про децентралізовані фінанси.
Вам також може сподобатися
Прогноз ціни XRP: Стрекоза доджі підживлює наратив відновлення, але діапазон $1.38 сигналізує про майбутню волатильність
XRP Las Vegas 2026 відкривається: спікери називають XRP майбутньою світовою резервною валютою
![[OPINION] Психосоціальні ризики — прихована ціна праці на Філіппінах](https://www.rappler.com/tachyon/2026/04/TL-psychosocial-work-apr-22-2026.jpg)