تهدیدات امنیتی دائماً در حال تکامل هستند. یکی از پیچیده‌ترین و مخرب‌ترین این تهدیدات که در سال‌های اخیر رشد چشمگیری داشته، «کریپتو درینر» (Crypto Drainer) یا «تخلیه‌کننده کیف پول» است. این بدافزارها مسئول سرقت صدها میلیون دلار دارایی دیجیتال از کاربرانی بوده‌اند که تصور می‌کردند اصول امنیتی اولیه را رعایت می‌کنند. گزارش شرکت امنیتی ScamSniffer نشان می‌دهد که تنها در سال ۲۰۲۴، درینرها نزدیک به ۴۹۴ میلیون دلار دارایی را از بیش از ۳۳۲ هزار قربانی به سرقت برده‌اند که این آمار رشد ۶۷ درصدی خسارت را نسبت به سال قبل نشان می‌دهد.

این مقاله یک راهنمای جامع و فنی برای درک عمیق نحوه کار کریپتو درینرها، روش‌های شناسایی آن‌ها و مهم‌تر از همه، استراتژی‌های مقابله با این سرقت‌های خاموش است. هدف این است که پس از مطالعه این متن، شما به دانشی مجهز شوید که بتوانید با اطمینان بیشتری در اکوسیستم وب ۳ (Web3) فعالیت کنید.

کریپتو درینر دقیقاً چیست و چگونه کیف پول را خالی می‌کند؟

کریپتو درینر یک ابزار فیشینگ پیشرفته است که به طور خاص برای اکوسیستم وب ۳ طراحی شده است. برخلاف هک‌های سنتی که در آن هکر به دنبال سرقت رمز عبور یا عبارت بازیابی (Seed Phrase) شماست، درینر شما را فریب می‌دهد تا خودتان با دستان خودتان، مجوز برداشت دارایی‌هایتان را برای یک قرارداد هوشمند (Smart Contract) مخرب صادر کنید. این فرآیند از طریق یک امضای دیجیتال در کیف پول شما (مانند متامسک یا تراست ولت) انجام می‌شود.

وقتی شما یک تراکنش را در کیف پول خود امضا می‌کنید، در واقع در حال تعامل با یک قرارداد هوشمند هستید. درینرها با جعل هویت سایت‌های معتبر (مانند پلتفرم‌های NFT، سایت‌های ایردراپ یا صرافی‌های غیرمتمرکز)، شما را ترغیب به امضای تراکنشی می‌کنند که در ظاهر عادی به نظر می‌رسد، اما در باطن، حاوی مجوزهای خطرناکی مانند setApprovalForAll یا Permit است. به محض امضای شما، قرارداد هوشمند مخرب این اختیار را پیدا می‌کند که توکن‌ها یا NFTهای شما را بدون نیاز به هیچ تأیید دیگری، به آدرس هکر منتقل کند.

مهم‌ترین داده‌ها و نشانه‌های حملات Wallet Drainer در سال ۲۰۲۴

به گزارش scamsniffer

According to ScamSniffer’s 2024 Web3 phishing report, Wallet Drainers are malicious systems designed to steal crypto assets by tricking users into signing harmful transactions. In 2024 alone, these drainer attacks caused more than $494 million in losses across major chains.

ترجمه:

بر اساس گزارش فیشینگ Web3 سال ۲۰۲۴ وب‌سایت ScamSniffer، والت‌درینرها سیستم‌های مخربی هستند که با فریب کاربران و وادار کردن آن‌ها به امضای تراکنش‌های مخرب، دارایی‌های رمزارزی را سرقت می‌کنند. طبق این گزارش، تنها در سال ۲۰۲۴ بیش از ۴۹۴ میلیون دلار توسط این نوع حملات از کاربران سرقت شده است.

تفاوت کلیدی هک شدن کیف پول در برابر حمله درینر

درک تفاوت بین این دو نوع حمله برای محافظت از دارایی‌ها ضروری است. جدول زیر این تفاوت‌ها را به وضوح نشان می‌دهد:

ویژگی
هک شدن کیف پول (لو رفتن کلید خصوصی)
حمله درینر (امضای مخرب)
روش حمله
سرقت مستقیم عبارت بازیابی یا کلید خصوصی
فریب کاربر برای امضای یک تراکنش مخرب
کنترل هکر
کنترل کامل و دائمی بر روی کیف پول
کنترل محدود به دارایی‌هایی که مجوز آن‌ها صادر شده
نیاز به اقدام کاربر
ممکن است بدون اطلاع کاربر رخ دهد (مثلاً از طریق بدافزار)
همیشه نیاز به اقدام و امضای آگاهانه (اما فریب‌خورده) کاربر دارد
راه مقابله اصلی
حفظ آفلاین و امن عبارت بازیابی
بررسی دقیق جزئیات تراکنش قبل از امضا و استفاده از ابزارهای شبیه‌ساز
اقدام پس از حمله
انتقال فوری تمام دارایی‌ها به یک کیف پول جدید و امن
لغو فوری دسترسی‌های داده شده از طریق سایت‌هایی مانند Revoke.cash

درینرها کجا کمین کرده‌اند؟

مهاجمان از روش‌های متنوع و خلاقانه‌ای برای توزیع لینک‌های مخرب خود استفاده می‌کنند. آگاهی از این روش‌ها اولین خط دفاعی شماست.

درینرها کجا کمین کرده‌اند؟

  • ایردراپ‌های جعلی (Fake Airdrops): یکی از متداول‌ترین روش‌ها، ایجاد سایت‌های جعلی است که وعده ایردراپ توکن‌های ارزشمند را می‌دهند. این سایت‌ها با ایجاد حس فوریت و ترس از دست دادن فرصت (FOMO)، کاربران را به اتصال سریع کیف پول و امضای تراکنش ترغیب می‌کنند.
  • مینت NFT رایگان (Free NFT Mints): مهاجمان با وعده ارائه یک NFT رایگان و کمیاب، کاربران را به سایتی مخرب هدایت کرده و از آن‌ها می‌خواهند تراکنش «مینت» را امضا کنند. در حالی که کاربر فکر می‌کند در حال ساخت یک NFT جدید است، در واقع در حال دادن مجوز برداشت سایر NFTهای ارزشمند خود است.
  • لینک‌های فیشینگ در شبکه‌های اجتماعی: پلتفرم‌هایی مانند توییتر (X) و دیسکورد مملو از ربات‌ها و اکانت‌های هک‌شده‌ای هستند که لینک‌های مخرب را در پاسخ به توییت‌های افراد مشهور یا در سرورهای محبوب منتشر می‌کنند.
  • هک کردن فرانت‌اند سایت‌های معتبر (Frontend Hijacking): در حملات پیچیده‌تر، هکرها به جای ایجاد یک سایت جدید، فرانت‌اند یک وب‌سایت قانونی و معتبر را هک کرده و کد مخرب خود را در آن تزریق می‌کنند. این روش بسیار خطرناک است زیرا کاربر در حال بازدید از یک دامنه کاملاً معتبر است. شرکت امنیتی Blockaid به مورد اخیر هک فرانت‌اند پلتفرم EthenaLabs به عنوان نمونه‌ای از این نوع حمله اشاره می‌کند.

کالبدشکافی فنی یک حمله به زبان ساده

برای درک عمیق‌تر، بیایید یک حمله درینر را مرحله به مرحله تحلیل کنیم. این فرآیند معمولاً شامل چند تابع کلیدی در قراردادهای هوشمند است:

  1. approve: این تابع به یک قرارداد هوشمند دیگر اجازه می‌دهد تا مقدار مشخصی از یک توکن ERC-20 را از طرف شما خرج کند. درینرها از شما می‌خواهند تا مقداری بی‌نهایت (max amount) را برای یک آدرس مخرب approve کنید.
  2. setApprovalForAll: این تابع که مخصوص توکن‌های NFT (استانداردهای ERC-721 و ERC-1155) است، بسیار خطرناک‌تر است. با یک بار امضای تراکنش حاوی این تابع، شما به یک آدرس دیگر اجازه می‌دهید تا تمام NFTهای موجود در یک کالکشن خاص را از کیف پول شما منتقل کند.
  3. Permit و Permit2: این‌ها استانداردهای جدیدتری هستند که به کاربران اجازه می‌دهند تا مجوزها (approvals) را از طریق یک امضای آفلاین (off-chain) و بدون نیاز به پرداخت هزینه گس (Gas Fee) صادر کنند. خطر این روش در این است که چون یک تراکنش آنچین واقعی نیست، بسیاری از کیف پول‌ها قادر به شبیه‌سازی و نمایش دقیق نتایج آن نیستند. کاربر تصور می‌کند در حال امضای یک «پیام» ساده است، در حالی که در واقع در حال صدور یک چک سفید امضا برای دارایی‌های خود است.

یک حمله درینر مدرن ابتدا با استفاده از فراخوانی‌های eth_call، موجودی کیف پول شما را بررسی می‌کند. سپس، بر اساس دارایی‌های شما، یک تراکنش مخرب سفارشی (حاوی approve, setApprovalForAll یا Permit) ایجاد کرده و آن را برای امضا به شما نمایش می‌دهد. به محض امضا، اسکریپت به صورت خودکار دارایی‌ها را به آدرس مهاجم منتقل می‌کند.

چگونه بفهمیم سایت یا لینکی درینر است؟

تشخیص یک سایت مخرب همیشه آسان نیست، اما با دنبال کردن این چک‌لیست می‌توانید ریسک را به شدت کاهش دهید:

  • بررسی URL: همیشه آدرس وب‌سایت را  بررسی کنید. به دنبال غلط‌های املایی جزئی (مانند opensea.io در برابر opensea.co) یا استفاده از دامنه‌های فرعی عجیب باشید.
  • احساس فوریت غیرعادی: سایت‌هایی که با شمارش معکوس یا پیام‌های «آخرین فرصت» شما را تحت فشار قرار می‌دهند، معمولاً مشکوک هستند.
  • درخواست‌های امضای عجیب: قبل از امضای هر تراکنش، جزئیات آن را در متامسک به دقت بخوانید. به دنبال کلمات کلیدی خطرناک مانند Set Approval For All یا درخواست دسترسی به مقادیر نامحدود از توکن‌هایتان باشید.
  • بررسی قدمت دامنه: از ابزارهای آنلاین مانند Whois Lookup برای بررسی تاریخ ثبت دامنه استفاده کنید. دامنه‌هایی که به تازگی ثبت شده‌اند، ریسک بالاتری دارند.
  • شبیه‌سازی تراکنش: از افزونه‌های امنیتی استفاده کنید که تراکنش را قبل از امضا شبیه‌سازی کرده و نتایج احتمالی آن را به شما نشان می‌دهند.

ابزارهای ضروری برای محافظت در برابر ولت درینرها

خوشبختانه، ابزارهای قدرتمندی برای محافظت از کاربران در برابر این حملات وجود دارد:

ابزارهای ضروری برای محافظت در برابر ولت درینرها

  1. افزونه‌های امنیتی مرورگر:
    • Pocket Universe: این افزونه (که قبلاً با نام Wallet Guard شناخته می‌شد و اکنون بخشی از آن در متامسک ادغام شده) تراکنش‌ها را قبل از امضا شبیه‌سازی می‌کند و به شما نشان می‌دهد که دقیقاً چه دارایی‌هایی از کیف پول شما خارج خواهد شد. این ابزار همچنین سایت‌های فیشینگ شناخته‌شده را مسدود می‌کند.
  2. ابزارهای لغو دسترسی (Revoke Tools):
    • Revoke.cash: این وب‌سایت به شما اجازه می‌دهد تا تمام مجوزهایی (approvals) که قبلاً به قراردادهای هوشمند مختلف داده‌اید را مشاهده و لغو کنید. توصیه می‌شود به صورت دوره‌ای (مثلاً ماهانه) به این سایت سر بزنید و دسترسی‌های غیرضروری یا قدیمی را پاک کنید.
  3. کیف پول سخت‌افزاری (Hardware Wallet):
    • استفاده از کیف پول‌های سخت‌افزاری مانند Ledger یا Trezor یک لایه امنیتی فیزیکی اضافه می‌کند. هر تراکنش باید به صورت فیزیکی روی دستگاه تأیید شود که این کار حملات درینر را دشوارتر (اما نه غیرممکن) می‌کند.

اگر قربانی شدیم چه کنیم؟

اگر متوجه شدید که دارایی‌های شما در حال تخلیه شدن است، زمان بسیار حیاتی است. فوراً این اقدامات را انجام دهید:

اگر قربانی شدیم چه کنیم

 

  • لغو دسترسی‌ها (Revoke): فوراً به سایت Revoke.cash بروید، کیف پول ارز دیجیتال خود را متصل کرده و تمام دسترسی‌های فعال، به خصوص دسترسی‌های مربوط به توکن‌هایی که به تازگی با آن‌ها کار کرده‌اید را لغو کنید.
  • انتقال باقی‌مانده دارایی: اگر هنوز دارایی ارزشمندی در کیف پول شما باقی مانده است، آن را فوراً به یک کیف پول جدید و امن که عبارت بازیابی آن هرگز به صورت دیجیتال ذخیره نشده، منتقل کنید.

 

  • ردیابی تراکنش: با استفاده از یک مرورگر بلاکچین (مانند Etherscan)، تراکنش‌های خروجی از کیف پول خود را بررسی کرده و آدرس مهاجم را شناسایی کنید. اگرچه بازگرداندن دارایی‌ها تقریباً غیرممکن است، اما می‌توانید این آدرس را به پلتفرم‌هایی مانند Chainalysis یا ScamSniffer گزارش دهید تا به محافظت از دیگران کمک کنید.

چک‌لیست ضد سرقت قبل از کلیک کردن

چک‌لیست ضد سرقت قبل از کلیک کردن

  • آیا URL سایت معتبر است و غلط املایی ندارد؟
  • آیا سایت حس فوریت غیرمنطقی ایجاد می‌کند؟
  • آیا جزئیات تراکنش در متامسک را به دقت خوانده‌ام؟
  • آیا تراکنش حاوی عبارت خطرناک Set Approval For All است؟
  • آیا افزونه امنیتی من (مانند Pocket Universe) هشداری نمایش داده است؟
  • آیا این پیشنهاد بیش از حد خوب به نظر می‌رسد تا واقعی باشد؟

در ادامه بخوانید:

  1. آموزش خرید ارز دیجیتال
  2. آموزش ارز دیجیتال
  3. بهترین صرافی ارز دیجیتال خارجی