" Исследователь блокчейна обнаружил, что по меньшей мере 5,27 млн долларов в криптовалюте, украденных за три недели, были связаны с набирающим популярность мошенническим сервисом, известным как Vanilla Drainer.
Так называемые дрейнеры или сливщики — это организации, предоставляющие злоумышленникам мошенническое программное обеспечение, часто в сочетании с фишинговыми приемами для доступа к средствам жертв. Vanilla относится к новому поколению подобных группировок и до сих пор оставалась незамеченной, но недавние хищения крупных сумм привлекли внимание блокчейн-детективов.
Пик мошенничества с выводом средств пришелся на 2024 год, когда, по данным Scam Sniffer, жертвы потеряли почти 500 миллионов долларов, переведя средства на такие популярные сервисы, как Angel, Inferno и Pink. Сливы по-прежнему происходят часто, хотя объемы ихснизились благодаря новым технологиям безопасности. Однако исследователь блокчейнов Darkbit предупреждает, что мошенники адаптируются.
«Я вижу, что Vanilla завладеет многими клиентами Inferno, — сказал Darkbit . — Большинство крупных шести- и семизначных сливов в последнее время можно отнести к Vanilla Drainer».
Упрощенный пример потока средств в истории мошенничества Vanilla показывает, что провайдер, выкачивающий средства, теряет 15–20%. Источник: Darkbi
Одна жертва Vanilla Drainer потеряла 3 миллиона долларов в криптовалюте
Предыдущие кражи Vanilla можно отследить до октября 2024 года, но самая ранняя известная публичная реклама этого сливщика была опубликована 8 декабря 2024 года, хотя с тех пор она стала недоступной. В рекламе утверждалось, что Vanilla может обойти Blockaid — платформу обнаружения мошенничества, которую хакеры часто называют основной причиной снижения доходов, а в некоторых случаях и закрытия проекта.
В декабрьской рекламе 2024 года Vanilla обещали «продвинутый алгоритм», позволяющий обойти обнаружение Blockaid. Источник: Vanilla Drainer/Carder Market.
Сервис начинается с 20%-ной комиссии от мошеннических операций, которую получает поставщик услуг осушения, что считается стандартной практикой в сфере слива. Согласно рекламе Vanilla, при более крупных суммах этот процент может быть снижен.
Самая крупная кража, приписываемая Vanilla, произошла 5 августа, когда жертва потеряла 3,09 миллиона долларов в стейблкоинах. В этом случае операторы Vanilla, по всей видимости, получили комиссию в размере 463 000 долларов за предоставление инструментов, что составляет около 17% от украденных средств.
Операторы Vanilla получили 463 000 долларов от своей самой крупной известной добычи. Источник: Darkbit.
После разделения токенов Vanilla обычно конвертирует их в собственную криптовалюту блокчейна, например, Ethereum, а затем переводит на кошелек для финальной комиссии ( 0x9d3…E710d ), где, по данным Darkbit, хранится большая часть комиссий за мошенничество. Около 1,6 миллиона долларов с этого кошелька были конвертированы в Dai, децентрализованная стейблкоин, привязанный к доллару США, который нельзя заморозить, как ее централизованные аналоги USDt или USDC.
На момент написания статьи в кошельке хранилось 2,23 миллиона долларов в токенах, в основном в DAI и ETH.
Возобновляются атаки сливщиков и фишинговых мошенников
Несколько компаний по сливу закрылись, поскольку меры безопасности ослабили эту отрасль, но в последнее время сливщики стали применять новые тактики.
По данным Darkbit, один из методов, который использует Vanilla, чтобы оставаться впереди, — это циклическое переключение между доменами без длительной задержки на одном месте.
«Я начинаю замечать, как для каждого вредоносного веб-сайта и домена создаются новые вредоносные контракты, чтобы не привлекать к себе внимания», — сказал Darkbit.
В июле фишинговые мошенники украли у жертв 7,09 млн долларов, что на 153% больше, чем в июне. По данным Scam Sniffer, число жертв также выросло на 56% до 9143.
Самый крупный единовременный убыток в июле составил 1,23 млн долларов. Согласно данным блокчейна, общая сумма комиссий, полученных в результате этого мошенничества, составила 54 ETH, что на тот момент равнялось 204 074 долларам. В конечном итоге эти комиссии были переведены на тот же предполагаемый Vanilla-кошелек, связанный с инцидентом на 3,09 млн долларов в августе.
След от крупнейшего убытка июля ведет к кошельку комиссий Vanilla Drainer. Источник: Scam Sniffer.
Анализ блокчейна также связывает Vanilla Drainer с двумя другими инцидентами на шестизначные суммы в июле, в результате которых добыча хакера оценивается в 2,19 млн долларов — более 30% от общей суммы фишинговых атак за месяц.
Криптовалютные хакеры уходят, но не умирают
В период с 15 июля по 5 августа Vanilla была использована как минимум в четырех крупных мошенничествах на общую сумму 5,27 млн долларов, каждая из которых привела к шести-семизначным убыткам.
Vanilla быстро закрепилась в сокращающемся, но все еще опасном секторе криптовалютной преступности. Несмотря на то, что с 2024 года общий объем оттока замедлился, Vanilla привлекает миллионы бывших пользователей Inferno. Darkbit утверждает, что ее операторы остаются гибкими, меняя домены и контракты, чтобы оставаться в курсе событий.
История показывает, что даже публичное закрытие редко означает конец. Например, Inferno Drainer объявил о закрытии в ноябре 2023 года, но затем возобновил свою деятельность в 2024 году, а позже в том же году передал управление Angel Drainer. Несмотря на это, деятельность, связанная с Inferno, продолжалась и в 2025 году, приведя к убыткам более чем на 9 миллионов долларов за шесть месяцев.
Эксперты по безопасности продолжают приписывать мошенничества сервисам, публично объявившим о закрытии. Источник: Blockaid.
Стремительный рост Vanilla и устойчивость Inferno показывают, что сервисы-сливщики редко исчезают — они адаптируются, проводят ребрендинг или передают свои инструменты новым операторам. Задача исследователей — успевать за экосистемой, которая отказывается умирать.
