Я пытался забрать аэрдроп, но кошелёк опустошили — почему?

Краткий ответ

Если подключили кошелёк к фейковой airdrop-claim странице и подписали транзакцию, средства почти всегда потеряны. Блокчейн необратим, и атакующий сливает немедленно или планирует слив на момент низкого внимания. Восстановление по существу невозможно. Действие сейчас — damage control: отзовите остающиеся approvals на revoke.cash, мониторьте кошелёк на дальнейшую активность, рассмотрите миграцию остающихся активов на свежий seed и репортите в Кибер-полицию для статистической записи.

Паттерн атаки

Пользователь видит твит, Discord-объявление или Google-рекламу, продвигающую "бесплатный airdrop" от реально звучащего проекта (Uniswap, Arbitrum, недавний Layer 2). Ссылка идёт на клон сайта реального проекта. Пользователь подключает кошелёк, кликает "Claim" и его prompts подписать транзакцию или подпись.

Транзакция — не airdrop claim — это setApprovalForAll или Permit2 подпись, предоставляющая атакующему разрешение слить токены кошелька. Пользователь подписывает, ожидая прибытия токенов, но кошелёк сливается немедленно или в течение часов.

По полугодовому отчёту Chainalysis 2025 года, approval-фишинг, включая фейковые airdrops, составил приблизительно $2 миллиарда крипто-потерь глобально в 2024 году.

Немедленные шаги очистки

1. Идите на revoke.cash немедленно. Подключите пострадавший кошелёк. Отзовите каждый approval, который не распознаёте. Особенно отзовите любые unlimited approvals к адресам, которые не well-known dApps. Стоимость: газ для revoke-транзакции(й).

2. Проверьте transaction history на Etherscan. Ищите "transfer" или "transferFrom" транзакции, которые не инициировали. Они подтверждают, что drain произошёл.

3. Если значимые средства остаются, мигрируйте. Сгенерируйте свежую seed-фразу на чистом устройстве, переведите остающиеся токены на адреса нового кошелька. Старый кошелёк потенциально всё ещё скомпрометирован — атакующий мог иметь дополнительные approval, которые вы упустили.

4. Настройте мониторинг. Etherscan email alerts для старого кошелька. Если произойдёт любая неожиданная транзакция, узнаете в течение часов.

Что насчёт репортинга?

Для российских холдеров: подайте жалобу в Кибер-полицию (МВД, ic3.gov для российских граждан за рубежом). Для потерь свыше 4 млн ₽ наймите крипто-litigation юриста — есть известные investigation paths через Chainalysis Reactor и TRM Labs, иногда идентифицирующие атакующих и приводящие к seizure средств, хотя это медленно и редко производит полное восстановление.

Самая сложная часть: принятие потери

Большинство российских холдеров, проигравших фейковым airdrops, проводят месяцы преследуя "recovery services", рекламируемые в Telegram, на Reddit или Google ads. Каждый из них — secondary scam — они берут upfront fee (50 000-500 000 ₽) и исчезают, или хуже, просят приватные ключи остающихся кошельков и сливают их.

Дополнительное чтение: Фишинг, revoke.cash, setApprovalForAll.