Токен, который оказался не подарком
Сентябрь 2024. Краснодарец замечает новый токен в боковой панели MetaMask: «USDT Airdrop Reward — забрать 5 000». Etherscan показывает, что контракт раздаёт этот токен тысячам кошельков с USDT. Клейм-страница выглядит чисто, обещанная награда — 5 000 USD в реальных USDT после «верификации».
Страница верификации просит подпись «для подтверждения владения». Это EIP-712 typed-data, которая после передачи дрейнит все одобренные ранее токены. Он раньше одобрял USDT на Uniswap и Aave — оба баланса исчезают.
Схема «пыль и приманка»
Шаг 1: атакующий рассылает бесполезный токен тысячам кошельков с именем, мимикрирующим под реальный дроп. Токен появляется в интерфейсе кошелька автоматически. Шаг 2: метаданные контракта ссылаются на «клейм-сайт». Шаг 3: клейм-страница эксплуатирует существующие одобрения пользователя для слива активов — сам присланный токен никогда не был целью.
Три правила
- Незапрошенные токены — приманка, не подарок. Если в кошельке появился токен, который вы не покупали, не свапали, не получали от известного источника — это фишинговая наживка. Не открывайте адрес контракта.
- Реальные дропы не требуют подписи со scope расхода токенов. Реальный клейм — это либо транзакция
claim(amount, proof), либо ретроактивный перевод, который уже пришёл. Никакой подписи «для подтверждения» не нужно. - Скрывайте, не взаимодействуйте. В MetaMask правый клик по спам-токену → «скрыть». Не открывайте имя, не идите на сайт, не позволяйте любопытству вести следующий шаг.
Проактивная защита
Аудит одобрений раз в месяц на revoke.cash. У большинства держателей висит 30–80 устаревших одобрений от прошлых DeFi-экспериментов — каждое из них открытая дверь. Отзовите всё, чем не пользуетесь сейчас. Газовая стоимость разовая, безопасность остаётся.
Как выглядит пыль в 2026
Имена эволюционировали: «BlackRock Bitcoin ETF Claim», «USDC Compensation Pool», «Coinbase Layer-2 Bonus». Схема та же — использовать реальную новость, чтобы фейковый токен казался правдоподобным.