Approval Drainer-атаки в сценариях Hyperliquid

6 мая 2026 г.
  • approval drainer hyperliquid
  • drainer hyperliquid
  • hyperliquid token approval attack
  • ERC20-атаки через разрешения

Среди способов кражи криптоактивов Approval Drainer — один из самых простых для атакующего и один из самых быстро растущих по масштабу. Ему не нужно взламывать твой приватный ключ или проводить сложную атаку на блокчейн. Достаточно, чтобы ты сам «добровольно» подписал транзакцию или сообщение, смысл которого до конца не понял.

С запуском HyperEVM ончейн-активность в экосистеме Hyperliquid стала богаче: больше DApp, больше токенов, больше DeFi-сценариев. Но вместе с этим вырос и риск Drainer-атак на пользователей Hyperliquid. Ниже разберём, как они работают и что можно сделать, чтобы снизить риск.

По данным исследований Chainalysis, Drainer-инструменты уже превратились в полноценную подпольную индустрию: злоумышленники могут недорого разворачивать кастомные Drainer-контракты и массово распространять их через фишинговые сайты или вредоносные DApp.

Как работает Approval Drainer

Чтобы понять Drainer-атаку, сначала нужно понять механизм разрешений ERC-20 — approve.

Стандарт ERC-20 определяет функцию approve, которая позволяет владельцу токена разрешить другому адресу — чаще всего смарт-контракту — перемещать его токены в пределах заданного лимита. Это один из базовых механизмов DeFi: когда ты меняешь токены на DEX, сначала ты разрешаешь контракту обменника использовать нужный токен из твоего кошелька.

Drainer-атаки используют именно этот механизм:

  1. Атакующий разворачивает вредоносный контракт, который после получения разрешения может массово выводить активы.
  2. Через поддельный сайт, фейковый аирдроп или вредоносный DApp пользователя подталкивают к approve для этого контракта.
  3. Пользователь подписывает транзакцию, которая выглядит безобидно, но на деле даёт вредоносному контракту право перемещать определённый токен — иногда с неограниченным лимитом.
  4. Контракт сразу или в следующей транзакции выводит токены из кошелька пользователя.

Всё может занять несколько секунд. И если approve уже подтверждён в сети, атакующий может использовать это разрешение в любой момент, пока ты его не отзовёшь.

Особые риски в HyperEVM

HyperEVM — это EVM-совместимая среда исполнения от Hyperliquid, которая позволяет запускать стандартные Ethereum-смарт-контракты в экосистеме Hyperliquid. Это открывает полноценные DeFi-возможности, но также приносит те же риски безопасности, которые давно существуют в Ethereum-экосистеме.

В HyperEVM Drainer-атаки могут выглядеть так:

  • фишинговые страницы, замаскированные под нативные HyperEVM DApp, которые просят дать разрешение вредоносному контракту;
  • Drainer через EIP-2612 Permit: пользователя просят подписать офчейн-сообщение, а не ончейн-транзакцию, поэтому атака менее заметна и не требует от пользователя платить Gas;
  • поддельные интерфейсы легитимных протоколов HyperEVM, где во время обычного взаимодействия подсовывается дополнительный approve.

Стандарт EIP-712 сделал структурированные подписи более читаемыми, но многие пользователи всё равно не понимают, что именно подписывают. Это и создаёт окно для Permit Drainer-атак.

Permit Drainer: самый незаметный вариант

Классический approve Drainer запускает ончейн-транзакцию. В кошельке обычно видно что-то вроде «Token Approval», и опытный пользователь может заметить странность.

Permit Drainer сложнее распознать.

Ты видишь запрос «Sign Message», а не транзакцию. В окне кошелька отображаются какие-то структурированные данные. Легко подумать, что это обычная проверка входа, подтверждение аккаунта или авторизация на сайте.

Но на деле это может быть Permit-подпись по стандарту EIP-2612. В ней обычно есть:

  • spender — адрес, который получает право тратить токены; в атаке это вредоносный контракт;
  • value — лимит разрешения; часто это максимальное значение U256, то есть фактически бесконечный approve;
  • deadline — срок действия разрешения; нередко он установлен далеко в будущем.

После такой подписи атакующему достаточно отправить её в сеть и вызвать transferFrom, чтобы вывести твои токены. Gas при этом платит атакующий, а не ты, поэтому пользователь может вообще не почувствовать момент атаки до тех пор, пока не увидит пустой баланс.

Как защищаться от Drainer-атак

1. Понимай каждый запрос на подпись

Когда кошелёк показывает любой запрос, не нажимай «Confirm» на автопилоте.

Если это транзакция:

  • проверь адрес to — это действительно ожидаемый контракт?
  • посмотри, нет ли в данных вызова функции approve;
  • обрати внимание на сумму разрешения.

Если это Sign Message:

  • проверь, нет ли в сообщении полей spender, value, deadline;
  • не воспринимай подпись сообщения как безопасную по умолчанию;
  • если не понимаешь смысл — не подписывай.

2. Регулярно проверяй и отзывай лишние разрешения

Через Revoke.cash можно подключить кошелёк и посмотреть активные ончейн-разрешения. Если видишь незнакомый контракт, старый DApp или бесконечный лимит, который больше не нужен, лучше отозвать разрешение.

Хорошая привычка — делать такую проверку хотя бы раз в месяц, особенно после взаимодействия с новыми DApp.

3. Используй минимальные лимиты approve

Когда DApp просит approve, не соглашайся на бесконечный лимит Max без необходимости. Лучше указывать точную сумму, нужную для текущего действия.

Да, это менее удобно: возможно, потом придётся подписать ещё один approve. Но если попадёшь на вредоносный контракт, потенциальный ущерб будет ограничен размером разрешения, а не всем балансом токена.

4. Будь особенно осторожен с HyperEVM DApp

Экосистема HyperEVM относительно новая. В ней могут быть как перспективные протоколы, так и неаудированные контракты, баги, клоны известных проектов и прямой скам.

Перед взаимодействием с любым HyperEVM DApp проверь:

  • есть ли аудит;
  • кто команда или комьюнити;
  • совпадает ли домен с официальным;
  • не пришла ли ссылка из случайного Telegram/Discord-чата;
  • не открыта ли страница через рекламу в поисковике вместо закладки.

Официальная документация Hyperliquid — более надёжная отправная точка для проверки ресурсов экосистемы, чем ссылки из чатов или поисковой выдачи.

5. Используй аппаратное подтверждение через OneKey

Аппаратный кошелёк OneKey помогает снизить риск тем, что показывает критичные детали операции на экране устройства, а не только в интерфейсе браузера или расширения.

При approve OneKey отображает:

  • адрес получателя разрешения — spender;
  • лимит разрешения;
  • реальные данные транзакции, которые нужно физически подтвердить.

Это важно: даже если вредоносный сайт показывает в браузере дружелюбный текст вроде «подтвердить вход» или «получить бонус», аппаратный экран показывает то, что ты действительно подписываешь.

Для Permit-подписей OneKey также отображает структурированное содержимое на устройстве, чтобы ты мог проверить смысл подписи перед физическим подтверждением.

Сигналы Drainer-атаки и что делать

СигналПочему это опасноЧто делать
DApp просит бесконечный approveКонтракт сможет вывести весь токеновый баланс в рамках разрешенияУкажи точную сумму или откажись
Запрос Sign Message содержит spender, value, deadlineЭто может быть Permit-разрешение, а не обычный логинНе подписывай, если не понимаешь поля
Сайт обещает бесплатный аирдроп за подписьЧастый сценарий фишингаПроверь официальный источник, не переходи по случайным ссылкам
Адрес DApp найден через рекламу в поискеРекламные фишинговые сайты часто копируют интерфейс оригиналаИспользуй закладки и официальные каналы
После взаимодействия появился неизвестный approveВозможно, ты дал разрешение вредоносному контрактуСрочно проверь разрешения через Revoke.cash и отзови лишнее

Где здесь OneKey Perps

Если твой основной сценарий в Hyperliquid — торговля бессрочниками, практичнее держать ончейн-взаимодействия под контролем и не прыгать по случайным DApp ради «доходности» или аирдропов.

OneKey Perps даёт более аккуратный рабочий процесс для торговли Hyperliquid Perps через экосистему OneKey: меньше поводов подключать кошелёк к сомнительным сайтам, больше внимания к подтверждению действий и управлению риском.

Это не отменяет базовую осторожность: плечо увеличивает как прибыль, так и убытки, а аппаратный кошелёк не принимает решения за тебя. Но связка OneKey + OneKey Perps помогает выстроить более безопасную рутину: проверять подписи, подтверждать важные операции на устройстве и не разбрасывать разрешения по непроверенным контрактам.

Частые вопросы

Q1: Если я отозвал разрешение, можно ли вернуть токены, которые Drainer уже вывел?

Нет. Отзыв разрешения предотвращает будущие списания, но не откатывает уже совершённые ончейн-переводы. Подтверждённые транзакции в блокчейне необратимы.

Q2: Безопасно ли просто открыть подозрительный сайт, если не подключать кошелёк?

Обычно сам просмотр сайта не приводит к потере активов: для вывода средств нужна подпись транзакции или сообщения. Но вредоносные сайты могут пытаться использовать уязвимости браузера или расширений. Для подозрительных страниц лучше использовать отдельный браузер, где нет кошельков с активами.

Q3: Чем EIP-2612 Permit отличается от обычного approve?

Обычный approve — это ончейн-транзакция, за которую ты платишь Gas. EIP-2612 Permit — это офчейн-подпись сообщения: при подписании Gas не нужен, но после этого атакующий может использовать подпись в сети и вызвать transferFrom.

Ошибка многих пользователей — думать, что «подпись сообщения не может стоить денег». В случае Permit это неверно.

Q4: OneKey может полностью остановить Drainer-атаки?

Нет кошелька, который гарантирует полную защиту, если пользователь сам подтверждает вредоносные действия. OneKey сильно снижает риск за счёт физического подтверждения и отображения важных данных на устройстве, но финальное решение всё равно остаётся за пользователем.

Q5: Какие действия в HyperEVM чаще всего несут Drainer-риск?

Самые рискованные сценарии:

  • «бесплатные» аирдропы;
  • неизвестный liquidity mining;
  • DApp из поисковой рекламы;
  • ссылки из Telegram/Discord;
  • клоны популярных протоколов;
  • любые сайты, которые торопят подписать сообщение без объяснения.

Всегда проверяй источник через официальные каналы перед ончейн-взаимодействием.

Вывод: понимай каждую подпись и подтверждай на железе

Approval Drainer опасен тем, что эксплуатирует не баг в блокчейне, а ошибку пользователя. Атакующему не нужно ломать приватный ключ — достаточно заставить тебя подписать неправильный approve или Permit.

Лучшая защита — привычка понимать каждую подпись до подтверждения. Добавь к этому аппаратную проверку через OneKey, регулярную очистку разрешений через Revoke.cash и более дисциплинированный торговый процесс через OneKey Perps для Hyperliquid — и риск Drainer-атак станет заметно ниже.

Попробовать OneKey и скачать приложение можно на onekey.so/download. Если ты торгуешь бессрочниками на Hyperliquid, используй OneKey Perps как более контролируемый рабочий процесс, а не подключай кошелёк к случайным DApp.

Риск-дисклеймер: материал носит информационный характер и не является инвестиционной, финансовой или юридической рекомендацией. Безопасность ончейн-активов — твоя личная ответственность. Описанные меры снижают риски, но не гарантируют полной защиты от всех атак. Всегда проверяй подписи, адреса контрактов и источники ссылок перед любым действием в сети.

Защитите свое криптопутешествие с OneKey

View details for Магазин OneKeyМагазин OneKey

Магазин OneKey

Самый продвинутый аппаратный кошелек в мире.

View details for Загрузить приложениеЗагрузить приложение

Загрузить приложение

Предупреждения о мошенничестве. Поддержка всех монет.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Ясность в криптовалюте — на расстоянии одного звонка.