Что такое Sweeping-боты

14 окт. 2025 г.
Что такое Sweeping-боты

Ключевые выводы

• Sweeping-боты используют скорость и автоматизацию для кражи средств.

• Основные векторы атак включают компрометированные ключи и безлимитные разрешения.

• Защита активов требует регулярного аудита разрешений и осторожности при подписании транзакций.

• Аппаратные кошельки обеспечивают надежное хранение приватных ключей и защиту от автоматизированных атак.

Sweeping-боты — это автоматические программы, которые отслеживают активность в блокчейне с целью немедленного «захвата» активов с целевого адреса в тот момент, когда на нём появляются средства. В контексте криптобезопасности они чаще всего используются злоумышленниками, уже получившими приватный ключ жертвы или обладающими широкими правами на управление токенами. Такие боты полагаются на скорость, автоматизацию и доступ к мемпулу, чтобы опередить жертву и вывести средства ещё до того, как она успеет отреагировать.

В этой статье мы разберёмся, как работают такие боты, почему они столь эффективны, какие модели атак используются и что можно предпринять для защиты своих активов.

Как работают Sweeping-боты

  • Мониторинг мемпула: В публичных блокчейнах, таких как Ethereum, все неподтверждённые транзакции временно хранятся в мемпуле (public mempool). Злоумышленники запускают ботов, которые в реальном времени отслеживают попадание средств на скомпрометированные кошельки или появление одобрений, позволяющих проводить транзакции. Если боты фиксируют активность, которую можно использовать, они мгновенно отправляют собственную транзакцию с более высоким приоритетным вознаграждением, чтобы попасть в блок раньше, чем транзакция жертвы. Подробнее: Ethereum Developer Docs: Transactions and Gas.

  • Манипуляция приоритетными комиссиями и газом: С введением EIP‑1559 каждая транзакция включает priority fee — дополнительную плату майнерам. Sweeping-боты автоматически увеличивают размер чаевых, чтобы обойти честные транзакции или даже отправляют приватные транзакции, гарантируя включение в блок. Подробнее: Обзор EIP‑1559.

  • Методы MEV: Некоторые действия sweeping-ботов пересекаются с методами извлечения максимальной ценности (MEV), при которых боты переупорядочивают, вставляют или заменяют транзакции ради прибыли. MEV сам по себе не всегда является злонамеренным, но злоумышленники используют схожие приёмы — улавливают одобрения или входящие транзакции, чтобы опередить владельца. Подробнее: MEV Explained и документация Flashbots.

Иными словами, если у бота есть какой-либо способ потратить средства с вашего адреса — будь то приватный ключ, неограниченное разрешение на использование токенов или подписанный permit — он будет следить за появлением активов и моментально их выведет.

Распространённые векторы атак с использованием Sweeping-ботов

  • Скомпрометированные ключи и seed-фразы: Когда приватный ключ или seed-фраза становятся известны злоумышленнику, адрес считается «горячей» целью. Любое поступление средств моментально уходит на сторонние адреса.

  • Опасные разрешения на ERC‑20 и NFT:

    • Безлимитные allowance’ы: Многие DeFi-приложения просят выдать разрешения на неограниченное использование токенов. Это означает, что указанный контрагент может без ограничений управлять вашими активами. Злоумышленники используют это либо напрямую, либо вынуждая пользователя подтвердить вредоносные разрешения.
    • setApprovalForAll для NFT: Одна подпись может дать злоумышленному смарт-контракту возможность передать все ваши NFT.
    • Permit-подписи (EIP‑2612): Даже оффчейн-подпись позволяет тратить токены. Вредоносные сайты могут выманить у вас «разрешение», которое выглядит безопасным, но позже используется для кражи средств. Подробнее: EIP‑2612.

  • Фишинг и атакующие сервисы: Мошенники создают поддельные dApps и организуют airdrop’ы, требующие подписания транзакций, скрытых approve или permit. Иногда они просят импортировать seed-фразу в вредоносный кошелёк, после чего боты сразу начинают следить за соответствующим адресом. Подробнее о фишинге: CISA’s overview.

  • Отравление адресов (Address Poisoning): Атакующие отправляют нулевые переводы со схожих адресов, чтобы подменить историю транзакций и заставить пользователя скопировать неправильный адрес позже. Это не прямая угроза, но часто используется перед атакой. Подробнее: Front‑Running в криптовалютах.

Почему Sweeping-боты столь эффективны

  • Скорость: Боты работают круглосуточно. Моментально отправляют транзакции с высокими чаевыми.
  • Прозрачность: Мемпул и состояние разрешений легко анализируются.
  • Автоматизация: Злоумышленники имеют базы скомпрометированных адресов и действуют системно.
  • Минимальные усилия: Достаточно одной украденной seed-фразы или злоупотреблённого разрешения для постоянного доступа к активам.

Новые тенденции в 2025 году

  • Приватные транзакции и защитные RPC: Всё больше пользователей переходят к отправке транзакций через Flashbots или защищённые релей-сервисы, чтобы скрыть действия от публичного мемпула. Это снижает риск front-running, но сами злоумышленники также используют приватные каналы. Подробнее: Flashbots Docs.

  • Абстракция аккаунтов и контроль расходов: Смарт-кошельки на основе ERC‑4337 позволяют установить лимиты трат, использовать ключи сессий, а также управлять разрешениями на более глубоком уровне, что снижает риск выкачивания средств при взломе устройства. Подробнее: Обзор ERC‑4337.

  • Новые паттерны подписей: Новый стандарт EIP‑7702 предлагает улучшенную механику работы с аккаунтами и подписями. Следите за обновлениями и адаптируйте свои привычки в безопасности. Подробнее: EIP‑7702.

Как защитить себя

  • Минимизируйте разрешения

    • Всегда задавайте точные лимиты при approve, а не безлимитные значения.
    • Периодически проверяйте и отзывайте существующие разрешения:

  • Осторожно подписывайте транзакции

    • Перед подтверждением просматривайте адрес получателя и запрашиваемый объём разрешения.
    • Не подписывайте permit, если не уверены в безопасности dApp и не понимаете параметры (истечение срока, nonce, получатель).
    • Отключите слепую подпись, чтобы проверять данные контракта.

  • Используйте приватный order flow при необходимости

    • При перемещении средств с потенциально скомпрометированного кошелька используйте защищённую передачу транзакций — это скрывает их от мемпула. Подробнее: Flashbots Documentation.

  • Разделяйте риски

    • Храните долгосрочные накопления и активные DeFi-средства на разных адресах.
    • Используйте смарт-кошельки с режимами ограничений. Подробнее: ERC‑4337.

  • Борьба с фишингом

    • Перед подписью убедитесь в корректности URL, адреса контракта и содержания подписываемых данных.
    • Пользуйтесь безопасными расширениями и не импортируйте seed-фразы в неизвестные сервисы. Подробнее: CISA’s Phishing Guidance.

Как действовать, если вас уже атакует Sweeping-бот

Если вы подозреваете, что за вашим адресом следит бот:

  • Не отправляйте средства напрямую на скомпрометированный адрес — они будут сразу украдены.
  • Используйте приватную передачу транзакций — желательно отправить funding-транзакцию и вывод в одном атомарном пакете, скрытом от публичного мемпула. Это может требовать специальных инструментов или помощи специалистов. Подробнее: Flashbots docs.
  • Сначала отзовите разрешения — если утечка не включает приватный ключ, попытайтесь с помощью приватного релея отозвать approve, а только потом переводить средства. Инструменты: Token Approval Checker и Revoke.cash.
  • Создайте новый чистый кошелёк — сгенерируйте новую seed-фразу, убедитесь в безопасности среды и перенесите активы только после полного аудита прежних разрешений и подписей.

Являются ли все Sweeping-боты злоумышленниками?

Нет, не каждый бот, участвующий в гонке транзакций, вредоносен. Многие MEV-боты занимаются арбитражем или обеспечивают ликвидность, способствуя эффективности рынка. Злоумышленные sweeping-боты отличаются тем, что они расходуют средства без согласия владельца, используя украденные ключи или разрешения. Тот же инструментарий (просмотр мемпула, приоритетные комиссии, перегруппировка транзакций) может как приносить пользу, так и вред. Главное — ограничить возможность доступа к своим средствам, а не только скрывать действия.

Аппаратные кошельки как защита

Аппаратные кошельки, такие как OneKey, надёжно хранят приватные ключи оффлайн и требуют физического подтверждения при важных действиях. Преимущества:

  • Оффлайн-хранение и прозрачность подписи: Все параметры транзакций, включая адрес получателя и объём разрешения, отображаются на устройстве, что позволяет блокировать вредоносные подписи.
  • Открытое ПО и мультисетевой охват: Позволяют управлять разрешениями как для ERC‑20 токенов, так и NFT, поддерживая "гигиену разрешений" в разных сетях.
  • Безопасная настройка и защита паролем: Даже если компьютер взломан, аппаратный кошелёк не раскроет ключи при должной настройке.

Sweeping-боты процветают за счёт уязвимостей — открытых ключей и неосторожных одобрений. Использование надёжного сигнера и регулярный аудит своих разрешений значительно снижают риски.

Основные выводы

  • Sweeping-боты выкачивают средства с адресов, получивших компрометацию или выдавших неограниченные разрешения. Подробнее: Ethereum Transactions and Gas и EIP‑1559.
  • Основные угрозы — утечки ключей, безлимитные approve, подписи permit и фишинг. Не забывайте регулярно проводить аудит разрешений. Token Approval Checker, Revoke.cash.
  • В 2025 году активно развиваются приватные варианты передачи и абстрактные аккаунты, которые обеспечивают большую безопасность. Подробнее: Flashbots Docs и ERC‑4337.
  • Аппаратные кошельки вроде OneKey и внимательная работа с подписями — ваша ежедневная защита от автоматизированных атак.

Защитите свое криптопутешествие с OneKey

View details for Магазин OneKeyМагазин OneKey

Магазин OneKey

Самый продвинутый аппаратный кошелек в мире.

View details for Загрузить приложениеЗагрузить приложение

Загрузить приложение

Предупреждения о мошенничестве. Поддержка всех монет.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Ясность в криптовалюте — на расстоянии одного звонка.

Читать дальше