Drainer-расширения в браузере: новая дверь к вашему кошельку

MetaMask, Phantom, Trust Wallet - крипто-кошельки в виде браузерных расширений стали стандартом для DeFi. Но любое расширение работает в том же контексте, что и страница, и теоретически может видеть данные кошелька. Атаки через злонамеренные расширения - один из самых растущих векторов в 2025-2026.

Как работают drainer-расширения

Атакующий публикует в Chrome Web Store или Edge Add-ons расширение под видом полезного инструмента: транслятор, конвертер валют, RPC-менеджер, гас-трекер. После установки расширение запрашивает разрешение read your data on all websites (стандартное для многих расширений) и:

Перехватывает обращения к кошельку (eth_requestAccounts, signTransaction).
Подменяет адрес получателя в момент подписания транзакции.
Просит подтвердить безобидную транзакцию, которая на самом деле даёт approve на весь баланс токена.

Пользователь видит знакомый интерфейс MetaMask и подтверждает - не подозревая, что данные подменены на лету.

Признаки подозрительного расширения

Маленький разработчик, новое расширение. Менее 10 000 загрузок, история разработчика на 2-3 месяца, отзывы выглядят натянутыми (одинаковые формулировки от разных аккаунтов).

Несоответствие функционала и разрешений. Калькулятор просит доступ ко всем сайтам - повод задуматься.

Описание с плохой грамматикой или подозрительными обещаниями. Хорошее расширение пишет внятно, плохое - копирует с переводчика.

Базовые меры защиты

Отдельный браузер для крипты. Например, Brave или Firefox только для MetaMask и DeFi, без других расширений. Браузер для повседневного интернета - отдельно, со всеми расширениями для работы.

Регулярная проверка расширений. Раз в месяц проходим по списку, удаляем то, что давно не используем. Меньше расширений - меньше поверхности атаки.

Hardware wallet. Trezor или Ledger вместо чистого MetaMask. Даже если drainer перехватит запрос, подпись физически выполняется на устройстве - и вы видите реальный адрес получателя на экране.

Никогда не подписывать transaction blind. Если приложение просит подписать что-то, что вы не понимаете - не подписывайте. Драйнеры часто используют permit или approve(unlimited) - формулировки, которые в spende-окне MetaMask выглядят страшно, но новички их пропускают.

Что делать, если уже скомпрометирован

Срочно переведите все активы на новый, чистый кошелёк - сгенерированный на устройстве без скомпрометированного расширения. Старые approve не отменятся сами, но активы будут уже не на старом адресе.

Материал носит информационный характер и не является финансовой рекомендацией. Данные и условия сервисов могут меняться, поэтому перед оплатой или инвестиционным решением проверяйте первоисточники. Упоминание сторонних брендов и сервисов не означает официальное партнёрство, поддержку или одобрение VirtCardPay с их стороны.