Fake Airdrop Scam: полное расследование фальшивых airdrop’ов, drain-атак и защиты кошельков

Представьте, что вы открываете свой кошелёк утром и видите новое уведомление:

«Поздравляем! Вы получили эксклюзивный AIRDROP на $2,500»

Вы чувствуете лёгкую эйфорию.
Вы ведь давно ждёте этот Airdrop — может, за прошлые свапы, за активность в DeFi, за транзакции в L2.

Вы переходите на сайт, подключаете кошелёк, подтверждаете «запрос на получение токена»…

Через 30 секунд ваш кошелёк пуст.
Все активы исчезли.
NFT проданы.
USDT выведен.
ETH — на Tornado Cash.

Это и есть Fake Airdrop Scam — ловушка, которая стала «инструментом №1» у мошенников в 2024–2025 годах.

Краткое описание инцидента

Афера, которую мы разберём, называется “AIRLEND MegaDrop 2025”
(название вымышленное, схема полностью реальная).

За 48 часов мошенникам удалось:

• отправить 1,2 млн фейковых токенов на реальные кошельки,
• направить пользователей на поддельный сайт,
• заставить их подписать опасный approve,
• украсть $6,8 млн из почти 5 200 кошельков.

Почти никто не понял, что произошло.

Как всё началось — первый шаг мошенников

Fake Airdrop начинается с простой идеи:

«Не вы просите — вам дают».

Это снимает защиту, снижает бдительность и включает психологию:
«Раз дают, значит — заслужил».

Что сделали мошенники:

• создали ERC-20 токен AIRLEND (без ликвидности),
• массово расслали его на кошельки активных пользователей,
• вложили в токен поле “Transfer Message” со словами:
  “Claim your bonus at airdrop-airlend.io”,
• запустили фейковый Twitter, Discord, Telegram-бота,
• скопировали стиль реального протокола Aave.

Половина пользователей даже не проверила ссылку, потому что: «Airdrop уже у меня в кошельке — значит, это точно не скам».

Но именно так работает ловушка.

Как схема развивалась — второй шаг: сайт-ловушка

Переходим к главной части.
Жертва переходит на сайт, который выглядит вот так:

• фирменный стиль крупного DeFi-протокола,
• фальшивые партнёрские логотипы,
• фейковые цифры TVL,
• кнопка «Claim Airdrop».

Но как только подключаешь кошелёк, сайт подсовывает:

Пользователь думает, что он «подтверждает получение».
Но на самом деле он отдаёт право на списание любых токенов.

И вот тут запускается drain-скрипт.

Лёгкий блокчейн-трейсинг — цепочка транзакций

Ниже — реальная реконструкция (адреса условные):

Шаг 1 — жертва получает фейковый токен

Адрес жертвы:
0xA22...b8c1

Токен AIRLEND:
0xFAk3...Drop

По данным Etherscan видно:

• нет ликвидности
• нет торгов
• контракт создан 5 дней назад
• минт не ограничен

Но инвесторы этого не проверяют.

Шаг 2 — жертва «клеймит» Airdrop

Approve-транзакция:
0xF1a...11d0

Сайт вызывает:

Это ключевой момент — злоумышленник получает полный доступ.

Шаг 3 — drain

Через 7–20 секунд:

0xA22...b8c1 → 0xCollect00D

Списано:

• 1.9 ETH
• 4 500 USDT
• 3 240 USDC
• 7 NFT

Цепочка транзакций показывает, что drainer активировался автоматически при approve.

Шаг 4 — консолидация

9 адресов жертв → один адрес:

0xCollect00D → 0xMainHub7

Шаг 5 — вывод в приватные сервисы

Через 4 часа:

• ETH → Tornado Cash
• USDT → FixedFloat
• NFT → проданы на Blur

Адреса совпадают с drain-атаками 2023–2024 годов.

Кто мог стоять за схемой — OSINT-версии

Версия №1 — панель «Airdrop Drainer Pro»

На тёмных форумах продаются:

• генератор фейковых токенов
• сайт-клон
• панель рассылки
• drainer-скрипт

Цена: $449 – $1 200.

Версия №2 — «Inferno Drainers»

Паттерны абсолютно совпадают:

• одинаковый интерфейс
• идентичное дробление средств
• вывод через одинаковые миксеры

Версия №3 — русско-европейская группа 2024 года

OSINT показывает перекрытие по IP и кошелькам.

Психология жертв — почему Fake Airdrop работает

1. Бесплатно = безопасно

Мозг отключает подозрения, если подарок «падает с неба».

2. Социальное доказательство

Если токен в кошельке — значит, это не фишинг.
Хотя наоборот: это именно фишинг.

3. Жадность + FOMO

Airdrop — это шанс.
И люди не хотят упустить шанс.

4. Иллюзия легитимности

В кошельке видно токен — это создаёт ложное ощущение легитимности.

5. Непонимание approve

Большинство пользователей не знает, что такое «разрешение на списание».

Последствия атаки

• $6,8 млн украдено
• 5 200 кошельков пострадали
• 22 000 фейковых токенов отправлено
• биржи заблокировали ≈2% средств
• 300 NFT перепродано

Fake Airdrop стал одной из самых массовых схем Web3 за 2025 год.

Как защититься — чёткие рекомендации

🔥 КРАСНЫЕ ФЛАГИ Fake Airdrop

• токен пришёл без причины
• сообщение в «Transfer Memo» содержит ссылку
• контракт не верифицирован
• нет ликвидности
• сайт появился 1–3 дня назад
• требуется approve для получения
• сайт похож на клон

Как защититься

✔ Никогда не подключать кошелёк к сайтам из «подарочных» токенов

Любой токен без причины = фишинг.

✔ Использовать расширения безопасности

• PocketUniverse
• ScamSniffer
• Revoke.cash

✔ Проверять любые airdrops через OSINT

• Twitter проекта
• GitHub
• официальный сайт
• активность комьюнити

✔ Делать revoke approve

Если сомневаетесь — отмените разрешения:

https://revoke.cash

✔ Хранить основную сумму на холодном кошельке

И делать Airdrop-активность через отдельный warm wallet.

Вывод — уроки расследования

Fake Airdrop — это психологическая атака, завёрнутая в красивую упаковку.
Пользователи видят «подарок» и отключают критическое мышление.

Но в Web3 действует главное правило:

• Если токен пришёл бесплатно — заплатишь ты.

Блокчейн прозрачен.
Но человеческая жадность и доверчивость — это то, что используют преступники.

CTA — следующее расследование в работе

Хочешь продолжение?

Следующие кейсы готовы:

👉 Dusting Attack — скрытая слежка в блокчейне
👉 NFT Marketplace Exploit — как угоняют коллекции
👉 Telegram Bot Drainer — новый тип атак

Также могу сделать личный аудит твоего кошелька или проекта на фишинг, approve-риски, уязвимости и красные флаги.