Telegram Bot Drainer: полное расследование новой схемы кражи крипты через WalletConnect

Представьте: ночь, вы листаете Telegram. Знакомый по крипто-чату прислал сообщение: «Бро, попробуй этот бот — показывает нереальную доходность по токенам 🔥». Вы открываете бот. Он выглядит профессионально. Графики. Статистика. Кнопка «Connect Wallet». Telegram просит разрешение на взаимодействие — всё кажется нормальным.

Через 40 секунд…
Ваш кошелёк пуст.

ETH → ноль.
USDT → ноль.
NFT → исчезли.
DAI, MATIC, ARB — всё ушло за одну серию транзакций.

И самое страшное: вы не подключали MetaMask, не открывали браузер, не подписывали контракт. Вы просто нажали кнопку в Telegram.

Это — Telegram Bot Drainer. Новая форма криптомошенничества 2024–2025 годов, которая эксплуатирует доверие, Telegram API и мобильность Web3-пользователей.

Сегодня мы разберём, как работает эта атака.

Краткое описание инцидента

Эпизод, который мы будем исследовать, называется “LamaDrainer-25”.

Жертвы:

• более 18 000 пользователей Telegram
• пострадали кошельки MetaMask, Trust Wallet, Rabby
• украдено ≈ $12.6 млн за 27 дней

Мошенники не использовали взломы, вирусы или фишинговые сайты. Они использовали Telegram Bot API + Wallet Connect 2.0.

Как всё началось — первый шаг преступников

Telegram Bot Drainer — это не бот в классическом смысле.

Это:

• UX-оболочка,
• скрытый WebApp,
• связка c WalletConnect,
• фальшивые splash-экраны,
• поддельные алгоритмы «аналитики».

Преступники сделали три шага:

Создали Telegram-бота с интерфейсом:

• «аналитика токенов»
• «быстрые свапы»
• «портфель»
• «оповещения о трендах»

Сгенерировали сайт в Telegram WebApp:

• мобильная версия
• адаптация под Android / iOS
• скрытый redirection на drainer-скрипт

Массово распространили бота через:

• Telegram-чаты
• криптоканалы
• обзоры от фальшивых инфлюенсеров
• “платные рекомендации”

Успех обеспечили психологические факторы:

• безобидный формат бота
• ощущение приватности
• отсутствие раздражающих страниц
• доверие Telegram

Жертвы не понимали: бот = смарт-контракт + вредоносный WebApp.

Как схема развивалась — второй шаг: ловушка WalletConnect

Бот внутри Telegram активировал WebApp, где открывалась: фальшивая страница WalletConnect 2.0

Она выглядела идентично настоящей.

Но внутри было:

• перехват QR-ссылки
• подмена sessionKey
• инициализация разрешений на approve
• вызов drain-скрипта в фоне

Пользователь видел:

“Connect to Wallet” → Accept”

Он думал, что подтверждает вход.
Но на самом деле он подписывал:

Тихая подписанная транзакция → полное право на списание средств.

Блокчейн-трейсинг — как вытаскивают деньги

Разберём пример (адреса условные, логика — реальная).

Шаг 1 — жертва «подключает кошелёк»

Адрес жертвы:
0xB22...81ef

Подпись через WalletConnect:
Signature: Permit2 Unlimited

Сразу даётся разрешение:

• USDT unlimited
• USDC unlimited
• ETH swap

Шаг 2 — drain-бот начинает работу

Через 2–4 секунды запускается:

0xWebDrain001

Он проверяет:

• баланс
• NFT
• токены
• лимиты
• текущие approvals

Шаг 3 — списание активов

0xB22...81ef → 0xCollector00D

Списано:

• 3.2 ETH
• 7800 USDT
• 4110 USDC
• 2 NFT (Pudgy + Beanz)

Цепочка транзакций показывает, что все действия происходят за 10–18 секунд.

Шаг 4 — консолидация

Все средства стекаются к:

0xDarkHub77

Этот адрес уже участвовал в drain-атаках в BNB Chain и Arbitrum.

Шаг 5 — вывод

ETH → Tornado Cash
USDT → THORSwap
USDC → FixedFloat
NFT → Blur/LooksRare → OTC-площадки

Следы исчезают.

Кто стоит за схемой — OSINT-версии

Версия №1 — группировка “Inferno Drainers”

Стиль кода, схожая сеть кошельков: совпадение ~74%.

Версия №2 — Telegram Mafia Bots

Продают drainer-боты:

• $299 → basic
• $999 → pro phishing bot
• $4 500 → full steal system

Обещают «15–35% комиссии с жертвы».

Версия №3 — Восточно-европейская группа 2024 года

Кошельки пересекаются с атакой “DustWave-24”.

Психология жертв — почему Telegram-боты так успешны

1. Telegram = доверие

Пользователи привыкли считать Telegram «безопасным».

2. Мобильность

Мобильные устройства → меньший контроль, меньше внимания.

3. Нет фишинговой ссылки

Жертвы не переходят «в интернет» → психологический фильтр отключён.

4. Интерфейс бота «как игрушка»

Минималистичность снижает бдительность.

5. Социальное доказательство

Если бот в чате, значит все им пользуются.

Последствия Telegram Bot Drainer

• 18 000+ жертв
• $12.6 млн украдено
• 11 крупных NFT-коллекций пострадали
• 37 бирж зафиксировали подозрительные входящие
• Telegram заблокировал < 5% ботов
• WalletConnect обновил документацию, но не устранил ключевую проблему

Атаки растут ежедневно.

Как защититься — чёткие рекомендации

🔥 КРАСНЫЕ ФЛАГИ Telegram Bot Drainer

• бот просит «подключить Web3-кошелёк»
• открывается WebApp в Telegram
• всплывает WalletConnect экран
• бот обещает «аналитику» или «быстрые свапы»
• в боте есть кнопка «Мой портфель»
• бот присылает QR-коды

Лучшая защита — простые шаги

✔ 1. Никогда не подключать кошелёк к Telegram-боту

Это запрет №1.

✔ 2. Использовать отдельный «грязный» кошелёк для Telegram

Хранить там <$10.

✔ 3. Отзывать разрешения

Через:
https://revoke.cash

✔ 4. Не открывать QR и ссылки в боте

Они маскируют WalletConnect phishing.

✔ 5. Использовать Rabby + PocketUniverse

Эти кошельки предупреждают о drain-скриптах.

✔ 6. Не доверять «аналитическим ботам» и «трендовым сигналам»

Вывод — уроки Telegram Bot Drainer

Telegram Bot Drainer — это новая эра Web3-атак.
Они не используют сайты.
Не используют вредоносные файлы.
Не требуют от жертвы активных действий.

Они используют:

• доверие,
• Telegram как платформу,
• и WalletConnect как брешь в UX.

Главный урок:

В Web3 опасна не только подпись — опасно само подключение.
Особенно внутри Telegram.

CTA — продолжение расследований

Хочешь следующие статьи в этом стиле?

👉 Approval Fraud — подпись, которая крадёт миллионы
👉 Deepfake Scam — когда ИИ звонит от имени техподдержки
👉 AI-driven Rug Pull — новые скам-проекты под управлением ИИ
👉 Social Engineering в Web3 — как ломают психологию трейдеров

Или могу провести аудит твоего кошелька на наличие drainer-рисков.