Professor
Professional
- Messages
- 213
- Reaction score
- 22
- Points
- 18
Дрейнер — это скрипт автовывода токенов, который:
а) Инициализирует запрос о передаче прав управления всеми активами кошелька.
б) Переводит эти самые активы, в случае, если пользователь подтвердил передачу прав.
ВАЖНО! Нужно понимать, что дрейнер не универсальная кнопка, а функциональное решение. Вам нужно вытаскивать токены на сети эфира? Такой дрейнер есть. Нужно, чтобы пользователь выбирал какой у него кошелек из предложенных и подключал его? Такой тоже имеется. Вам нужно тонкая настройка, чтобы хищение происходило ТОЛЬКО при подключении определенной сети через определенный кошелек? И тут найдется решение под ключ.
Для установки дрейнера необходим лендинг, сам дрейнер представляет собой сценарий для блока на сайте типа wallet-connect, который в обычных ситуациях используется для подключения к крипто-сайтам посредством авторизации кошелька. В пример приведу свапалки(сайты обмена токенов) типо 1inch и pancakeswap, для авторизации на которых необходимо подключить свой кошелек через wallet-connect. Отличает дрейнер от обычного подключения к кошельку особый смарт-контракт, в который заложен ряд правил.
Наверняка вам знакомо что-то из этого:
Seaport (протокол безопасной продажи/покупки NTF от OpenSea)
WalletConnect — универсальный протокол, содержит в себе множество кошельков(более 300).Подробнее: walletconnect.com
BinanceWallet продукт биржи Бинанс.
Первые два являются протоколами подключения, а последний, как вы поняли, кошельком. Позднее объясню, что кошелек тут забыл.
Дрейнер на протоколе Seaport логично использовать в случае, если у вас лендинг под НФТ, не вижу смысла рассматривать его детально, идём далее.
WalletConnect имеет больше вариаций и возможностей, если в предыдущем примере вам необходим был лендинг под нфт тематику, то тут больший выбор. В качестве лендинга может быть DeFi(Decentralize Financial) или DAO.
Кошелек бинанс, каким же образом с ним взаимодействовать и в каких случаях? Дело в том, что вы можете напрямую подключаться к сети бинанс минуя вопрос "какой кошелек подключить" по сравнению с валлет-коннектом. Если вы выбрали поставить лендинг, к примеру, конкретно на бинансваллет, стоит задуматься: нужен ли вам дрейнер с поддержкой мульти-кошельков? Конечно нет. Функционал в этом случае можно уместить в одну кнопку в интерфейсе сайта, а если у вас лендинг подразумевает возможность подключения разных кошельков? Другой вопрос.
Мы узнали что дрейнер индивидуально настраеваемый под вашу задачу инструментом, который может включать в себя, как ряд кошельков и протоколов, или иметь узкую специализацию и работать с конкретным кошельком.
Если вы задумываетесь о покупке, вам стоит задать вопрос — для каких целей? Хищение нфт или токенов? Или всего сразу? На каких блокчейнах необходима поддержка и каких кошельков? Эти вопросы помогут вам разобраться с потенциально подходящим предложением и ценовым диапозоном, поскольку, как вы понимаете, чем сложнее проект тем он дороже.
Смарт-контракт — это набор правил, включающий протокол, по которому стороны(пользователь и сайт) выполняют свои обязательства. Вся магия дрейнера происходит после подписания онного. Пользователю высвечивается окошко с предупреждением: нужно подписывать контракт, тело контракта можно развернуть и посмотреть(в нем находятся детали договора), что именно вы разрешаете делать сайту со своими кошельком. Это может быть режим "только чтение" при котором веб-ресурс может увидеть баланс вашего кошелька, адрес и прочее, а может быть и управление всеми вашими токенами, включая NFT.
Зачем нужен смарт-контракт?
Объясню на примере централизованной платежной системы виза: есть администратор, который может модерировать ее, решать спорные моменты, блокировать транзакции по своему желанию, взимать комиссию с платежей.
В децентрализованной системе такого нет, а смарт-контракт подчиняется только заданным в него заранее правилам.
Где встречается?
В большинстве своём это классическая реклама в гугл и других поисковиках, но есть и более редкие способы распространения, о которых никто не пишет.
Рассылка по адресам: На адрес вашего крипто-кошелька поступает монета в сети trc-10 с названием сайта в имени этой монеты, вам интересно что это, можно ли ее обменять? Заходите на сайт из имени токена, подключаете кошелек, подтверждаете. Поздравляю, ваши токены больше не ваши. Конкретно этот пример приведен для сети трона.
Другой источник распространения: публичные чаты новых токенов на разных блокчейнах, в моем случае это был LUFFY токен на сети BSC. В чем суть? Происходит мануальная рассылка по тг в личный сообщения, используя список активных пользователей чата, далее им предлагается перейти на сайт под разными предлогами, они нажимают кнопку "подключить кошелек", после чего якобы происходит ошибка подключения и сайт предлагает ввести СИД-ФРАЗУ для авторизации. Очень важный момент, это не классический способ, после введения вашей сид фразы происходит логин по ней в различный сетях и вычистка активов с баланса под ноль. К сожалению, мне не удалось найти живой лендинг с такой реализацией, остались лишь скриншоты пострадавшей стороны.
Чтобы минимизировать риск потери средств, нужно как минимум использовать встроенные браузер в криптокошельках. В метамаске и трастваллете есть такой, раздел DApps в них наполнен проверенными ресурсами, подключив кошелек к которым вы навряд ли будете обмануты, а ваши токены похищены, дополнительным вариантом защиты будет навык чтения кода контракта и понимание, что именно вы подписываете, когда подсоединяете кошелек к сайту.
Глобальная афера.
В мае 2022 произошел взлом и внедрение дрейнера в исходный код множества ресурсов, при попытке подключить кошелек к которым предлагалось выдать разрешение стороннему сайту nftopes.win . Это еще один способ реализации вредоноса, самый сложный. Взлом легитимного, доверенного ресурса и размещение на нем зловреда. Как вы видите, не всегда проверенные сайты не несут опасности. На скриншоте популярный сайт bcscan для просмотра транзакций в сети БНБ с миллионной посещаемостью, какие реальные убытки понесли пользователи, остается загадкой.
Под конец затрону тему ценовой политики и сложности установки, стоит это чудо от 1000$ (надлежащего качества исполнения) до 5000$ (в ситуациях, когда нужна сложная реализация), возможно есть и дороже. Пишу только о том, что точно знаю. Процесс установки не затруднителен, особенно в купе с качественной инструкцией, вся забота о процессе написания которой лежит на разработчике, заказчику остается оплатить и установить по приложенному мануалу.
а) Инициализирует запрос о передаче прав управления всеми активами кошелька.
б) Переводит эти самые активы, в случае, если пользователь подтвердил передачу прав.
ВАЖНО! Нужно понимать, что дрейнер не универсальная кнопка, а функциональное решение. Вам нужно вытаскивать токены на сети эфира? Такой дрейнер есть. Нужно, чтобы пользователь выбирал какой у него кошелек из предложенных и подключал его? Такой тоже имеется. Вам нужно тонкая настройка, чтобы хищение происходило ТОЛЬКО при подключении определенной сети через определенный кошелек? И тут найдется решение под ключ.
Для установки дрейнера необходим лендинг, сам дрейнер представляет собой сценарий для блока на сайте типа wallet-connect, который в обычных ситуациях используется для подключения к крипто-сайтам посредством авторизации кошелька. В пример приведу свапалки(сайты обмена токенов) типо 1inch и pancakeswap, для авторизации на которых необходимо подключить свой кошелек через wallet-connect. Отличает дрейнер от обычного подключения к кошельку особый смарт-контракт, в который заложен ряд правил.
Наверняка вам знакомо что-то из этого:
Seaport (протокол безопасной продажи/покупки NTF от OpenSea)
WalletConnect — универсальный протокол, содержит в себе множество кошельков(более 300).Подробнее: walletconnect.com
BinanceWallet продукт биржи Бинанс.
Первые два являются протоколами подключения, а последний, как вы поняли, кошельком. Позднее объясню, что кошелек тут забыл.
Дрейнер на протоколе Seaport логично использовать в случае, если у вас лендинг под НФТ, не вижу смысла рассматривать его детально, идём далее.
WalletConnect имеет больше вариаций и возможностей, если в предыдущем примере вам необходим был лендинг под нфт тематику, то тут больший выбор. В качестве лендинга может быть DeFi(Decentralize Financial) или DAO.
Кошелек бинанс, каким же образом с ним взаимодействовать и в каких случаях? Дело в том, что вы можете напрямую подключаться к сети бинанс минуя вопрос "какой кошелек подключить" по сравнению с валлет-коннектом. Если вы выбрали поставить лендинг, к примеру, конкретно на бинансваллет, стоит задуматься: нужен ли вам дрейнер с поддержкой мульти-кошельков? Конечно нет. Функционал в этом случае можно уместить в одну кнопку в интерфейсе сайта, а если у вас лендинг подразумевает возможность подключения разных кошельков? Другой вопрос.
Мы узнали что дрейнер индивидуально настраеваемый под вашу задачу инструментом, который может включать в себя, как ряд кошельков и протоколов, или иметь узкую специализацию и работать с конкретным кошельком.
Если вы задумываетесь о покупке, вам стоит задать вопрос — для каких целей? Хищение нфт или токенов? Или всего сразу? На каких блокчейнах необходима поддержка и каких кошельков? Эти вопросы помогут вам разобраться с потенциально подходящим предложением и ценовым диапозоном, поскольку, как вы понимаете, чем сложнее проект тем он дороже.
Смарт-контракт — это набор правил, включающий протокол, по которому стороны(пользователь и сайт) выполняют свои обязательства. Вся магия дрейнера происходит после подписания онного. Пользователю высвечивается окошко с предупреждением: нужно подписывать контракт, тело контракта можно развернуть и посмотреть(в нем находятся детали договора), что именно вы разрешаете делать сайту со своими кошельком. Это может быть режим "только чтение" при котором веб-ресурс может увидеть баланс вашего кошелька, адрес и прочее, а может быть и управление всеми вашими токенами, включая NFT.
Зачем нужен смарт-контракт?
Объясню на примере централизованной платежной системы виза: есть администратор, который может модерировать ее, решать спорные моменты, блокировать транзакции по своему желанию, взимать комиссию с платежей.
В децентрализованной системе такого нет, а смарт-контракт подчиняется только заданным в него заранее правилам.
Где встречается?
В большинстве своём это классическая реклама в гугл и других поисковиках, но есть и более редкие способы распространения, о которых никто не пишет.
Рассылка по адресам: На адрес вашего крипто-кошелька поступает монета в сети trc-10 с названием сайта в имени этой монеты, вам интересно что это, можно ли ее обменять? Заходите на сайт из имени токена, подключаете кошелек, подтверждаете. Поздравляю, ваши токены больше не ваши. Конкретно этот пример приведен для сети трона.
Другой источник распространения: публичные чаты новых токенов на разных блокчейнах, в моем случае это был LUFFY токен на сети BSC. В чем суть? Происходит мануальная рассылка по тг в личный сообщения, используя список активных пользователей чата, далее им предлагается перейти на сайт под разными предлогами, они нажимают кнопку "подключить кошелек", после чего якобы происходит ошибка подключения и сайт предлагает ввести СИД-ФРАЗУ для авторизации. Очень важный момент, это не классический способ, после введения вашей сид фразы происходит логин по ней в различный сетях и вычистка активов с баланса под ноль. К сожалению, мне не удалось найти живой лендинг с такой реализацией, остались лишь скриншоты пострадавшей стороны.
Чтобы минимизировать риск потери средств, нужно как минимум использовать встроенные браузер в криптокошельках. В метамаске и трастваллете есть такой, раздел DApps в них наполнен проверенными ресурсами, подключив кошелек к которым вы навряд ли будете обмануты, а ваши токены похищены, дополнительным вариантом защиты будет навык чтения кода контракта и понимание, что именно вы подписываете, когда подсоединяете кошелек к сайту.
Глобальная афера.
В мае 2022 произошел взлом и внедрение дрейнера в исходный код множества ресурсов, при попытке подключить кошелек к которым предлагалось выдать разрешение стороннему сайту nftopes.win . Это еще один способ реализации вредоноса, самый сложный. Взлом легитимного, доверенного ресурса и размещение на нем зловреда. Как вы видите, не всегда проверенные сайты не несут опасности. На скриншоте популярный сайт bcscan для просмотра транзакций в сети БНБ с миллионной посещаемостью, какие реальные убытки понесли пользователи, остается загадкой.
Под конец затрону тему ценовой политики и сложности установки, стоит это чудо от 1000$ (надлежащего качества исполнения) до 5000$ (в ситуациях, когда нужна сложная реализация), возможно есть и дороже. Пишу только о том, что точно знаю. Процесс установки не затруднителен, особенно в купе с качественной инструкцией, вся забота о процессе написания которой лежит на разработчике, заказчику остается оплатить и установить по приложенному мануалу.
