Комплексный крипто-дрейнер, замаскированный под «активацию / EIP-7702»

Он предназначен для получения подписи от пользователя в MetaMask и последующего автоматического вывода (кражи) ETH, ERC-20 и NFT на адрес злоумышленника.

Frontend
Назначение: выманить у пользователя криптографическую подпись.
 
Что происходит:

• 1. Проверяется наличие MetaMask и запрашивается подключение кошелька.
  2. Подпись, nonce и адрес пользователя отправляются на локальный backend (/activate).
  3. Пользователю показывается «двухэтапный» процесс («Approve пропущен», «Finalize EIP-7702 Authorization») — это социальная инженерия.
  4. Во втором шаге MetaMask просит подписать произвольное сообщение (personal_sign), где пользователь «разрешает» взаимодействие с контрактом.
  5. Подпись, nonce и адрес пользователя отправляются на локальный backend (/activate).

Ключевой момент:
 Пользователь не отправляет транзакцию, а лишь подписывает сообщение, что выглядит «безопасно», но затем используется сервером для запуска реальной транзакции.


Смарт-контракт
 Назначение: выгребать активы.
 
Основные функции:

• executeSweep():
  
  
  • Отправляет весь ETH контракта владельцу.
  • Переводит балансы популярных токенов (WETH, USDC, USDT, WBTC).
  • Пытается перевести NFT из известных коллекций (BAYC, MAYC, CloneX).
    
    
• realTxOnly — анти-анализ/анти-симуляция:
  
  
  • Проверки на tx.origin, остаток газа, чётность блока.
  • Используется, чтобы затруднить обнаружение и симуляцию транзакции ботами и аудит-инструментами.
    
    

Важно: контракт не защищает пользователя — он предназначен исключительно для вывода средств владельцу контракта.

Backend / “Bundler”
Назначение: превратить подпись пользователя в реальную транзакцию в сети.
 
Что делает сервер:

• Принимает подпись и адрес жертвы.
• Формирует специальную транзакцию (тип 4, EIP-7702), где:
  
  
  • Транзакция отправляется злоумышленником.
  • Но авторизация берётся из подписи жертвы (authorizationList).
    
    
• Вызывает executeSweep() как будто от имени кошелька жертвы.
• Отправляет транзакцию в mainnet через Infura.
  
  

Итог:
Как только пользователь подписал сообщение, сервер мгновенно инициирует вывод средств без дополнительных подтверждений в MetaMask.

 Общая картина
Это не тест, не «активация» и не безобидный dApp.
 
Фактически:

• ✔ Пользователь подключает кошелёк
• ✔ Подписывает «безопасное сообщение»
• ✔ Сервер использует подпись для кражи активов
• ✔ Контракт выводит ETH, токены и NFT владельцу

 Явные красные флаги

• personal_sign с «разрешением» на контракт.
• Backend, который сам отправляет транзакции.
• Формулировки про «bundler», «instant drain», «victim».
• Контракт с функцией executeSweep.
• Отсутствие открытого, проверяемого UX-потока транзакций.

Это — вредоносный дрейнер, использующий социальную инженерию и подписи кошелька для несанкционированного вывода средств.
Если цель — анализ безопасности или обучение, то пример показателен.
Если цель — использование — это опасно и незаконно.

https://www.youtube.com/watch?v=flQANIzso3U