Die Anatomie eines Krypto-Betrügers: Wie 1,93 Mrd. Dollar innerhalb von sechs Monaten verschwanden
Ein „Drainer“ stiehlt nicht deine Seed-Phrase. Er stiehlt deine Unterschrift. Ein Klick – ein einziger Klick auf die falsche Schaltfläche „Claim“, „Verify“ oder „Connect Wallet“ – und eine Kette vorgefertigter Smart Contracts leert Ihr Guthaben, noch bevor Sie den Finger vom Trackpad nehmen können.
Was ein „Drainer“ eigentlich ist
A Krypto-Abzocker ist ein speziell für Web3 entwickeltes Possibly phishing-Tool. Es versucht nicht, Ihr Passwort auszuspähen oder einen privaten Schlüssel zu entwenden. Stattdessen bringt es Sie dazu, eine Transaktion unterzeichnen — in der Regel ein approve(), setApprovalForAll(), oder eine Off-Chain-Lösung Permit Nachricht – die dem Angreifer die Berechtigung erteilt, über Ihr Vermögen nach Belieben zu verfügen. Die Wallet bleibt „Ihre“. Das Guthaben jedoch nicht.
Das Modell ist extrem effizient, weil es rechtmäßig Blockchain-Grundelemente. Ihr privater Schlüssel wird niemals kompromittiert. Auf Ihrem Rechner befindet sich keine Malware. Es gibt nur eine einzige Signatur bei einer einzigen Transaktion, die On-Chain-Analysten sehen können und deren Wirkung von keiner Instanz rückgängig gemacht werden kann.
Laut Chainalysis, ein „Drainer“ ist „ein Possibly phishing-Tool, das für das Web3-Ökosystem entwickelt wurde“ und sich als legitime dApp ausgibt. Group-IB, Check Point Research, und ScamSniffer haben Tausende von Kampagnen katalogisiert, die genau auf diesem Mechanismus basieren.
Die 6-stufige Kill-Chain
Jeder „Drainer“-Angriff – Inferno, Pink, Angel, MS, CLINKSINK, Rugging und die Dutzenden namenlosen Forks – verläuft in denselben sechs Phasen. Die Kunst besteht darin, all diese Phasen in die wenigen Sekunden zwischen dem Herstellen einer Wallet-Verbindung und einer bestätigten Transaktion zu komprimieren.
1. Köder
Gefälschte Airdrops, gesponserte Google/X-Anzeigen, gehackte verifizierte Konten (die SEC- und Mandiant-Konten (beides wurden bereits als „Drainer-Megaphone“ genutzt), [REDACTED]-Verifizierungs-Bots, gefälschte NFT-Prägungen, „exklusive“ Beta-Einladungen und Betrugsmaschen rund um IP-Lizenzen. Ganz gleich, in welcher Form – das Ziel ist es, Sie auf eine Domain zu locken, die der Angreifer kontrolliert.
2. Verbinden
Sie klicken auf „Connect Wallet“. [REDACTED], Rabby, WalletConnect, [REDACTED] – alles in Ordnung, alles wie erwartet. Das „Drainer“-JavaScript hat nun Lesezugriff auf Ihr Wallet-Objekt über window.ethereum (oder etwas Gleichwertiges) und beginnt zu schießen eth_call Anfragen im Hintergrund.
3. Aufklärung
Der Drainer listet Ihre Bestände auf: native Guthaben, ERC-20-Token, NFT-Sammlungen und DeFi-Positionen über mehrere Blockchains hinweg. Er greift auf Preisorakel im CoinGecko-Stil zurück, um alles in US-Dollar zu bewerten. Premium-Pakete wie Inferno-Abfluss ihre Konfiguration speichern on-chain (BNB Chain), sodass sie aktualisiert werden kann, ohne dass die JS-Payload neu bereitgestellt werden muss.
4. Unterschreiben
Die dApp fordert Sie auf, „Eigentumsrechte zu bestätigen“, „den Airdrop anzufordern“, „die Abholung zu genehmigen“ oder „zum Zugriff zu unterschreiben“. Die Benutzeroberfläche der Wallet zeigt eine scheinbar harmlose Meldung an. In Wirklichkeit sind die Calldata jedoch sorgfältig ausgewählt, um den Schaden zu maximieren – siehe den nächsten Abschnitt.
5. Abgießen
Sobald Ihre Unterschrift vorliegt, ruft der Angreifer an transferFrom() aus einer separaten Wallet (operative Trennung – die „Adresse“, die die Genehmigung erhalten hat, ist niemals der „Empfänger“, der die Beute hält). Premium-Kits bündeln native ETH, ERC-20-Token, ERC-721/1155-NFTs und Permit2-Transfers in einem einzigen multicall. Netto-Verzögerung von der Signatur bis zur Überweisung: Sekunden.
6. Waschen
Die Gelder fließen über SushiSwap / Uniswap (seriöse DEXs werden von den meisten Sicherheitstools bewusst auf die Whitelist gesetzt), dann über Brücken zu anderen Blockchains, anschließend über Tornado-Cash-Forks und schließlich zu Monero. Die $284M [REDACTED] incident landete innerhalb weniger Stunden bei XMR.
Dein Portemonnaie (vor der Unterzeichnung)
Angreifer-Vertrag (nach einer Unterschrift)
Ein unterschriebenes Permit2 Mit dieser Nachricht kann der gesamte Stapel autorisiert werden. Keine zweite Bestätigung. Keine Wiederherstellung.
Die vier tödlichen Nutzlasten
Jeder Drainer in freier Wildbahn nutzt eine Kombination dieser vier Grundelemente. Jedes einzelne davon ist ein rechtmäßig ERC-Standard oder RPC-Methode. Es gibt keinen „Patch“ – nur das Bewusstsein dafür.
1. approve(spender, type(uint256).max) — Unbegrenzte Ausgaben mit ERC-20
Der Klassiker. Man genehmigt einen Token-Vertrag über den höchstmöglichen Betrag (2^256 − 1) an eine Ausgeberadresse, über die Sie keine Kontrolle haben. Der Ausgeber – also der Angreifer – ruft dann transferFrom(you, attacker, balance) nach Belieben. Die Genehmigung bleibt auf Dauer bestehen, es sei denn, Sie widerrufen sie ausdrücklich über Revoke.cash oder direkt den Token-Vertrag.
2. setApprovalForAll(operator, true) — die gesamte NFT-Sammlung
Schlimmer als die ERC-20-Zulassung, denn es ist Alles-oder-nichts pro Sammlung. Eine Signatur = alle NFTs in diesem Vertrag können nun vom Angreifer bewegt werden. Auf diese Weise verlor Seth Green im Jahr 2022 vier „Bored Apes“, und so verlor ein einzelnes Opfer im Dezember 2022 14 BAYCs durch den gefälschten „Forte Pictures“-Lizenzbetrug.
3. EIP-2612 / Off-Chain-Signaturen mit „Permit2“
Das ist die 2024–2026: Die Waffe der Wahl. Anstelle einer On-Chain-Lösung approve() (was Gas kostet und sich deutlich in Ihrem Geldbeutel bemerkbar macht), sammelt der Angreifer eine Off-Chain-Signatur nach EIP-712 über eth_signTypedData_v4. Keine Transaktion. Keine Gasgebühren Ihrerseits. Nur ein Pop-up-Fenster mit der Aufforderung „Diese Nachricht unterschreiben“. Die Benutzeroberfläche der Wallet für die Signierung von eingegebenen Daten ist bekanntermaßen schwer lesbar, und die von Uniswap Genehmigung 2 wandelt eine Unterschrift in Genehmigungen für mehrere Token gleichzeitig.
Siehe Die vollständige Fallstudie zu „Permit2“ von Blockaid für eine detaillierte Anleitung zum tatsächlichen Angriff, einschließlich des SushiSwap-Routing-Tricks, der den Abfluss von ETH in einem scheinbar normalen Swap verbirgt.
4. Social Engineering direkt über die Seed-Phrase
Streng genommen kein „Drainer“ im engeren Sinne – aber die Variante mit der höchsten Rendite im Jahr 2026. Die Januar 2026: Vorfall bei [REDACTED] Es wurde keine Verschlüsselung umgangen. Ein „Support-Mitarbeiter“ rief das Opfer an, führte es durch einen vorgetäuschten „Verifizierungsprozess“ und brachte es dazu, den Wiederherstellungs-Seed vorzulesen. Ergebnis: 1.459 BTC + 2,05 Mio. LTC = 284 Mio. $, 71 % aller Verluste durch Krypto-Diebstähle in diesem Monat wurden in Monero umgewandelt, bevor die Medien darüber berichteten.
Hardware-Wallets verhindern das Auslesen von Schlüsseln aus der Ferne. Sie hindern Sie jedoch nicht daran, Ihren Seed auf der Website eines Phishers einzugeben. Verwenden Sie ein BIP-39-Passphrase.
Die „Drainer-as-a-Service“-Wirtschaft
Keiner der Akteure, die dir tatsächlich dein Geld stehlen, schreibt den Code. Sie Miete Drainer-as-a-Service (DaaS) ist ein vollständig standardisierter B2B-Markt mit Markenbildung, Preisstufen, Supportkanälen, Versionsveröffentlichungen und einem offensichtlichen Druck auf die Provisionen der Betreiber.
Teilnahmekosten für einen Partner: a $5,000–$10,000 deposit, manchmal auch als schlüsselfertiges Paket dafür. Der Partner behält 75–95 % der gestohlenen Gelder ein und lagert alle technischen Belange – JS-Payload, Smart Contract, Hosting, Geldwäsche-Pipeline, sogar den 24/7-[REDACTED] – an den Betreiber aus. SentinelOne und die IMC 2025 – Wissenschaftliche Studie die Lieferkette detailliert nachverfolgen.
Deshalb reichen punktuelle Abschaltungen nach dem „Whack-a-Mole“-Prinzip nicht aus – und deshalb Registrare, die Missbrauch ignorieren sind der eigentliche Engpass. THE ENABLERS REGISTRY hat dies dokumentiert und gemeldet Über 16.000 Domains mit Bezug zu „Inferno“ allein.
Warnsignale, bevor Sie unterschreiben
Der Signaturdialog ist die letzte Verteidigungslinie. Wenn einer dieser Punkte zutrifft, Abbrechen — es gibt keinen legitimen Datenfluss, der diese erfordert:
- Sie sind über ein gesponsertes Suchergebnis, eine Direktnachricht oder einen E-Mail-Link hierher gelangt. Bei allen großen Suchmaschinen wurden gesponserte Krypto-Suchergebnisse manipuliert. Rufen Sie die Seiten daher immer über ein Lesezeichen auf.
- Die Signatur ist „frei“ / „gasfrei“ / „off-chain“. Das ist eine Off-Chain-Signatur im Permit2-Stil. Lies die Felder mit den typisierten Daten aus. Wenn
spenderWenn es dir unbekannt ist, lass es sein. - Der Betrag beträgt
uint256.max,0xfff…fff, oder „unbegrenzt“. Kaum ein legitimer Arbeitsablauf erfordert eine uneingeschränkte Genehmigung. - Die Funktion lautet
setApprovalForAllauf eine Sammlung, die du nicht kennst. Oder für einen „Betreiber“, der nicht [REDACTED] / Blur / LooksRare ist. - Die Website fordert Sie unmittelbar nach dem Verbinden auf, die Kette zu wechseln. Derzeit läuft eine Multi-Chain-Extraktionsschleife.
- Der Zielvertrag wurde vor weniger als 7 Tagen bereitgestellt. Drainer der Inferno-Klasse wechseln alle 24 Stunden ihre Zwischenverträge.
- Du fühlst dich unter Zeitdruck. Countdown-Timer, „Angebot endet in 4:32“, „nur noch 12 Plätze frei“ – diese Elemente sind in jeder Drainer-Vorlage enthalten.
- Der „Kundensupport“ hat sich zuerst bei Ihnen gemeldet. [REDACTED], [REDACTED], [REDACTED], NASDAQ:COIN, LEI:5493004F7TI6QBM4WX72 – keiner von ihnen schickt dir eine Direktnachricht. Niemals.
Wie man sich tatsächlich verteidigt
- Trennung der Wallets. Cold Wallet (Hardware, Großteil des Vermögens) → operatives Hot Wallet (1–2 Wochen Aktivität) → Burner-Wallet (alles Neue, Saldo nahe Null). Verbinde das Cold Wallet niemals mit einer neuen dApp.
- Hardware-Wallet + BIP-39-Passphrase. Die Passphrase macht den Unterschied zwischen einem „284-Millionen-Dollar-Trezor-Vorfall“ und der Situation, in der „der Angreifer zwar Ihren Seed hat, aber nichts findet“. Merken Sie sie sich. Speichern Sie sie nicht digital.
- Transaktionssimulatoren.Blockaid, Geldbörsen-Schutz, Pocket Universe, Fire – installiere eine davon. Dort wird die tatsächliche Saldenabweichung angezeigt, bevor du unterschreibst.
- Alle dApps als Lesezeichen speichern. Gib niemals „Uniswap“ bei Google ein. Klicke niemals auf Krypto-Links in sozialen Medien. Die gesponserten Ergebnisse sind viel häufiger falsch, als du denkst.
- Überprüfen Sie Ihre Genehmigungen wöchentlich.Revoke.cash Zeigt alle aktiven Berechtigungen in allen Blockchains an. Widerrufen Sie alle Berechtigungen, die Sie nicht aktiv nutzen.
- Lass jede unbekannte Website zuerst über einen Burner laufen. Leere Brieftasche, schau, was sie verlangt, und entscheide dann, ob sie eine echte Brieftasche überhaupt wert ist.
- Deaktivieren Sie die Browser-Erweiterungen im Wallet-Profil. Ein separates Browserprofil (oder ein „Brave Tor“-Fenster) ausschließlich für Web3. Erweiterungen sind ein bekannter Schwachpunkt – siehe Die Analyse der npm-Lieferkette von [REDACTED].
- Überprüfen Sie die Reputation der Domain. Füge die URL in THE ENABLERS REGISTRY-Domainberichte, urlscan oder unser [REDACTED]-Bot. Wenn wir es bereits gesehen haben, ist es markiert.
Falls Sie bereits unterschrieben haben: Tun Sie dies bitte in den nächsten 60 Sekunden
- Halt. Unterschreiben Sie nichts weiter, auch keine Aufforderungen zur „Behebung“ oder „Wiederherstellung“ – das sind Betrugsversuche der zweiten Stufe, die Ihre Panik ausnutzen.
- Räumt alles weg, was noch nicht abflossen ist. Erstellen Sie eine brandneue Wallet (vorzugsweise eine Hardware-Wallet) und übertragen Sie die noch vorhandenen Vermögenswerte dorthin. Beginnen Sie mit den wertvollsten. Behandeln Sie jeder Die aus dem kompromittierten Schlüssel abgeleitete Adresse gilt als dauerhaft eingebrannt.
- Genehmigungen widerrufen auf die kompromittierte Wallet über Revoke.cash — für jede Blockchain, nicht nur für Ethereum. Es ist ein Wettlauf gegen die Automatisierung des Angreifers.
- Dokumentieren Sie alles. Tx-Hashes, Adressen der Angreifer, Zeitstempel, die genaue URL der Possibly phishing-Seite. Screenshot vor dem Schließen des Tabs.
- Bericht. Ablegen unter FBI IC3, Ihre örtliche Abteilung für Cyberkriminalität, die betroffenen Protokolle (Uniswap, [REDACTED] usw. – diese sperren manchmal Derivate) und reichen Sie die Possibly phishing-URL ein an @EnablersRegistry Also legen wir die Infrastruktur für das nächste Opfer lahm.
- Falls eine Seed-Phrase offengelegt wurde: Die Brieftasche ist weg. Hör auf, sie „zu sichern“. Schau nach vorne, fang neu an, lerne daraus.
„Drainer knacken keine Kryptografie. Sie widerlegen die Annahme, dass Menschen Calldata so schnell lesen können, wie es die Wallets von ihnen verlangen. Verlangsamt man den Vorgang um eine Signatur, bricht die gesamte Diebstahlindustrie zusammen.“
Quellen & weiterführende Literatur
- Chainalysis — Krypto-Diebe: Eine Bedrohung für Web3
- Group-IB — Untersuchung zum „Inferno Drainer“
- Check Point Research — Inferno Drainer Reloaded
- ScamSniffer — Vorfälle im Zusammenhang mit „Pink Drainer 2024“
- Blockaid — Schritt-für-Schritt-Anleitung für einen Krypto-Raubüberfall
- BleepingComputer — Mandiant X-Hijack über CLINKSINK
- Cyber Daily — Mandiant-Hack = 900.000-Dollar-Kampagne
- SentinelOne — Der Aufstieg von „Drainer-as-a-Service“
- Gurucul — Missbrauch von Wallet-Genehmigungen → Malware-gestützte Web3-Angriffe
- [REDACTED] — npm-Supply-Chain-Angriff auf Web3-Pakete
- AInvest — Januar 2026: Analyse zu [REDACTED] – 284 Mio. $
- IMC 2025 – Wissenschaft — Studie zur Messung der DaaS-Wirtschaft
- THE ENABLERS REGISTRY — Registrare, die weltweite Betrugsmaschen ermöglichen
- THE ENABLERS REGISTRY — Wie eine Possibly phishing-Aktion abgeschaltet wird
- THE ENABLERS REGISTRY — Echtzeit-Destruktionsliste (über 130.000 aktive Bedrohungen)
Was THE ENABLERS REGISTRY gegen „Drainer“ unternimmt
Wir sind ein gemeinnütziges Betreiberkollektiv. Wir spüren rund um die Uhr Drainer-Infrastrukturen über SEO, bezahlte Anzeigen, [REDACTED], X, [REDACTED] und Honeypots von Registrierstellen auf und schalten sie dann ab.
- 785.000+ Seit 2019 erfasste Possibly phishing- und Betrugsdomains.
- 89.000+ Missbrauchsmeldungen, die bei Registrierstellen und Hosting-Anbietern eingereicht wurden.
- 50+ Antiviren-Anbieter und Plattformen für Bedrohungsinformationen nutzen unseren Feed.
- <0,5 % Falsch-positiv-Rate bei über 100.000 validierten Berichten.
- Kostenlos, öffentlich, unveränderlich Beweisarchiv zu GitHub + HuggingFace.
Hast du einen „Drainer“ entdeckt? Schick die URL an @EnablersRegistry. Wir werden die Missbrauchsanzeige einreichen, noch bevor dein Kaffee kalt wird.
