Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / DE / CRYPTO DRAINER ANATOMY

Anatomie eines Krypto-Drainers: 1,93 Mrd. $ gestohlen

The Enablers Registry·Editorial mirror·/de/crypto-drainer-anatomy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

WEB3-BEDROHUNG

Die Anatomie eines Krypto-Betrügers: Wie 1,93 Mrd. Dollar innerhalb von sechs Monaten verschwanden

Ein „Drainer“ stiehlt nicht deine Seed-Phrase. Er stiehlt deine Unterschrift. Ein Klick – ein einziger Klick auf die falsche Schaltfläche „Claim“, „Verify“ oder „Connect Wallet“ – und eine Kette vorgefertigter Smart Contracts leert Ihr Guthaben, noch bevor Sie den Finger vom Trackpad nehmen können.

Anatomie eines Krypto-Wallet-Leerraubers – eine sechsstufige Kill-Chain
$1.93B
Verluste im ersten Halbjahr 2025
+540 % gegenüber 2023
$284M
Ein Opfer, Januar 2026
Betrug mit [REDACTED]-Seed-Phrase
320.000+
Opfer im Jahr 2023
~900 pro Tag
$5–10K
Einstiegskosten für DaaS
Komplettpaket

Was ein „Drainer“ eigentlich ist

A Krypto-Abzocker ist ein speziell für Web3 entwickeltes Possibly phishing-Tool. Es versucht nicht, Ihr Passwort auszuspähen oder einen privaten Schlüssel zu entwenden. Stattdessen bringt es Sie dazu, eine Transaktion unterzeichnen — in der Regel ein approve(), setApprovalForAll(), oder eine Off-Chain-Lösung Permit Nachricht – die dem Angreifer die Berechtigung erteilt, über Ihr Vermögen nach Belieben zu verfügen. Die Wallet bleibt „Ihre“. Das Guthaben jedoch nicht.

Das Modell ist extrem effizient, weil es rechtmäßig Blockchain-Grundelemente. Ihr privater Schlüssel wird niemals kompromittiert. Auf Ihrem Rechner befindet sich keine Malware. Es gibt nur eine einzige Signatur bei einer einzigen Transaktion, die On-Chain-Analysten sehen können und deren Wirkung von keiner Instanz rückgängig gemacht werden kann.

Laut Chainalysis, ein „Drainer“ ist „ein Possibly phishing-Tool, das für das Web3-Ökosystem entwickelt wurde“ und sich als legitime dApp ausgibt. Group-IB, Check Point Research, und ScamSniffer haben Tausende von Kampagnen katalogisiert, die genau auf diesem Mechanismus basieren.

Die 6-stufige Kill-Chain

Jeder „Drainer“-Angriff – Inferno, Pink, Angel, MS, CLINKSINK, Rugging und die Dutzenden namenlosen Forks – verläuft in denselben sechs Phasen. Die Kunst besteht darin, all diese Phasen in die wenigen Sekunden zwischen dem Herstellen einer Wallet-Verbindung und einer bestätigten Transaktion zu komprimieren.

1 Lure airdrop / ad / DM 2 Connect wallet hooked 3 Recon analyzeWallet() 4 Sign approve / permit 5 Drain transferFrom() 6 Launder DEX → bridge → XMR SOCIAL ENGINEERING TECHNICAL EXECUTION EXFILTRATION

1. Köder

Gefälschte Airdrops, gesponserte Google/X-Anzeigen, gehackte verifizierte Konten (die SEC- und Mandiant-Konten (beides wurden bereits als „Drainer-Megaphone“ genutzt), [REDACTED]-Verifizierungs-Bots, gefälschte NFT-Prägungen, „exklusive“ Beta-Einladungen und Betrugsmaschen rund um IP-Lizenzen. Ganz gleich, in welcher Form – das Ziel ist es, Sie auf eine Domain zu locken, die der Angreifer kontrolliert.

2. Verbinden

Sie klicken auf „Connect Wallet“. [REDACTED], Rabby, WalletConnect, [REDACTED] – alles in Ordnung, alles wie erwartet. Das „Drainer“-JavaScript hat nun Lesezugriff auf Ihr Wallet-Objekt über window.ethereum (oder etwas Gleichwertiges) und beginnt zu schießen eth_call Anfragen im Hintergrund.

3. Aufklärung

Der Drainer listet Ihre Bestände auf: native Guthaben, ERC-20-Token, NFT-Sammlungen und DeFi-Positionen über mehrere Blockchains hinweg. Er greift auf Preisorakel im CoinGecko-Stil zurück, um alles in US-Dollar zu bewerten. Premium-Pakete wie Inferno-Abfluss ihre Konfiguration speichern on-chain (BNB Chain), sodass sie aktualisiert werden kann, ohne dass die JS-Payload neu bereitgestellt werden muss.

4. Unterschreiben

Die dApp fordert Sie auf, „Eigentumsrechte zu bestätigen“, „den Airdrop anzufordern“, „die Abholung zu genehmigen“ oder „zum Zugriff zu unterschreiben“. Die Benutzeroberfläche der Wallet zeigt eine scheinbar harmlose Meldung an. In Wirklichkeit sind die Calldata jedoch sorgfältig ausgewählt, um den Schaden zu maximieren – siehe den nächsten Abschnitt.

5. Abgießen

Sobald Ihre Unterschrift vorliegt, ruft der Angreifer an transferFrom() aus einer separaten Wallet (operative Trennung – die „Adresse“, die die Genehmigung erhalten hat, ist niemals der „Empfänger“, der die Beute hält). Premium-Kits bündeln native ETH, ERC-20-Token, ERC-721/1155-NFTs und Permit2-Transfers in einem einzigen multicall. Netto-Verzögerung von der Signatur bis zur Überweisung: Sekunden.

6. Waschen

Die Gelder fließen über SushiSwap / Uniswap (seriöse DEXs werden von den meisten Sicherheitstools bewusst auf die Whitelist gesetzt), dann über Brücken zu anderen Blockchains, anschließend über Tornado-Cash-Forks und schließlich zu Monero. Die $284M [REDACTED] incident landete innerhalb weniger Stunden bei XMR.

Dein Portemonnaie (vor der Unterzeichnung)

ETH2.4815
USDC18,420.00
WBTC0.34
BAYC #42911 NFT
stETH12.1

Angreifer-Vertrag (nach einer Unterschrift)

ETH+2.4815
USDC+18,420.00
WBTC+0.34
BAYC #4291+1 NFT
stETH+12.1

Ein unterschriebenes Permit2 Mit dieser Nachricht kann der gesamte Stapel autorisiert werden. Keine zweite Bestätigung. Keine Wiederherstellung.

Die vier tödlichen Nutzlasten

Jeder Drainer in freier Wildbahn nutzt eine Kombination dieser vier Grundelemente. Jedes einzelne davon ist ein rechtmäßig ERC-Standard oder RPC-Methode. Es gibt keinen „Patch“ – nur das Bewusstsein dafür.

1. approve(spender, type(uint256).max) — Unbegrenzte Ausgaben mit ERC-20

Der Klassiker. Man genehmigt einen Token-Vertrag über den höchstmöglichen Betrag (2^256 − 1) an eine Ausgeberadresse, über die Sie keine Kontrolle haben. Der Ausgeber – also der Angreifer – ruft dann transferFrom(you, attacker, balance) nach Belieben. Die Genehmigung bleibt auf Dauer bestehen, es sei denn, Sie widerrufen sie ausdrücklich über Revoke.cash oder direkt den Token-Vertrag.

// What you actually signed:genehmigen( 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, // attacker0xffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff// max uint256 ) // Wallet UI showed: "Verify wallet ownership"

2. setApprovalForAll(operator, true) — die gesamte NFT-Sammlung

Schlimmer als die ERC-20-Zulassung, denn es ist Alles-oder-nichts pro Sammlung. Eine Signatur = alle NFTs in diesem Vertrag können nun vom Angreifer bewegt werden. Auf diese Weise verlor Seth Green im Jahr 2022 vier „Bored Apes“, und so verlor ein einzelnes Opfer im Dezember 2022 14 BAYCs durch den gefälschten „Forte Pictures“-Lizenzbetrug.

setApprovalForAll( 0xattacker..., // "operator"wahr// approved for the entire collection )

3. EIP-2612 / Off-Chain-Signaturen mit „Permit2“

Das ist die 2024–2026: Die Waffe der Wahl. Anstelle einer On-Chain-Lösung approve() (was Gas kostet und sich deutlich in Ihrem Geldbeutel bemerkbar macht), sammelt der Angreifer eine Off-Chain-Signatur nach EIP-712 über eth_signTypedData_v4. Keine Transaktion. Keine Gasgebühren Ihrerseits. Nur ein Pop-up-Fenster mit der Aufforderung „Diese Nachricht unterschreiben“. Die Benutzeroberfläche der Wallet für die Signierung von eingegebenen Daten ist bekanntermaßen schwer lesbar, und die von Uniswap Genehmigung 2 wandelt eine Unterschrift in Genehmigungen für mehrere Token gleichzeitig.

// What [REDACTED] showed you:// "PermitSingle"// spender: 0x000000000022D473030F116dDEE9F6B43aC78BA3// ...looks fine, that's the real Permit2 contract...// What it actually authorized: { „Details“: { „Token“: „0xUSDC...“, „Betrag“: "1461501637330902918203684832716283019655932542975", // max„Ablauf“: 281474976710655// year ~10889 }, „Verschwender“: „0xattacker...“, „sigDeadline“: 9999999999 }

Siehe Die vollständige Fallstudie zu „Permit2“ von Blockaid für eine detaillierte Anleitung zum tatsächlichen Angriff, einschließlich des SushiSwap-Routing-Tricks, der den Abfluss von ETH in einem scheinbar normalen Swap verbirgt.

4. Social Engineering direkt über die Seed-Phrase

Streng genommen kein „Drainer“ im engeren Sinne – aber die Variante mit der höchsten Rendite im Jahr 2026. Die Januar 2026: Vorfall bei [REDACTED] Es wurde keine Verschlüsselung umgangen. Ein „Support-Mitarbeiter“ rief das Opfer an, führte es durch einen vorgetäuschten „Verifizierungsprozess“ und brachte es dazu, den Wiederherstellungs-Seed vorzulesen. Ergebnis: 1.459 BTC + 2,05 Mio. LTC = 284 Mio. $, 71 % aller Verluste durch Krypto-Diebstähle in diesem Monat wurden in Monero umgewandelt, bevor die Medien darüber berichteten.

Hardware-Wallets verhindern das Auslesen von Schlüsseln aus der Ferne. Sie hindern Sie jedoch nicht daran, Ihren Seed auf der Website eines Phishers einzugeben. Verwenden Sie ein BIP-39-Passphrase.

Die „Drainer-as-a-Service“-Wirtschaft

Keiner der Akteure, die dir tatsächlich dein Geld stehlen, schreibt den Code. Sie Miete Drainer-as-a-Service (DaaS) ist ein vollständig standardisierter B2B-Markt mit Markenbildung, Preisstufen, Supportkanälen, Versionsveröffentlichungen und einem offensichtlichen Druck auf die Provisionen der Betreiber.

Inferno
Äußerst ausgefeilt. On-Chain-Konfiguration (BNB), AES-verschlüsselter C2, Anti-Debugger, SushiSwap-Routing. CP-Analyse
15–20 % Kürzung
Angel (GhostSec)
Mehrkettig, als Produkt bereitgestellt – versionierte Veröffentlichungen wie bei kommerzieller Software (v8.2, v8.3...).
20 % Kürzung
CLINKSINK
JS-basiert, auf Solana ausgerichtet. Das Toolkit hinter dem Mandiant-X-Hack (900.000 Dollar) und dem Angriff auf die SEC.
ca. 20 % Kürzung
Rosa
Mit Schwerpunkt auf NFTs. Rekord bei einem einzelnen Opfer: 320.000 Dollar in BAYC/MAYC/Otherdeed in einer einzigen Transaktion.
ca. 20 % Kürzung
MS Drainer
$59M from 63K victims via X (Twitter) sponsored ads, March–November 2023. ScamSniffer
var.
Rugging mit mehreren Blockchains
Preisführerstrategie: Unterbietet Angel/Inferno bei den Provisionen, um das Volumen zu steigern.
5–10 % Kürzung

Teilnahmekosten für einen Partner: a $5,000–$10,000 deposit, manchmal auch als schlüsselfertiges Paket dafür. Der Partner behält 75–95 % der gestohlenen Gelder ein und lagert alle technischen Belange – JS-Payload, Smart Contract, Hosting, Geldwäsche-Pipeline, sogar den 24/7-[REDACTED] – an den Betreiber aus. SentinelOne und die IMC 2025 – Wissenschaftliche Studie die Lieferkette detailliert nachverfolgen.

Deshalb reichen punktuelle Abschaltungen nach dem „Whack-a-Mole“-Prinzip nicht aus – und deshalb Registrare, die Missbrauch ignorieren sind der eigentliche Engpass. THE ENABLERS REGISTRY hat dies dokumentiert und gemeldet Über 16.000 Domains mit Bezug zu „Inferno“ allein.

Warnsignale, bevor Sie unterschreiben

Der Signaturdialog ist die letzte Verteidigungslinie. Wenn einer dieser Punkte zutrifft, Abbrechen — es gibt keinen legitimen Datenfluss, der diese erfordert:

  • Sie sind über ein gesponsertes Suchergebnis, eine Direktnachricht oder einen E-Mail-Link hierher gelangt. Bei allen großen Suchmaschinen wurden gesponserte Krypto-Suchergebnisse manipuliert. Rufen Sie die Seiten daher immer über ein Lesezeichen auf.
  • Die Signatur ist „frei“ / „gasfrei“ / „off-chain“. Das ist eine Off-Chain-Signatur im Permit2-Stil. Lies die Felder mit den typisierten Daten aus. Wenn spender Wenn es dir unbekannt ist, lass es sein.
  • Der Betrag beträgt uint256.max, 0xfff…fff, oder „unbegrenzt“. Kaum ein legitimer Arbeitsablauf erfordert eine uneingeschränkte Genehmigung.
  • Die Funktion lautet setApprovalForAll auf eine Sammlung, die du nicht kennst. Oder für einen „Betreiber“, der nicht [REDACTED] / Blur / LooksRare ist.
  • Die Website fordert Sie unmittelbar nach dem Verbinden auf, die Kette zu wechseln. Derzeit läuft eine Multi-Chain-Extraktionsschleife.
  • Der Zielvertrag wurde vor weniger als 7 Tagen bereitgestellt. Drainer der Inferno-Klasse wechseln alle 24 Stunden ihre Zwischenverträge.
  • Du fühlst dich unter Zeitdruck. Countdown-Timer, „Angebot endet in 4:32“, „nur noch 12 Plätze frei“ – diese Elemente sind in jeder Drainer-Vorlage enthalten.
  • Der „Kundensupport“ hat sich zuerst bei Ihnen gemeldet. [REDACTED], [REDACTED], [REDACTED], NASDAQ:COIN, LEI:5493004F7TI6QBM4WX72 – keiner von ihnen schickt dir eine Direktnachricht. Niemals.

Wie man sich tatsächlich verteidigt

  • Trennung der Wallets. Cold Wallet (Hardware, Großteil des Vermögens) → operatives Hot Wallet (1–2 Wochen Aktivität) → Burner-Wallet (alles Neue, Saldo nahe Null). Verbinde das Cold Wallet niemals mit einer neuen dApp.
  • Hardware-Wallet + BIP-39-Passphrase. Die Passphrase macht den Unterschied zwischen einem „284-Millionen-Dollar-Trezor-Vorfall“ und der Situation, in der „der Angreifer zwar Ihren Seed hat, aber nichts findet“. Merken Sie sie sich. Speichern Sie sie nicht digital.
  • Transaktionssimulatoren.Blockaid, Geldbörsen-Schutz, Pocket Universe, Fire – installiere eine davon. Dort wird die tatsächliche Saldenabweichung angezeigt, bevor du unterschreibst.
  • Alle dApps als Lesezeichen speichern. Gib niemals „Uniswap“ bei Google ein. Klicke niemals auf Krypto-Links in sozialen Medien. Die gesponserten Ergebnisse sind viel häufiger falsch, als du denkst.
  • Überprüfen Sie Ihre Genehmigungen wöchentlich.Revoke.cash Zeigt alle aktiven Berechtigungen in allen Blockchains an. Widerrufen Sie alle Berechtigungen, die Sie nicht aktiv nutzen.
  • Lass jede unbekannte Website zuerst über einen Burner laufen. Leere Brieftasche, schau, was sie verlangt, und entscheide dann, ob sie eine echte Brieftasche überhaupt wert ist.
  • Deaktivieren Sie die Browser-Erweiterungen im Wallet-Profil. Ein separates Browserprofil (oder ein „Brave Tor“-Fenster) ausschließlich für Web3. Erweiterungen sind ein bekannter Schwachpunkt – siehe Die Analyse der npm-Lieferkette von [REDACTED].
  • Überprüfen Sie die Reputation der Domain. Füge die URL in THE ENABLERS REGISTRY-Domainberichte, urlscan oder unser [REDACTED]-Bot. Wenn wir es bereits gesehen haben, ist es markiert.

Falls Sie bereits unterschrieben haben: Tun Sie dies bitte in den nächsten 60 Sekunden

  1. Halt. Unterschreiben Sie nichts weiter, auch keine Aufforderungen zur „Behebung“ oder „Wiederherstellung“ – das sind Betrugsversuche der zweiten Stufe, die Ihre Panik ausnutzen.
  2. Räumt alles weg, was noch nicht abflossen ist. Erstellen Sie eine brandneue Wallet (vorzugsweise eine Hardware-Wallet) und übertragen Sie die noch vorhandenen Vermögenswerte dorthin. Beginnen Sie mit den wertvollsten. Behandeln Sie jeder Die aus dem kompromittierten Schlüssel abgeleitete Adresse gilt als dauerhaft eingebrannt.
  3. Genehmigungen widerrufen auf die kompromittierte Wallet über Revoke.cash — für jede Blockchain, nicht nur für Ethereum. Es ist ein Wettlauf gegen die Automatisierung des Angreifers.
  4. Dokumentieren Sie alles. Tx-Hashes, Adressen der Angreifer, Zeitstempel, die genaue URL der Possibly phishing-Seite. Screenshot vor dem Schließen des Tabs.
  5. Bericht. Ablegen unter FBI IC3, Ihre örtliche Abteilung für Cyberkriminalität, die betroffenen Protokolle (Uniswap, [REDACTED] usw. – diese sperren manchmal Derivate) und reichen Sie die Possibly phishing-URL ein an @EnablersRegistry Also legen wir die Infrastruktur für das nächste Opfer lahm.
  6. Falls eine Seed-Phrase offengelegt wurde: Die Brieftasche ist weg. Hör auf, sie „zu sichern“. Schau nach vorne, fang neu an, lerne daraus.

„Drainer knacken keine Kryptografie. Sie widerlegen die Annahme, dass Menschen Calldata so schnell lesen können, wie es die Wallets von ihnen verlangen. Verlangsamt man den Vorgang um eine Signatur, bricht die gesamte Diebstahlindustrie zusammen.“

Was THE ENABLERS REGISTRY gegen „Drainer“ unternimmt

Wir sind ein gemeinnütziges Betreiberkollektiv. Wir spüren rund um die Uhr Drainer-Infrastrukturen über SEO, bezahlte Anzeigen, [REDACTED], X, [REDACTED] und Honeypots von Registrierstellen auf und schalten sie dann ab.

  • 785.000+ Seit 2019 erfasste Possibly phishing- und Betrugsdomains.
  • 89.000+ Missbrauchsmeldungen, die bei Registrierstellen und Hosting-Anbietern eingereicht wurden.
  • 50+ Antiviren-Anbieter und Plattformen für Bedrohungsinformationen nutzen unseren Feed.
  • <0,5 % Falsch-positiv-Rate bei über 100.000 validierten Berichten.
  • Kostenlos, öffentlich, unveränderlich Beweisarchiv zu GitHub + HuggingFace.

Hast du einen „Drainer“ entdeckt? Schick die URL an @EnablersRegistry. Wir werden die Missbrauchsanzeige einreichen, noch bevor dein Kaffee kalt wird.

#CryptoDrainer#Web3Security#WalletDrainer#Permit2#DaaS#Inferno

Diesen Artikel teilen

Verwandte Ermittlungen

FALLSTUDIE
[REDACTED] Drainer: Untersuchung auf Panel-Ebene
METHODIK
Wie eine Possibly phishing-Aktion abgeschaltet wird
UNTERSUCHUNG
IANA #1479, IANA #460, IANA #3765: Registrare, die Betrugsmaschen ermöglichen

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings