Anatomía de un estafador de criptomonedas: cómo desaparecieron 1.93B $ en 6 meses
Un «drainer» no te roba la frase de semillas. Te roba tu firma. Un solo clic —un clic en el botón equivocado de «Reclamar», «Verificar» o «Conectar monedero»— y una cadena de contratos inteligentes preconfigurados vacía tus saldos antes de que puedas apartar el dedo del trackpad.
Qué es realmente un «drainer»
A drenador de criptomonedas es una herramienta de possibly phishing diseñada específicamente para Web3. No intenta suplantar tu contraseña ni extraer una clave privada. En cambio, te lleva a firmar una operación — normalmente un approve(), setApprovalForAll(), o una transacción fuera de cadena Permit mensaje — que otorga al atacante permiso para mover tus activos a su antojo. El monedero sigue siendo «tuyo». Los fondos, no.
El modelo es tremendamente eficiente porque abusa de legítimo primitivas de la cadena de bloques. Tu clave privada nunca corre peligro. No hay ningún malware en tu ordenador. Solo hay una firma, en una transacción, que podrán ver los analistas de la cadena de bloques y cuyo efecto no puede ser revertido por ninguna autoridad.
Según Chainalysis, un «drainer» es «una herramienta de possibly phishing diseñada para el ecosistema web3» que se hace pasar por una dApp legítima. Group-IB, Check Point Research, y ScamSniffer Hemos recopilado miles de campañas basadas precisamente en esta mecánica.
La cadena de ataque en seis pasos
Todos los ataques de «drainer» —Inferno, Pink, Angel, MS, CLINKSINK, Rugging y las docenas de variantes sin nombre— siguen las mismas seis fases. El arte consiste en comprimirlas todas en los segundos que transcurren entre la conexión a una cartera y la confirmación de una transacción.
1. Señuelo
Airdrops falsos, anuncios patrocinados de Google/X, cuentas verificadas comprometidas (las Cuentas de la SEC y Mandiant (ambos se han utilizado como «megáfonos de drenaje»), bots de verificación de [REDACTED], acuñaciones falsas de NFT, invitaciones «exclusivas» a versiones beta y estafas relacionadas con licencias de propiedad intelectual. Sea cual sea la forma que adopten, el objetivo es llevarte a un dominio controlado por el atacante.
2. Conectar
Haces clic en «Conectar monedero». [REDACTED], Rabby, WalletConnect, [REDACTED]… todo bien, todo como se esperaba. El código JavaScript del «drainer» ahora tiene acceso de lectura a tu objeto de monedero a través de window.ethereum (o su equivalente), y empieza a disparar eth_call solicitudes en segundo plano.
3. Reconocimiento
El drainer enumera tus activos: saldo nativo, tokens ERC-20, colecciones de NFT y posiciones de DeFi en múltiples cadenas. Consulta oráculos de precios al estilo de CoinGecko para valorar todo en dólares estadounidenses. Los paquetes premium como Inferno Drainer guardar su configuración en la cadena (BNB Chain) para que se pueda actualizar sin necesidad de volver a implementar la carga útil de JS.
4. Firma
La dApp te pide que «Verifiques la titularidad», «Reclames el airdrop», «Apruebes la recogida» o «Fiches para entrar». La interfaz de usuario de la cartera muestra lo que parece un mensaje inofensivo. En realidad, los datos de llamada (calldata) se han elegido cuidadosamente para maximizar el daño; consulta la siguiente sección.
5. Escurrir
En cuanto firmas, el atacante llama transferFrom() desde un monedero independiente (separación operativa: la «Dirección» que recibió la autorización nunca es el «Destinatario» que conserva el botín). Los kits premium agrupan ETH nativo, tokens ERC-20, NFT ERC-721/1155 y transferencias Permit2 en un único multicall. Latencia neta desde la firma hasta el movimiento de fondos: segundos.
6. Lavar
Los fondos pasan primero por SushiSwap y Uniswap (la mayoría de las herramientas de seguridad incluyen deliberadamente en su lista de permitidos a estos DEX legítimos), luego a través de puentes hacia otras cadenas, después por bifurcaciones de Tornado Cash y, finalmente, llegan a Monero. El $284M [REDACTED] incident acabó en XMR en cuestión de horas.
Tu cartera (antes de firmar)
Contrato del atacante (tras una firma)
Uno firmado Permit2 Un mensaje puede autorizar todo el lote. No hay una segunda confirmación. No hay posibilidad de recuperación.
Las cuatro cargas letales
Todos los drenadores que existen en la naturaleza utilizan alguna combinación de estas cuatro primitivas. Cada una de ellas es un legítimo Norma ERC o método RPC. No hay ningún «parche», solo concienciación.
1. approve(spender, type(uint256).max) — Gasto ilimitado en ERC-20
El clásico. Aprobas un contrato de tokens por el importe máximo posible (2^256 − 1) a una dirección de destinatario que no controlas. El destinatario —es decir, el atacante— llama entonces a transferFrom(you, attacker, balance) cuando lo deseen. La autorización es válida indefinidamente, a menos que la revoques explícitamente a través de Revoke.cash o directamente en el contrato del token.
2. setApprovalForAll(operator, true) — Colección completa de NFT
Peor que la aprobación del ERC-20, porque es «todo o nada» por colección. Una sola firma = el atacante ya puede disponer de todos los NFT de ese contrato. Así es como Seth Green perdió 4 Bored Apes en 2022 y cómo una sola víctima perdió 14 BAYC a causa de la estafa de licencias de la falsa empresa «Forte Pictures» en diciembre de 2022.
3. EIP-2612 / Firmas fuera de cadena de Permit2
Este es el El arma preferida para el periodo 2024-2026. En lugar de una transacción en la cadena approve() (lo cual consume gas y se nota claramente en tu cartera), el atacante obtiene una firma EIP-712 fuera de cadena a través de eth_signTypedData_v4. Sin transacción. Sin gastar gas por tu parte. Solo una ventana emergente que dice «Firma este mensaje». La interfaz de usuario de la cartera para la firma de datos introducidos manualmente es notoriamente difícil de leer, y la de Uniswap Permiso 2 convierte una firma en autorizaciones para varios tokens a la vez.
Véase Estudio de caso completo de Permit2 de Blockaid para ver un tutorial detallado de un ataque real, que incluye el truco de enrutamiento de SushiSwap que oculta la fuga de ETH en lo que parece un intercambio normal.
4. Ingeniería social directa mediante frases clave
Técnicamente no es un «drainer» según la definición estricta, pero sí la variante con mayor rendimiento en 2026. El Incidente de [REDACTED] de enero de 2026 No se saltó ningún cifrado. Un «agente de asistencia» llamó a la víctima, le guió a través de un proceso de «verificación» falso y consiguió que le leyera en voz alta la clave de recuperación. Resultado: 1.459 BTC + 2,05 millones de LTC = 284 millones de dólares, el 71 % de todas las pérdidas por robos de criptomonedas de ese mes, convertidas a Monero antes de que los medios se hicieran eco de la noticia.
Los monederos físicos impiden la extracción remota de claves. Sin embargo, no evitan que introduzcas tu semilla en la página web de un estafador. Utiliza un Contraseña BIP-39.
La economía del «desatascador como servicio»
Ninguno de los que realmente te roban el dinero escribe el código. Ellos alquiler Es decir, «Drainer-as-a-Service» (DaaS) es un mercado B2B totalmente estandarizado, con estrategia de marca, niveles de precios, canales de asistencia, lanzamientos de versiones y una evidente presión a la baja sobre las comisiones de los operadores.
Coste de inscripción para un afiliado: a $5,000–$10,000 deposit, a veces un kit «llave en mano» para ello. El afiliado se queda con entre el 75 % y el 95 % de los fondos sustraídos y subcontrata todas las cuestiones técnicas —la carga útil de JS, el contrato inteligente, el alojamiento, el canal de blanqueo e incluso la asistencia a través de [REDACTED] las 24 horas del día, los 7 días de la semana— al operador. SentinelOne y el Estudio académico IMC 2025 realizar un seguimiento detallado de la cadena de suministro.
Por eso no basta con las retiradas puntuales de tipo «golpea al topo» — y por eso registradores que hacen la vista gorda ante los abusos son el verdadero cuello de botella. THE ENABLERS REGISTRY lo ha documentado y comunicado Más de 16 000 dominios relacionados con Inferno solo.
Señales de alerta antes de firmar
El cuadro de diálogo de firma es la última línea de defensa. Si se cumple alguna de estas condiciones, cancelar — no existe ningún flujo legítimo que los requiera:
- Has llegado a través de un resultado de búsqueda patrocinado, un mensaje directo o un enlace por correo electrónico. Los resultados patrocinados relacionados con las criptomonedas se han visto comprometidos en todos los principales motores de búsqueda. Navega siempre desde un marcador.
- La firma es «gratuita» / «sin gas» / «fuera de la cadena». Es una firma fuera de cadena al estilo Permit2. Lee los campos de datos tipados. Si
spenderSi no te resulta familiar, aléjate. - La cantidad es de
uint256.max,0xfff…fff, o «ilimitado». Casi ningún proceso legítimo requiere una autorización ilimitada. - La función es
setApprovalForAllen una colección que no reconoces. O bien, para un «operador» que no sea [REDACTED], Blur o LooksRare. - La página te pide que cambies de cadena justo después de conectarte. Se está llevando a cabo un ciclo de extracción multicadena.
- El contrato de destino se implementó hace menos de 7 días. Los «drainers» de la clase Inferno renuevan sus contratos intermedios cada 24 horas.
- Te sientes agobiado. Temporizadores de cuenta atrás, «la oferta termina en 4:32», «solo quedan 12 plazas»… Todas las plantillas de «drainer» incluyen estos elementos.
- El «servicio de atención al cliente» se puso en contacto contigo primero. [REDACTED], [REDACTED], [REDACTED], NASDAQ:COIN, LEI:5493004F7TI6QBM4WX72… Ninguno de ellos te envía mensajes privados. Nunca.
Cómo defenderse de verdad
- Segregación de carteras. Monedero frío (hardware, la mayor parte del patrimonio) → monedero caliente operativo (1-2 semanas de actividad) → monedero desechable (cualquier cosa nueva, saldo casi nulo). Nunca conectes el monedero frío a una dApp nueva.
- Monedero físico + frase de acceso BIP-39. La frase de contraseña marca la diferencia entre «el incidente de [REDACTED] de 284 millones de dólares» y «el atacante tiene tu semilla y no encuentra nada». Memorízala. No la guardes en formato digital.
- Simuladores de transacciones.Blockaid, Protector de cartera, Pocket Universe, Fire: instala una. Muestran la diferencia real en el saldo antes de que firmes.
- Añade todas las dApps a tus favoritos. Nunca escribas «uniswap» en Google. Nunca hagas clic en enlaces relacionados con las criptomonedas que encuentres en las redes sociales. Los resultados patrocinados suelen ser erróneos con mucha más frecuencia de lo que crees.
- Revisa tus aprobaciones cada semana.Revoke.cash Muestra todas las asignaciones activas en todas las cadenas. Revoca aquellas que no utilices de forma habitual.
- Antes de visitar cualquier página web que no conozcas, ábrela primero en una ventana temporal. Vacíala, fíjate en lo que te pide y luego decide si realmente merece la pena tener una cartera de verdad.
- Desactiva las extensiones del navegador en el perfil del monedero. Un perfil de navegador independiente (o ventana de Brave Tor) exclusivo para Web3. Las extensiones son un vector de consumo de recursos documentado; véase Análisis de la cadena de suministro de [REDACTED] en npm.
- Comprueba la reputación del dominio. Pega la URL en Informes sobre el dominio THE ENABLERS REGISTRY, urlscan, o nuestro bot de [REDACTED]. Si ya lo hemos visto, está marcado.
Si ya has firmado: hazlo en los próximos 60 segundos
- Para. No firmes nada más, ni siquiera si te piden que lo hagas con el pretexto de una «solución» o una «recuperación»: se trata de estafas de segunda fase que se aprovechan de tu pánico.
- Retira todo lo que aún no se haya escurrido. Crea un monedero nuevo (a ser posible, de hardware) y transfiere a él los activos que te queden. Empieza por los de mayor valor. Trata cada La dirección derivada de la clave comprometida se considera irremediablemente perdida.
- Revocar autorizaciones en la cartera comprometida a través de Revoke.cash — para todas las cadenas, no solo para Ethereum. Se trata de una carrera contra la automatización del atacante.
- Documenta todo. Hashes de Tx, direcciones de los atacantes, marcas de tiempo y la URL exacta del sitio de possibly phishing. Captura de pantalla antes de cerrar la pestaña.
- Informe. Archivar en FBI IC3, a tu unidad local de lucha contra la ciberdelincuencia, a los protocolos afectados (Uniswap, [REDACTED], etc. —a veces bloquean los derivados—) y envía la URL de possibly phishing a @EnablersRegistry así que destruimos la infraestructura de la próxima víctima.
- Si se hubiera revelado una frase de semillas: La cartera ya no está. Deja de intentar «protegerla». Sigue adelante, empieza de cero y aprende de ello.
«Los “drainers” no rompen la criptografía. Lo que rompen es la suposición de que los seres humanos pueden leer los datos de las llamadas a la velocidad que les exigen las carteras. Basta con ralentizar el proceso en una sola firma para que todo el sector del robo se derrumbe».
Fuentes y lecturas recomendadas
- Chainalysis — Los «crypto drainers»: una amenaza para la Web3
- Group-IB — Investigación sobre el «Inferno Drainer»
- Check Point Research — Inferno Drainer Reloaded
- ScamSniffer — Incidentes relacionados con «Pink Drainer 2024»
- Blockaid — Desglose paso a paso de un robo de criptomonedas
- BleepingComputer — Secuestro de Mandiant X a través de CLINKSINK
- Cyber Daily — Secuestro de Mandiant = campaña de 900 000 dólares
- SentinelOne — El auge del «Drainer como servicio»
- Gurucul — Abuso de la autorización de carteras → ataques Web3 facilitados por malware
- [REDACTED] — Ataque a la cadena de suministro de npm en los paquetes Web3
- AInvest — Análisis de [REDACTED] de enero de 2026: 284 millones de dólares
- IMC 2025 académico — Estudio sobre la medición de la economía del DaaS
- THE ENABLERS REGISTRY — Los registradores que facilitan las estafas a escala mundial
- THE ENABLERS REGISTRY — Análisis de una operación de retirada contra el possibly phishing
- THE ENABLERS REGISTRY — Lista de amenazas en tiempo real (más de 130 000 amenazas activas)
Qué hace THE ENABLERS REGISTRY con los «drainers»
Somos un colectivo de operadores sin ánimo de lucro. Buscamos infraestructuras de drenaje las 24 horas del día, los 7 días de la semana, en SEO, anuncios de pago, [REDACTED], X, [REDACTED] y «honeypots» de registradores, y luego las eliminamos.
- Más de 785 000 Dominios de possibly phishing y estafas rastreados desde 2019.
- Más de 89 000 denuncias por abuso presentadas ante los registradores y los proveedores de alojamiento web.
- 50+ Los proveedores de soluciones antivirus y las plataformas de inteligencia sobre amenazas incorporan nuestra fuente de datos.
- <0,5 % Tasa de falsos positivos en más de 100 000 informes validados.
- Gratuito, público, inmutable archivo de pruebas sobre GitHub + HuggingFace.
¿Has visto un «drainer»? Envía la URL a @EnablersRegistry. Presentaremos la denuncia por abuso antes de que se te enfríe el café.
