Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / ID / CRYPTO DRAINER ANATOMY

Analisis Kasus Pencurian Kripto: $1,93 miliar Dicuri

The Enablers Registry·Editorial mirror·/id/crypto-drainer-anatomy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

ANCAMAN WEB3

Analisis Kasus Penipuan Kripto: Bagaimana $1,93 miliar Menguap dalam 6 Bulan

Alat penguras tidak mencuri frasa benih Anda. Alat itu mencuri tanda tangan. Cukup satu klik — satu klik pada tombol "Claim", "Verify", atau "Connect Wallet" yang salah — dan serangkaian kontrak pintar yang sudah disiapkan sebelumnya akan mengosongkan saldo Anda sebelum Anda sempat mengangkat jari dari trackpad.

Analisis cara kerja penipu dompet kripto — rantai serangan enam tahap
$1.93B
Kerugian pada semester pertama tahun 2025
+540% dibandingkan tahun 2023
$284M
Satu korban, Januari 2026
Penipuan frasa benih [REDACTED]
320 ribu+
Korban pada tahun 2023
~900 setiap hari
$5–10K
Biaya awal DaaS
paket siap pakai

Apa sebenarnya yang dimaksud dengan "drainer"?

A penguras kripto adalah alat possibly phishing yang dirancang khusus untuk Web3. Alat ini tidak berusaha mencuri kata sandi Anda atau mengekstrak kunci pribadi. Sebaliknya, alat ini akan membuat Anda menandatangani transaksi — biasanya sebuah approve(), setApprovalForAll(), atau di luar rantai Permit pesan — yang memberikan izin kepada penyerang untuk memindahkan aset Anda sesuka hati. Dompet tersebut tetap "milik Anda". Namun, dana di dalamnya tidak.

Model ini sangat efisien karena memanfaatkan secara berlebihan sah elemen dasar blockchain. Kunci pribadi Anda tidak akan pernah bocor. Tidak ada malware di perangkat Anda. Hanya ada satu tanda tangan, pada satu transaksi, yang akan dilihat oleh para analis on-chain dan dampaknya tidak dapat dibatalkan oleh pihak mana pun.

Menurut Chainalysis, drainer adalah "alat possibly phishing yang dirancang untuk ekosistem web3" yang menyamar sebagai dApp yang sah. Group-IB, Penelitian Check Point, dan ScamSniffer telah mendokumentasikan ribuan kampanye yang dibangun berdasarkan mekanisme ini tepatnya.

Rantai serangan 6 langkah

Setiap serangan drainer — Inferno, Pink, Angel, MS, CLINKSINK, Rugging, dan puluhan fork yang tak bernama — mengikuti enam tahap yang sama. Keahliannya terletak pada kemampuan memadatkan semua tahap tersebut ke dalam hitungan detik antara koneksi dompet dan transaksi yang dikonfirmasi.

1 Lure airdrop / ad / DM 2 Connect wallet hooked 3 Recon analyzeWallet() 4 Sign approve / permit 5 Drain transferFrom() 6 Launder DEX → bridge → XMR SOCIAL ENGINEERING TECHNICAL EXECUTION EXFILTRATION

1. Umpan

Airdrop palsu, iklan bersponsor di Google/X, akun terverifikasi yang diretas (yang Akun SEC dan Mandiant (keduanya pernah digunakan sebagai "drainer megaphones"), bot verifikasi [REDACTED], pencetakan NFT palsu, undangan beta "eksklusif", dan penipuan lisensi IP. Apa pun modus operandinya, tujuannya adalah untuk mengarahkan Anda ke domain yang dikendalikan oleh penyerang.

2. Sambungkan

Anda mengklik "Connect Wallet". [REDACTED], Rabby, WalletConnect, [REDACTED] — semuanya baik-baik saja, sesuai harapan. Skrip JavaScript "drainer" kini memiliki akses baca ke objek dompet Anda melalui window.ethereum (atau yang setara), dan mulai menembak eth_call permintaan yang berjalan di latar belakang.

3. Pengintaian

Alat ini mencantumkan seluruh aset Anda: saldo native, token ERC-20, koleksi NFT, serta posisi DeFi di berbagai rantai blok. Alat ini mengakses orakel harga bergaya CoinGecko untuk mengonversi nilai semua aset ke dolar AS. Paket premium seperti Inferno Drainer menyimpan konfigurasi mereka di dalam rantai (BNB Chain) sehingga dapat diperbarui tanpa perlu melakukan redeploy terhadap payload JS.

4. Tanda

dApp tersebut meminta Anda untuk "Memverifikasi kepemilikan", "Mengklaim airdrop", "Menyetujui penarikan", atau "Menandatangani untuk masuk". Antarmuka dompet menampilkan pesan yang tampak tidak berbahaya. Pada kenyataannya, data panggilan (calldata) tersebut dipilih dengan cermat untuk memaksimalkan kerugian — lihat bagian berikutnya.

5. Tiriskan

Begitu tanda tanganmu tertera, penyerang itu langsung menelepon transferFrom() dari dompet terpisah (pemisahan operasional — "Alamat" yang menerima persetujuan tersebut bukanlah "Penerima" yang menyimpan hasil jarahan). Paket Premium menggabungkan transfer ETH asli, token ERC-20, NFT ERC-721/1155, dan transfer Permit2 dalam satu multicall. Latensi bersih dari penandatanganan hingga pergerakan dana: detik.

6. Mencuci

Dana dialirkan melalui SushiSwap / Uniswap (DEX yang sah secara sengaja dimasukkan ke dalam daftar putih oleh sebagian besar alat keamanan), kemudian melalui jembatan ke rantai lain, lalu melalui cabang-cabang Tornado Cash, dan akhirnya ke Monero. The $284M [REDACTED] incident dalam hitungan jam sudah masuk ke XMR.

Dompet Anda (sebelum menandatangani)

ETH2.4815
USDC18,420.00
WBTC0.34
BAYC #42911 NFT
stETH12.1

Kontrak penyerang (setelah satu tanda tangan)

ETH+2.4815
USDC+18,420.00
WBTC+0.34
BAYC #4291+1 NFT
stETH+12.1

Satu yang ditandatangani Permit2 Pesan tersebut dapat mengesahkan seluruh batch. Tidak ada konfirmasi kedua. Tidak ada pemulihan.

Empat muatan mematikan

Setiap drainer di alam liar menggunakan kombinasi dari keempat elemen dasar ini. Masing-masing merupakan sebuah sah Standar ERC atau metode RPC. Tidak ada "solusi cepat" — yang ada hanyalah kesadaran.

1. approve(spender, type(uint256).max) — Pengeluaran tak terbatas sesuai standar ERC-20

Yang klasik. Anda menyetujui kontrak token dengan jumlah maksimum yang memungkinkan (2^256 − 1) ke alamat penerima yang tidak Anda kendalikan. Penerima — yaitu penyerang — kemudian memanggil transferFrom(you, attacker, balance) sesuai keinginan mereka. Persetujuan tersebut berlaku selamanya kecuali jika Anda secara tegas mencabutnya melalui Revoke.cash atau kontrak token itu sendiri.

// What you actually signed:menyetujui( 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, // attacker0xffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff// max uint256 ) // Wallet UI showed: "Verify wallet ownership"

2. setApprovalForAll(operator, true) — koleksi NFT lengkap

Lebih buruk daripada persetujuan ERC-20, karena ini sistem "semua atau tidak sama sekali" per koleksi. Satu tanda tangan = semua NFT dalam kontrak tersebut kini dapat dipindahkan oleh penyerang. Inilah cara Seth Green kehilangan 4 Bored Apes pada tahun 2022 dan cara seorang korban kehilangan 14 BAYC akibat penipuan lisensi palsu "Forte Pictures" pada Desember 2022.

setApprovalForAll( 0xattacker..., // "operator"benar// approved for the entire collection )

3. EIP-2612 / Tanda tangan off-chain Permit2

Ini adalah Senjata andalan periode 2024–2026. Alih-alih menggunakan sistem on-chain approve() (yang menghabiskan gas dan dampaknya terasa jelas di dompet Anda), penyerang mengumpulkan tanda tangan EIP-712 di luar rantai melalui eth_signTypedData_v4. Tidak ada transaksi. Tidak ada biaya gas dari pihak Anda. Hanya muncul jendela pop-up yang bertuliskan "Tandatangani pesan ini". Antarmuka dompet untuk penandatanganan data yang diketik memang terkenal sulit dibaca, dan Uniswap’s Izin2 mengubah satu tanda tangan menjadi persetujuan untuk beberapa token sekaligus.

// What [REDACTED] showed you:// "PermitSingle"// spender: 0x000000000022D473030F116dDEE9F6B43aC78BA3// ...looks fine, that's the real Permit2 contract...// What it actually authorized: { "rincian": { "token": "0xUSDC...", "jumlah": "1461501637330902918203684832716283019655932542975", // max"kedaluwarsa": 281474976710655// year ~10889 }, "pemboros": "0xattacker...", "sigDeadline": 9999999999 }

Lihat Studi kasus Permit2 selengkapnya dari Blockaid untuk panduan langkah demi langkah serangan yang sebenarnya, termasuk trik perutean SushiSwap yang menyembunyikan pengalihan ETH di balik proses pertukaran yang tampak biasa.

4. Rekayasa sosial langsung melalui frasa benih

Secara teknis, ini bukan "drainer" menurut definisi sempitnya — namun merupakan varian dengan hasil tertinggi pada tahun 2026. Yang Insiden [REDACTED] Januari 2026 Tidak ada enkripsi yang dilewati. Seorang "petugas dukungan" menelepon korban, memandu mereka melalui proses "verifikasi" palsu, dan membuat mereka membacakan seed pemulihan. Hasilnya: 1.459 BTC + 2,05 juta LTC = $284 juta, 71% dari seluruh kerugian akibat pencurian kripto pada bulan tersebut, telah dikonversi ke Monero sebelum berita tersebut menjadi sorotan media.

Dompet perangkat keras mencegah pengambilan kunci dari jarak jauh. Namun, dompet tersebut tidak mencegah Anda memasukkan frasa benih ke situs web penipu. Gunakan sebuah Kata sandi BIP-39.

Ekonomi "Drainer-as-a-Service"

Tak satu pun dari para pelaku yang benar-benar mencuri uangmu yang menulis kode tersebut. Mereka sewa Itu. Drainer-as-a-Service (DaaS) merupakan pasar B2B yang sepenuhnya telah menjadi komoditas, dengan strategi branding, tingkatan harga, saluran dukungan, rilis versi, serta tekanan yang jelas untuk menurunkan komisi operator.

Inferno
Yang paling canggih. Konfigurasi on-chain (BNB), C2 terenkripsi AES, fitur anti-debugger, dan routing SushiSwap. Analisis CP
potongan 15–20%
Angel (GhostSec)
Multi-rantai, dikemas sebagai produk — rilis dengan versi seperti perangkat lunak komersial (v8.2, v8.3...).
Pemotongan sebesar 20%
CLINKSINK
Berbasis JS, berfokus pada Solana. Kit yang digunakan dalam serangan peretasan Mandiant X ($900K) dan insiden kebocoran data SEC.
potongan sekitar 20%
Merah muda
Berfokus pada NFT. Rekor korban tunggal: $320K dalam bentuk BAYC/MAYC/Otherdeed dalam satu transaksi.
potongan sekitar 20%
MS Drainer
$59M from 63K victims via X (Twitter) sponsored ads, March–November 2023. ScamSniffer
var.
Rugging Multi-rantai
Strategi pemimpin harga: menawarkan komisi yang lebih rendah daripada Angel/Inferno untuk menarik volume transaksi.
potongan 5–10%

Biaya pendaftaran untuk afiliasi: a $5,000–$10,000 deposit, terkadang berupa paket siap pakai untuk hal yang sama. Afiliasi tersebut menyimpan 75–95% dari dana yang dicuri dan menyerahkan semua urusan teknis — muatan JS, kontrak pintar, hosting, Pipeline pencucian uang, bahkan dukungan [REDACTED] 24/7 — kepada operator. SentinelOne dan Studi akademis IMC 2025 melacak rantai pasokan secara terperinci.

Inilah sebabnya mengapa penghapusan sesekali yang bersifat “whack-a-mole” tidak cukup — dan mengapa penyedia layanan pendaftaran domain yang mengabaikan kasus penyalahgunaan adalah titik kemacetan yang sesungguhnya. THE ENABLERS REGISTRY telah mendokumentasikan dan melaporkan Lebih dari 16.000 domain yang terkait dengan Inferno sendiri.

Hal-hal yang perlu diwaspadai sebelum menandatangani

Kotak dialog tanda tangan merupakan garis pertahanan terakhir. Jika salah satu dari hal berikut ini benar, batalkan — tidak ada alur yang sah yang mengharuskannya:

  • Anda tiba di sini melalui hasil pencarian bersponsor, pesan langsung (DM), atau tautan dalam email. Hasil pencarian terkait kripto yang disponsori telah dimanipulasi di setiap mesin pencari utama. Selalu akses situs tersebut melalui bookmark.
  • Tanda tangan tersebut bersifat "gratis" / "tanpa biaya gas" / "off-chain". Itu adalah tanda tangan off-chain bergaya Permit2. Bacalah bidang-bidang data yang telah diketik. Jika spender jika terasa asing, tinggalkan saja.
  • Jumlahnya adalah uint256.max, 0xfff…fff, atau "tak terbatas". Hampir tidak ada alur kerja yang sah yang memerlukan persetujuan tanpa batas.
  • Fungsinya adalah setApprovalForAll pada koleksi yang tidak Anda kenali. Atau untuk "operator" yang bukan [REDACTED] / Blur / LooksRare.
  • Situs tersebut meminta Anda untuk mengganti rantai segera setelah terhubung. Proses ekstraksi multi-rantai sedang berlangsung.
  • Kontrak tujuan tersebut telah diterapkan kurang dari 7 hari yang lalu. Drainer kelas Inferno mengganti kontrak menengah setiap 24 jam.
  • Kamu merasa terburu-buru. Penghitung mundur, "penawaran berakhir dalam 4:32", "hanya tersisa 12 tempat" — setiap templat drainer sudah dilengkapi dengan fitur-fitur ini.
  • "Layanan pelanggan" yang menghubungi Anda terlebih dahulu. [REDACTED], [REDACTED], [REDACTED], NASDAQ:COIN, LEI:5493004F7TI6QBM4WX72 — tak satu pun dari mereka yang mengirim pesan langsung kepadamu. Sama sekali tidak.

Cara yang sebenarnya untuk membela diri

  • Pemisahan dompet. Dompet dingin (perangkat keras, sebagian besar aset) → dompet panas operasional (untuk aktivitas selama 1–2 minggu) → dompet sekali pakai (untuk transaksi baru, saldo mendekati nol). Jangan pernah menghubungkan dompet dingin ke dApp baru.
  • Dompet perangkat keras + frasa sandi BIP-39. Kata sandi inilah yang membedakan antara "insiden [REDACTED] senilai $284 juta" dan "penyerang memiliki seed Anda tetapi tidak menemukan apa pun". Hafalkanlah. Jangan menyimpannya dalam bentuk digital.
  • Simulator transaksi.Blockaid, Pelindung Dompet, Pocket Universe, Fire — pasang salah satunya. Aplikasi-aplikasi tersebut menampilkan selisih saldo aktual sebelum Anda menandatangani.
  • Tandai semua dApps. Jangan pernah mengetik "uniswap" di Google. Jangan pernah mengklik tautan kripto dari media sosial. Hasil iklan tersebut seringkali salah, jauh lebih sering daripada yang kamu kira.
  • Periksa persetujuan Anda setiap minggu.Revoke.cash menampilkan semua alokasi yang aktif di seluruh rantai. Cabut alokasi apa pun yang tidak Anda gunakan secara aktif.
  • Selalu periksa situs yang tidak dikenal melalui layanan anonim terlebih dahulu. Kosongkan dompetmu, lihat apa yang diminta, lalu putuskan apakah dompet itu memang layak dimiliki.
  • Nonaktifkan ekstensi browser pada profil dompet. Profil peramban terpisah (atau jendela Brave Tor) khusus untuk Web3. Ekstensi merupakan sumber pemborosan sumber daya yang telah didokumentasikan — lihat Analisis rantai pasokan npm [REDACTED].
  • Periksa reputasi domain tersebut. Salin URL-nya ke Laporan domain THE ENABLERS REGISTRY, urlscan, atau bot [REDACTED] kami. Kalau kita sudah melihatnya, itu sudah ditandai.

Jika Anda sudah menandatangani: lakukan hal ini dalam 60 detik ke depan

  1. Berhenti. Jangan menandatangani apa pun lagi, termasuk permintaan yang bertuliskan "perbaikan" atau "pemulihan" — itu adalah penipuan tahap kedua yang memanfaatkan rasa panik Anda.
  2. Pindahkan apa pun yang belum dikeringkan. Buat dompet baru (sebaiknya dompet perangkat keras), lalu pindahkan aset yang masih tersisa ke dompet tersebut. Prioritaskan yang nilainya paling tinggi terlebih dahulu. Lakukan setiap alamat yang diperoleh dari kunci yang diretas dianggap telah terhapus secara permanen.
  3. Mencabut persetujuan di dompet yang diretas melalui Revoke.cash — untuk setiap blockchain, bukan hanya Ethereum. Ini adalah perlombaan melawan otomatisasi yang dilakukan penyerang.
  4. Catat semuanya. Hash Tx, alamat penyerang, cap waktu, serta URL lengkap situs possibly phishing. Tangkapan layar sebelum menutup tab.
  5. Laporan. Simpan di FBI IC3, unit kejahatan siber setempat, protokol yang terkena dampak (Uniswap, [REDACTED], dll. — terkadang mereka membekukan derivatif), dan kirimkan URL possibly phishing tersebut ke @EnablersRegistry Jadi, kami menghancurkan infrastruktur untuk korban berikutnya.
  6. Jika frasa benih telah diungkapkan: Dompetnya sudah hilang. Berhentilah mencoba "mengamankannya". Lanjutkan hidup, mulailah dari awal, dan ambil hikmahnya.

"Drainers tidak merusak kriptografi. Mereka justru membantah asumsi bahwa manusia mampu membaca data panggilan secepat yang diminta oleh dompet. Cukup perlambat prosesnya satu tanda tangan saja, dan seluruh industri pencurian pun akan runtuh."

Apa yang dilakukan THE ENABLERS REGISTRY terhadap para penguras

Kami adalah kelompok operator nirlaba. Kami memburu infrastruktur drainer 24 jam sehari, 7 hari seminggu di berbagai platform seperti SEO, iklan berbayar, [REDACTED], X, [REDACTED], dan honeypot pendaftar domain, lalu kami menonaktifkannya.

  • 785 ribu+ domain possibly phishing & penipuan yang dilacak sejak 2019.
  • 89 ribu+ laporan penyalahgunaan yang diajukan kepada penyedia layanan pendaftaran domain dan penyedia layanan hosting.
  • 50+ Vendor AV dan platform intelijen ancaman mengintegrasikan umpan data kami.
  • <0,5% tingkat hasil positif palsu berdasarkan lebih dari 100 ribu laporan yang telah diverifikasi.
  • Gratis, terbuka untuk umum, tidak dapat diubah arsip bukti mengenai GitHub + HuggingFace.

Melihat situs yang menguras kuota? Kirimkan URL-nya ke @EnablersRegistry. Laporan pelecehan itu akan kami ajukan sebelum kopi Anda sempat dingin.

#CryptoDrainer#Web3Security#WalletDrainer#Permit2#DaaS#Inferno

Bagikan Artikel Ini

Penyelidikan Terkait

STUDI KASUS
[REDACTED] Drainer: penyelidikan di tingkat panel
METODOLOGI
Analisis Proses Penghapusan Serangan Possibly phishing
PENYELIDIKAN
IANA #1479, IANA #460, IANA #3765: Penyedia Layanan Pendaftaran Nama Domain yang Memfasilitasi Penipuan

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings