Anatomia di un “crypto drainer”: come sono scomparsi 1,93 miliardi di dollari in 6 mesi
Un drainer non ruba la tua frase di seed. Ti ruba il tuo firma. Basta un clic — un clic sul pulsante sbagliato "Richiesta", "Verifica" o "Collega portafoglio" — e una serie di smart contract predefiniti svuota il tuo conto prima ancora che tu riesca a togliere il dito dal trackpad.
Che cos’è in realtà un “drainer”
A svuotatore di criptovalute è uno strumento di possibly phishing creato appositamente per il Web3. Non cerca di sottrarti la password né di estrarre una chiave privata. Piuttosto, ti induce a firmare una transazione — di solito un approve(), setApprovalForAll(), oppure un sistema off-chain Permit messaggio — che concede all'autore dell'attacco il permesso di disporre delle tue risorse a suo piacimento. Il portafoglio rimane "tuo". I fondi no.
Il modello è incredibilmente efficiente perché sfrutta a dismisura legittimo elementi fondamentali della blockchain. La tua chiave privata non viene mai compromessa. Non c'è alcun malware sul tuo dispositivo. C'è solo una firma, su una transazione, che gli analisti on-chain potranno vedere e il cui effetto non può essere annullato da nessuna autorità.
Secondo Chainalysis, un "drainer" è "uno strumento di possibly phishing progettato per l'ecosistema Web3" che finge di essere una dApp legittima. Group-IB, Check Point Research, e ScamSniffer Abbiamo catalogato migliaia di campagne basate proprio su questa meccanica.
La catena di attacco in 6 fasi
Ogni attacco di tipo “drainer” — Inferno, Pink, Angel, MS, CLINKSINK, Rugging e le decine di fork senza nome — segue le stesse sei fasi. L’arte sta nel condensarle tutte nei pochi secondi che intercorrono tra la connessione al portafoglio e la conferma della transazione.
1. Esca
Airdrop fasulli, annunci sponsorizzati su Google/X, account verificati compromessi (il Account SEC e Mandiant sono stati entrambi utilizzati come "megafoni per sottrarre dati"), bot di verifica su [REDACTED], falsi conii di NFT, inviti "esclusivi" a versioni beta e truffe relative alle licenze IP. Qualunque sia la forma che assumono, l’obiettivo è quello di indirizzarti verso un dominio controllato dall’autore dell’attacco.
2. Connettiti
Clicchi su "Connetti portafoglio". [REDACTED], Rabby, WalletConnect, [REDACTED]: tutto a posto, tutto come previsto. Il codice JavaScript del drainer ora ha accesso in lettura al tuo oggetto portafoglio tramite window.ethereum (o l'equivalente), e inizia a sparare eth_call richieste in background.
3. Ricognizione
Il drainer elenca i tuoi asset: saldo nativo, token ERC-20, collezioni NFT, posizioni DeFi su più blockchain. Interpella oracoli di prezzo in stile CoinGecko per convertire tutto in dollari statunitensi. Pacchetti premium come Inferno Drainer salvare la loro configurazione on-chain (BNB Chain) in modo da poterlo aggiornare senza dover ridistribuire il payload JS.
4. Firma
La dApp richiede di "Verificare la proprietà", "Richiedere l'airdrop", "Approvare la raccolta" o "Firmare per accedere". L'interfaccia utente del wallet mostra quello che sembra un messaggio innocuo. In realtà, i calldata sono scelti con cura per massimizzare il danno — vedi la sezione successiva.
5. Scolare
Non appena apponi la firma, l’aggressore chiama transferFrom() da un portafoglio separato (separazione operativa — l’“Indirizzo” che ha ricevuto l’approvazione non è mai il “Destinatario” che detiene il bottino). I kit Premium raggruppano ETH nativi, token ERC-20, NFT ERC-721/1155 e trasferimenti Permit2 in un unico multicall. Latenza netta dalla firma al trasferimento dei fondi: secondi.
6. Lavare
I fondi passano attraverso SushiSwap / Uniswap (i DEX legittimi sono deliberatamente inseriti nell’elenco delle piattaforme consentite dalla maggior parte degli strumenti di sicurezza), poi attraverso bridge verso altre blockchain, quindi attraverso i fork di Tornado Cash, e infine verso Monero. Il $284M [REDACTED] incident è finito in XMR nel giro di poche ore.
Il tuo portafoglio (prima di firmare)
Contratto dell'attaccante (dopo una firma)
Uno firmato Permit2 Il messaggio può autorizzare l'intero lotto. Nessuna seconda conferma. Nessuna possibilità di recupero.
I quattro carichi letali
Ogni drainer presente in natura utilizza una combinazione di queste quattro primitive. Ognuna di esse è un legittimo Standard ERC o metodo RPC. Non esiste una “soluzione rapida”: conta solo la consapevolezza.
1. approve(spender, type(uint256).max) — Spesa illimitata secondo lo standard ERC-20
Il classico. Si approva un contratto token per l'importo massimo possibile (2^256 − 1) a un indirizzo di pagamento che non controlli. Chi effettua il pagamento — ovvero l'autore dell'attacco — chiama quindi transferFrom(you, attacker, balance) quando lo desiderano. L'approvazione rimane valida a tempo indeterminato, a meno che non la revochi esplicitamente tramite Revoke.cash oppure direttamente dal contratto del token.
2. setApprovalForAll(operator, true) — collezione completa di NFT
Peggio dell'approvazione dello standard ERC-20, perché è "tutto o niente" per ogni collezione. Una sola firma = tutti gli NFT presenti in quel contratto possono ora essere trasferiti dall'autore dell'attacco. È così che Seth Green ha perso 4 Bored Apes nel 2022 e che una singola vittima ha perso 14 BAYC a causa della truffa delle licenze della falsa "Forte Pictures" nel dicembre 2022.
3. EIP-2612 / Firme off-chain con Permit2
Questo è il 2024–2026: l'arma preferita. Anziché un sistema on-chain approve() (il che comporta un consumo di gas e si riflette chiaramente sul tuo portafoglio), l'autore dell'attacco raccoglie una firma EIP-712 off-chain tramite eth_signTypedData_v4. Nessuna transazione. Nessun gas da parte tua. Solo un pop-up che dice "Firma questo messaggio". L'interfaccia utente del wallet per la firma dei dati digitati è notoriamente di difficile lettura, e quella di Uniswap Permesso 2 trasforma una firma in approvazioni per più token contemporaneamente.
Vedi Il caso di studio completo di Blockaid su Permit2 per una guida dettagliata all'attacco, che include il trucco del routing su SushiSwap che nasconde il drenaggio di ETH all'interno di quello che sembra un normale swap.
4. Ingegneria sociale diretta tramite frase-seme
Tecnicamente non è un “drainer” secondo la definizione restrittiva, ma è la variante con il rendimento più elevato nel 2026. Il Gennaio 2026: l'incidente di [REDACTED] non ha aggirato alcuna crittografia. Un “addetto all’assistenza” ha chiamato la vittima, l’ha guidata attraverso una finta procedura di “verifica” e l’ha indotta a leggere ad alta voce il seed di recupero. Risultato: 1.459 BTC + 2,05 milioni di LTC = 284 milioni di dollari, pari al 71% delle perdite totali dovute a furti di criptovalute in quel mese, convertite in Monero prima che la notizia facesse il giro dei media.
I portafogli hardware impediscono l'estrazione remota delle chiavi. Tuttavia, non impediscono di digitare il proprio seed sul sito web di un phisher. Utilizza un Passphrase BIP-39.
L'economia del "Drainer-as-a-Service"
Nessuno degli attori che in realtà ti rubano i soldi scrive il codice. Loro affitto it. Il Drainer-as-a-Service (DaaS) è un mercato B2B completamente standardizzato, caratterizzato da branding, fasce di prezzo, canali di assistenza, rilascio di nuove versioni e un’evidente pressione al ribasso sulle commissioni degli operatori.
Costo di iscrizione per un affiliato: a $5,000–$10,000 deposit, a volte sotto forma di kit "chiavi in mano" per lo stesso scopo. L'affiliato trattiene il 75–95% dei fondi sottratti e affida all'operatore ogni aspetto tecnico — payload JS, smart contract, hosting, canale di riciclaggio e persino l'assistenza su [REDACTED] 24 ore su 24, 7 giorni su 7. SentinelOne e il Studio accademico IMC 2025 tracciare la catena di approvvigionamento in modo dettagliato.
Ecco perché le rimozioni isolate di tipo “acchiappa-topo” non bastano — ed ecco perché registrar che ignorano gli abusi rappresentano il vero collo di bottiglia. THE ENABLERS REGISTRY ha documentato e segnalato Oltre 16.000 domini relativi a Inferno da solo.
Segnali di allarme prima di firmare
La finestra di dialogo della firma rappresenta l'ultima linea di difesa. Se si verifica una di queste condizioni, annulla — non esiste alcun flusso legittimo che li richieda:
- Sei arrivato qui tramite un risultato di ricerca sponsorizzato, un messaggio diretto o un link contenuto in un’e-mail. I risultati relativi alle criptovalute sponsorizzati sono stati compromessi su tutti i principali motori di ricerca. Naviga sempre utilizzando i segnalibri.
- La firma è "gratuita" / "senza gas" / "off-chain". Si tratta di una firma off-chain in stile Permit2. Leggi i campi dei dati digitati. Se
spenderSe non ti è familiare, stanne alla larga. - L'importo è
uint256.max,0xfff…fff, ovvero "illimitato". Quasi nessun flusso legittimo richiede un’approvazione illimitata. - La funzione è
setApprovalForAllsu una collezione che non riconosci. Oppure per un "operatore" che non sia [REDACTED] / Blur / LooksRare. - Il sito richiede di cambiare catena subito dopo la connessione. Ciclo di estrazione multi-catena in corso.
- Il contratto di destinazione è stato implementato meno di 7 giorni fa. I "drainer" della classe Inferno alternano i contratti intermedi ogni 24 ore.
- Ti senti sotto pressione. Contatori alla rovescia, "l'offerta scade tra 4:32", "rimangono solo 12 posti" — tutti i modelli di Drainer includono questi elementi.
- È stato il "servizio clienti" a contattarti per primo. [REDACTED], [REDACTED], [REDACTED], NASDAQ:COIN, LEI:5493004F7TI6QBM4WX72: nessuno di loro ti manda messaggi privati. Mai.
Come difendersi davvero
- Separazione dei portafogli. Cold wallet (hardware, la maggior parte del patrimonio) → hot wallet operativo (1–2 settimane di attività) → burner wallet (qualsiasi cosa nuova, saldo quasi pari a zero). Non collegare mai il cold wallet a una dApp nuova.
- Portafoglio hardware + passphrase BIP-39. La passphrase è ciò che fa la differenza tra “l’incidente [REDACTED] da 284 milioni di dollari” e “l’hacker ha il tuo seed ma non trova nulla”. Memorizzala. Non salvarla in formato digitale.
- Simulatori di transazioni.Blockaid, Protezione per portafoglio, Pocket Universe, Fire — installane uno. Ti mostrano l'effettivo variazione di saldo prima di confermare.
- Aggiungi tutte le dApp ai preferiti. Non digitare mai "uniswap" su Google. Non cliccare mai sui link relativi alle criptovalute che trovi sui social media. I risultati sponsorizzati sono sbagliati molto più spesso di quanto pensi.
- Verifica settimanalmente le tue approvazioni.Revoke.cash Mostra tutte le autorizzazioni attive su ogni catena. Revoca quelle che non utilizzi attivamente.
- Prima di visitare un sito che non conosci, provalo su un account temporaneo. Svuota il portafoglio, guarda cosa ti chiede e poi decidi se vale davvero la pena avere un vero portafoglio.
- Disattiva le estensioni del browser nel profilo del portafoglio. Un profilo del browser separato (o una finestra di Brave Tor) dedicato esclusivamente al Web3. Le estensioni sono una fonte documentata di consumo di risorse — vedi L'analisi della catena di approvvigionamento di [REDACTED] su npm.
- Verifica la reputazione del dominio. Inserisci l'URL in Rapporti sul dominio THE ENABLERS REGISTRY, urlscan, oppure il nostro bot su [REDACTED]. Se l'abbiamo già visto, è contrassegnato.
Se hai già firmato: fallo entro i prossimi 60 secondi
- Basta. Non firmare nient’altro, comprese le richieste relative a “riparazioni” o “recupero”: si tratta di truffe di secondo livello che sfruttano il tuo stato di panico.
- Sposta tutto ciò che non è ancora stato svuotato. Crea un portafoglio nuovo di zecca (preferibilmente hardware) e trasferiscici gli asset rimasti. Inizia da quelli di valore più elevato. Tratta ogni l'indirizzo derivato dalla chiave compromessa è considerato definitivamente cancellato.
- Revocare le approvazioni sul portafoglio compromesso tramite Revoke.cash — per ogni blockchain, non solo per Ethereum. È una corsa contro l’automazione dell’autore dell’attacco.
- Documentate tutto. Hash Tx, indirizzi degli autori dell'attacco, timestamp, URL esatto del sito di possibly phishing. Screenshot prima di chiudere la scheda.
- Relazione. Archiviare con FBI IC3, l'unità locale competente in materia di crimini informatici, i protocolli interessati (Uniswap, [REDACTED], ecc. — a volte bloccano i derivati) e inviare l'URL di possibly phishing a @EnablersRegistry così mettiamo fuori uso l'infrastruttura per la prossima vittima.
- Se una frase di seed fosse stata divulgata: Il portafoglio è andato perso. Smettila di cercare di “metterlo al sicuro”. Volta pagina, ricomincia da capo, impara da questa esperienza.
"I 'drainer' non compromettono la crittografia. Compromettono l'ipotesi secondo cui gli esseri umani siano in grado di leggere i calldata alla velocità richiesta dai portafogli. Basta rallentare di una sola firma e l'intero settore dei furti crolla."
Fonti e approfondimenti
- Chainalysis — I "Crypto Drainers": una minaccia per il Web3
- Group-IB — Indagine su Inferno Drainer
- Check Point Research — Inferno Drainer Reloaded
- ScamSniffer — Incidenti relativi al Pink Drainer 2024
- Blockaid — Analisi dettagliata, passo dopo passo, di una rapina nel mondo delle criptovalute
- BleepingComputer — Dirottamento di Mandiant X tramite CLINKSINK
- Cyber Daily — Attacco informatico a Mandiant = campagna da 900.000 dollari
- SentinelOne — L'ascesa del "Drainer-as-a-Service"
- Gurucul — Abuso dell'approvazione dei portafogli → attacchi Web3 facilitati da malware
- [REDACTED] — Attacco alla catena di approvvigionamento di npm sui pacchetti Web3
- AInvest — Analisi di gennaio 2026 su [REDACTED]: 284 milioni di dollari
- IMC 2025 - Settore accademico — Studio sulla misurazione dell'economia DaaS
- THE ENABLERS REGISTRY — Registrar che facilitano le truffe a livello globale
- THE ENABLERS REGISTRY — Analisi di una rimozione di un attacco di possibly phishing
- THE ENABLERS REGISTRY — Elenco delle minacce da eliminare in tempo reale (oltre 130.000 minacce attive)
Come agisce THE ENABLERS REGISTRY contro i "drainer"
Siamo un collettivo di operatori senza scopo di lucro. Cerchiamo infrastrutture di draining 24 ore su 24, 7 giorni su 7, su SEO, annunci a pagamento, [REDACTED], X, [REDACTED] e honeypot dei registrar, per poi eliminarle.
- 785.000+ Domini utilizzati per attività di possibly phishing e truffe monitorati dal 2019.
- 89.000+ segnalazioni di abusi presentate a registri e provider di hosting.
- 50+ I fornitori di soluzioni antivirus e le piattaforme di intelligence sulle minacce utilizzano il nostro feed.
- <0,5% tasso di falsi positivi su oltre 100.000 referti convalidati.
- Gratuito, pubblico, immutabile archivio delle prove su GitHub + HuggingFace.
Hai trovato un sito di download? Invia l'URL a @EnablersRegistry. Presenteremo la denuncia per maltrattamenti prima ancora che il tuo caffè si raffreddi.
