Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / IT / CRYPTO DRAINER ANATOMY

Anatomia di Crypto Drainer: 1,93 miliardi di dollari rubati

The Enablers Registry·Editorial mirror·/it/crypto-drainer-anatomy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

MINACCIA DEL WEB3

Anatomia di un “crypto drainer”: come sono scomparsi 1,93 miliardi di dollari in 6 mesi

Un drainer non ruba la tua frase di seed. Ti ruba il tuo firma. Basta un clic — un clic sul pulsante sbagliato "Richiesta", "Verifica" o "Collega portafoglio" — e una serie di smart contract predefiniti svuota il tuo conto prima ancora che tu riesca a togliere il dito dal trackpad.

Anatomia di un ladro di criptovalute: una catena di attacco in sei fasi
$1.93B
Perdite del primo semestre del 2025
+540% rispetto al 2023
$284M
Una sola vittima, gennaio 2026
Truffa relativa alla frase di seed di [REDACTED]
320.000+
Vittime nel 2023
circa 900 al giorno
$5–10K
Costo di accesso al DaaS
kit pronto all'uso

Che cos’è in realtà un “drainer”

A svuotatore di criptovalute è uno strumento di possibly phishing creato appositamente per il Web3. Non cerca di sottrarti la password né di estrarre una chiave privata. Piuttosto, ti induce a firmare una transazione — di solito un approve(), setApprovalForAll(), oppure un sistema off-chain Permit messaggio — che concede all'autore dell'attacco il permesso di disporre delle tue risorse a suo piacimento. Il portafoglio rimane "tuo". I fondi no.

Il modello è incredibilmente efficiente perché sfrutta a dismisura legittimo elementi fondamentali della blockchain. La tua chiave privata non viene mai compromessa. Non c'è alcun malware sul tuo dispositivo. C'è solo una firma, su una transazione, che gli analisti on-chain potranno vedere e il cui effetto non può essere annullato da nessuna autorità.

Secondo Chainalysis, un "drainer" è "uno strumento di possibly phishing progettato per l'ecosistema Web3" che finge di essere una dApp legittima. Group-IB, Check Point Research, e ScamSniffer Abbiamo catalogato migliaia di campagne basate proprio su questa meccanica.

La catena di attacco in 6 fasi

Ogni attacco di tipo “drainer” — Inferno, Pink, Angel, MS, CLINKSINK, Rugging e le decine di fork senza nome — segue le stesse sei fasi. L’arte sta nel condensarle tutte nei pochi secondi che intercorrono tra la connessione al portafoglio e la conferma della transazione.

1 Lure airdrop / ad / DM 2 Connect wallet hooked 3 Recon analyzeWallet() 4 Sign approve / permit 5 Drain transferFrom() 6 Launder DEX → bridge → XMR SOCIAL ENGINEERING TECHNICAL EXECUTION EXFILTRATION

1. Esca

Airdrop fasulli, annunci sponsorizzati su Google/X, account verificati compromessi (il Account SEC e Mandiant sono stati entrambi utilizzati come "megafoni per sottrarre dati"), bot di verifica su [REDACTED], falsi conii di NFT, inviti "esclusivi" a versioni beta e truffe relative alle licenze IP. Qualunque sia la forma che assumono, l’obiettivo è quello di indirizzarti verso un dominio controllato dall’autore dell’attacco.

2. Connettiti

Clicchi su "Connetti portafoglio". [REDACTED], Rabby, WalletConnect, [REDACTED]: tutto a posto, tutto come previsto. Il codice JavaScript del drainer ora ha accesso in lettura al tuo oggetto portafoglio tramite window.ethereum (o l'equivalente), e inizia a sparare eth_call richieste in background.

3. Ricognizione

Il drainer elenca i tuoi asset: saldo nativo, token ERC-20, collezioni NFT, posizioni DeFi su più blockchain. Interpella oracoli di prezzo in stile CoinGecko per convertire tutto in dollari statunitensi. Pacchetti premium come Inferno Drainer salvare la loro configurazione on-chain (BNB Chain) in modo da poterlo aggiornare senza dover ridistribuire il payload JS.

4. Firma

La dApp richiede di "Verificare la proprietà", "Richiedere l'airdrop", "Approvare la raccolta" o "Firmare per accedere". L'interfaccia utente del wallet mostra quello che sembra un messaggio innocuo. In realtà, i calldata sono scelti con cura per massimizzare il danno — vedi la sezione successiva.

5. Scolare

Non appena apponi la firma, l’aggressore chiama transferFrom() da un portafoglio separato (separazione operativa — l’“Indirizzo” che ha ricevuto l’approvazione non è mai il “Destinatario” che detiene il bottino). I kit Premium raggruppano ETH nativi, token ERC-20, NFT ERC-721/1155 e trasferimenti Permit2 in un unico multicall. Latenza netta dalla firma al trasferimento dei fondi: secondi.

6. Lavare

I fondi passano attraverso SushiSwap / Uniswap (i DEX legittimi sono deliberatamente inseriti nell’elenco delle piattaforme consentite dalla maggior parte degli strumenti di sicurezza), poi attraverso bridge verso altre blockchain, quindi attraverso i fork di Tornado Cash, e infine verso Monero. Il $284M [REDACTED] incident è finito in XMR nel giro di poche ore.

Il tuo portafoglio (prima di firmare)

ETH2.4815
USDC18,420.00
WBTC0.34
BAYC n. 42911 NFT
stETH12.1

Contratto dell'attaccante (dopo una firma)

ETH+2.4815
USDC+18,420.00
WBTC+0.34
BAYC n. 4291+1 NFT
stETH+12.1

Uno firmato Permit2 Il messaggio può autorizzare l'intero lotto. Nessuna seconda conferma. Nessuna possibilità di recupero.

I quattro carichi letali

Ogni drainer presente in natura utilizza una combinazione di queste quattro primitive. Ognuna di esse è un legittimo Standard ERC o metodo RPC. Non esiste una “soluzione rapida”: conta solo la consapevolezza.

1. approve(spender, type(uint256).max) — Spesa illimitata secondo lo standard ERC-20

Il classico. Si approva un contratto token per l'importo massimo possibile (2^256 − 1) a un indirizzo di pagamento che non controlli. Chi effettua il pagamento — ovvero l'autore dell'attacco — chiama quindi transferFrom(you, attacker, balance) quando lo desiderano. L'approvazione rimane valida a tempo indeterminato, a meno che non la revochi esplicitamente tramite Revoke.cash oppure direttamente dal contratto del token.

// What you actually signed:approvare( 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, // attacker0xffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff// max uint256 ) // Wallet UI showed: "Verify wallet ownership"

2. setApprovalForAll(operator, true) — collezione completa di NFT

Peggio dell'approvazione dello standard ERC-20, perché è "tutto o niente" per ogni collezione. Una sola firma = tutti gli NFT presenti in quel contratto possono ora essere trasferiti dall'autore dell'attacco. È così che Seth Green ha perso 4 Bored Apes nel 2022 e che una singola vittima ha perso 14 BAYC a causa della truffa delle licenze della falsa "Forte Pictures" nel dicembre 2022.

setApprovalForAll( 0xattacker..., // "operator"vero// approved for the entire collection )

3. EIP-2612 / Firme off-chain con Permit2

Questo è il 2024–2026: l'arma preferita. Anziché un sistema on-chain approve() (il che comporta un consumo di gas e si riflette chiaramente sul tuo portafoglio), l'autore dell'attacco raccoglie una firma EIP-712 off-chain tramite eth_signTypedData_v4. Nessuna transazione. Nessun gas da parte tua. Solo un pop-up che dice "Firma questo messaggio". L'interfaccia utente del wallet per la firma dei dati digitati è notoriamente di difficile lettura, e quella di Uniswap Permesso 2 trasforma una firma in approvazioni per più token contemporaneamente.

// What [REDACTED] showed you:// "PermitSingle"// spender: 0x000000000022D473030F116dDEE9F6B43aC78BA3// ...looks fine, that's the real Permit2 contract...// What it actually authorized: { "dettagli": { "token": "0xUSDC...", "importo": "1461501637330902918203684832716283019655932542975", // max"scadenza": 281474976710655// year ~10889 }, "spendaccione": "0xattacker...", "sigDeadline": 9999999999 }

Vedi Il caso di studio completo di Blockaid su Permit2 per una guida dettagliata all'attacco, che include il trucco del routing su SushiSwap che nasconde il drenaggio di ETH all'interno di quello che sembra un normale swap.

4. Ingegneria sociale diretta tramite frase-seme

Tecnicamente non è un “drainer” secondo la definizione restrittiva, ma è la variante con il rendimento più elevato nel 2026. Il Gennaio 2026: l'incidente di [REDACTED] non ha aggirato alcuna crittografia. Un “addetto all’assistenza” ha chiamato la vittima, l’ha guidata attraverso una finta procedura di “verifica” e l’ha indotta a leggere ad alta voce il seed di recupero. Risultato: 1.459 BTC + 2,05 milioni di LTC = 284 milioni di dollari, pari al 71% delle perdite totali dovute a furti di criptovalute in quel mese, convertite in Monero prima che la notizia facesse il giro dei media.

I portafogli hardware impediscono l'estrazione remota delle chiavi. Tuttavia, non impediscono di digitare il proprio seed sul sito web di un phisher. Utilizza un Passphrase BIP-39.

L'economia del "Drainer-as-a-Service"

Nessuno degli attori che in realtà ti rubano i soldi scrive il codice. Loro affitto it. Il Drainer-as-a-Service (DaaS) è un mercato B2B completamente standardizzato, caratterizzato da branding, fasce di prezzo, canali di assistenza, rilascio di nuove versioni e un’evidente pressione al ribasso sulle commissioni degli operatori.

Inferno
Estremamente sofisticato. Configurazione on-chain (BNB), C2 crittografato con AES, protezione anti-debugger, routing tramite SushiSwap. Analisi CP
riduzione del 15–20%
Angel (GhostSec)
Multicatena, standardizzato — versioni con numerazione progressiva come nel software commerciale (v8.2, v8.3...).
riduzione del 20%
CLINKSINK
Basato su JS, incentrato su Solana. Il kit utilizzato nell’attacco a Mandiant X (900.000 dollari) e nella violazione della SEC.
riduzione del ~20%
Rosa
Specializzato in NFT. Record per singola vittima: 320.000 dollari in BAYC/MAYC/Otherdeed in un’unica transazione.
riduzione del ~20%
MS Drainer
$59M from 63K victims via X (Twitter) sponsored ads, March–November 2023. ScamSniffer
var.
Rugging multi-chain
Strategia di leader di prezzo: offre commissioni inferiori rispetto ad Angel/Inferno per conquistare quote di mercato.
riduzione del 5–10%

Costo di iscrizione per un affiliato: a $5,000–$10,000 deposit, a volte sotto forma di kit "chiavi in mano" per lo stesso scopo. L'affiliato trattiene il 75–95% dei fondi sottratti e affida all'operatore ogni aspetto tecnico — payload JS, smart contract, hosting, canale di riciclaggio e persino l'assistenza su [REDACTED] 24 ore su 24, 7 giorni su 7. SentinelOne e il Studio accademico IMC 2025 tracciare la catena di approvvigionamento in modo dettagliato.

Ecco perché le rimozioni isolate di tipo “acchiappa-topo” non bastano — ed ecco perché registrar che ignorano gli abusi rappresentano il vero collo di bottiglia. THE ENABLERS REGISTRY ha documentato e segnalato Oltre 16.000 domini relativi a Inferno da solo.

Segnali di allarme prima di firmare

La finestra di dialogo della firma rappresenta l'ultima linea di difesa. Se si verifica una di queste condizioni, annulla — non esiste alcun flusso legittimo che li richieda:

  • Sei arrivato qui tramite un risultato di ricerca sponsorizzato, un messaggio diretto o un link contenuto in un’e-mail. I risultati relativi alle criptovalute sponsorizzati sono stati compromessi su tutti i principali motori di ricerca. Naviga sempre utilizzando i segnalibri.
  • La firma è "gratuita" / "senza gas" / "off-chain". Si tratta di una firma off-chain in stile Permit2. Leggi i campi dei dati digitati. Se spender Se non ti è familiare, stanne alla larga.
  • L'importo è uint256.max, 0xfff…fff, ovvero "illimitato". Quasi nessun flusso legittimo richiede un’approvazione illimitata.
  • La funzione è setApprovalForAll su una collezione che non riconosci. Oppure per un "operatore" che non sia [REDACTED] / Blur / LooksRare.
  • Il sito richiede di cambiare catena subito dopo la connessione. Ciclo di estrazione multi-catena in corso.
  • Il contratto di destinazione è stato implementato meno di 7 giorni fa. I "drainer" della classe Inferno alternano i contratti intermedi ogni 24 ore.
  • Ti senti sotto pressione. Contatori alla rovescia, "l'offerta scade tra 4:32", "rimangono solo 12 posti" — tutti i modelli di Drainer includono questi elementi.
  • È stato il "servizio clienti" a contattarti per primo. [REDACTED], [REDACTED], [REDACTED], NASDAQ:COIN, LEI:5493004F7TI6QBM4WX72: nessuno di loro ti manda messaggi privati. Mai.

Come difendersi davvero

  • Separazione dei portafogli. Cold wallet (hardware, la maggior parte del patrimonio) → hot wallet operativo (1–2 settimane di attività) → burner wallet (qualsiasi cosa nuova, saldo quasi pari a zero). Non collegare mai il cold wallet a una dApp nuova.
  • Portafoglio hardware + passphrase BIP-39. La passphrase è ciò che fa la differenza tra “l’incidente [REDACTED] da 284 milioni di dollari” e “l’hacker ha il tuo seed ma non trova nulla”. Memorizzala. Non salvarla in formato digitale.
  • Simulatori di transazioni.Blockaid, Protezione per portafoglio, Pocket Universe, Fire — installane uno. Ti mostrano l'effettivo variazione di saldo prima di confermare.
  • Aggiungi tutte le dApp ai preferiti. Non digitare mai "uniswap" su Google. Non cliccare mai sui link relativi alle criptovalute che trovi sui social media. I risultati sponsorizzati sono sbagliati molto più spesso di quanto pensi.
  • Verifica settimanalmente le tue approvazioni.Revoke.cash Mostra tutte le autorizzazioni attive su ogni catena. Revoca quelle che non utilizzi attivamente.
  • Prima di visitare un sito che non conosci, provalo su un account temporaneo. Svuota il portafoglio, guarda cosa ti chiede e poi decidi se vale davvero la pena avere un vero portafoglio.
  • Disattiva le estensioni del browser nel profilo del portafoglio. Un profilo del browser separato (o una finestra di Brave Tor) dedicato esclusivamente al Web3. Le estensioni sono una fonte documentata di consumo di risorse — vedi L'analisi della catena di approvvigionamento di [REDACTED] su npm.
  • Verifica la reputazione del dominio. Inserisci l'URL in Rapporti sul dominio THE ENABLERS REGISTRY, urlscan, oppure il nostro bot su [REDACTED]. Se l'abbiamo già visto, è contrassegnato.

Se hai già firmato: fallo entro i prossimi 60 secondi

  1. Basta. Non firmare nient’altro, comprese le richieste relative a “riparazioni” o “recupero”: si tratta di truffe di secondo livello che sfruttano il tuo stato di panico.
  2. Sposta tutto ciò che non è ancora stato svuotato. Crea un portafoglio nuovo di zecca (preferibilmente hardware) e trasferiscici gli asset rimasti. Inizia da quelli di valore più elevato. Tratta ogni l'indirizzo derivato dalla chiave compromessa è considerato definitivamente cancellato.
  3. Revocare le approvazioni sul portafoglio compromesso tramite Revoke.cash — per ogni blockchain, non solo per Ethereum. È una corsa contro l’automazione dell’autore dell’attacco.
  4. Documentate tutto. Hash Tx, indirizzi degli autori dell'attacco, timestamp, URL esatto del sito di possibly phishing. Screenshot prima di chiudere la scheda.
  5. Relazione. Archiviare con FBI IC3, l'unità locale competente in materia di crimini informatici, i protocolli interessati (Uniswap, [REDACTED], ecc. — a volte bloccano i derivati) e inviare l'URL di possibly phishing a @EnablersRegistry così mettiamo fuori uso l'infrastruttura per la prossima vittima.
  6. Se una frase di seed fosse stata divulgata: Il portafoglio è andato perso. Smettila di cercare di “metterlo al sicuro”. Volta pagina, ricomincia da capo, impara da questa esperienza.

"I 'drainer' non compromettono la crittografia. Compromettono l'ipotesi secondo cui gli esseri umani siano in grado di leggere i calldata alla velocità richiesta dai portafogli. Basta rallentare di una sola firma e l'intero settore dei furti crolla."

Come agisce THE ENABLERS REGISTRY contro i "drainer"

Siamo un collettivo di operatori senza scopo di lucro. Cerchiamo infrastrutture di draining 24 ore su 24, 7 giorni su 7, su SEO, annunci a pagamento, [REDACTED], X, [REDACTED] e honeypot dei registrar, per poi eliminarle.

  • 785.000+ Domini utilizzati per attività di possibly phishing e truffe monitorati dal 2019.
  • 89.000+ segnalazioni di abusi presentate a registri e provider di hosting.
  • 50+ I fornitori di soluzioni antivirus e le piattaforme di intelligence sulle minacce utilizzano il nostro feed.
  • <0,5% tasso di falsi positivi su oltre 100.000 referti convalidati.
  • Gratuito, pubblico, immutabile archivio delle prove su GitHub + HuggingFace.

Hai trovato un sito di download? Invia l'URL a @EnablersRegistry. Presenteremo la denuncia per maltrattamenti prima ancora che il tuo caffè si raffreddi.

#CryptoDrainer#Web3Security#WalletDrainer#Permit2#DaaS#Inferno

Condividi questo articolo

Indagini correlate

CASO DI STUDIO
[REDACTED] Drainer: indagine a livello di pannello
METODOLOGIA
Analisi di una rimozione di un attacco di possibly phishing
INDAGINE
IANA #1479, IANA #460, IANA #3765: registrar che favoriscono le truffe

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings