Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / JA / CRYPTO DRAINER ANATOMY

「Crypto Drainer」の仕組み:19億3000万ドルが盗まれる

The Enablers Registry·Editorial mirror·/ja/crypto-drainer-anatomy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

WEB3の脅威

仮想通貨ドレイナーの正体:6ヶ月で19億3000万ドルが消えた経緯

ドレイナーはシードフレーズを盗むわけではありません。盗むのはあなたの 署名。たった1回のクリック――間違った「請求」、「確認」、あるいは「ウォレットを接続」を1回クリックするだけで――あらかじめ構築された一連のスマートコントラクトが、トラックパッドから指を離す間もなく、あなたの保有資産をすべて奪い去ってしまう。

仮想通貨ウォレットの資金を吸い上げる手口の解剖――6段階のキルチェーン
$1.93B
2025年上半期の損失
2023年比で+540%
$284M
被害者は1名、2026年1月
[REDACTED]のシードフレーズ詐欺
32万以上
2023年の被害者
毎日約900
$5–10K
DaaSの導入コスト
ターンキーキット

「ドレイナー」とは一体何なのか

A 暗号資産の不正引き出し は、Web3向けに特別に開発されたフィッシングツールです。このツールは、パスワードを盗んだり、秘密鍵を抜き取ったりしようとはしません。その代わりに、ユーザーを 取引に署名する — 通常は approve(), setApprovalForAll()、あるいはオフチェーンの Permit メッセージ――これにより、攻撃者はあなたの資産を自由に移動させる権限を手にすることになります。ウォレットは「あなたのもの」のままですが、資金はそうではありません。

このモデルは、以下を悪用しているため、極めて効率的である。 正当な ブロックチェーンのプリミティブ。秘密鍵が漏洩することは決してありません。お使いの端末にマルウェアは存在しません。オンチェーンの分析者が確認できるのは、たった1つのトランザクションに対する1つの署名のみであり、その効果はいかなる権限によっても取り消すことはできません。

によると Chainalysis、ドレイナーとは、「Web3エコシステム向けに設計されたフィッシングツール」であり、正規のdAppを装うものです。 Group-IB, チェック・ポイント・リサーチ、および ScamSniffer この仕組みを基盤とした何千ものキャンペーンを分類・整理してきました。

6段階のキルチェーン

「インフェルノ」、「ピンク」、「エンジェル」、「MS」、「CLINKSINK」、「ラギング」、そして数十もの名もなきフォークなど、あらゆるドレイナー攻撃は、すべて同じ6つの段階を経ます。その妙は、これらすべてを、ウォレットの接続から取引の確認に至るまでの数秒間に凝縮することにあります。

1 Lure airdrop / ad / DM 2 Connect wallet hooked 3 Recon analyzeWallet() 4 Sign approve / permit 5 Drain transferFrom() 6 Launder DEX → bridge → XMR SOCIAL ENGINEERING TECHNICAL EXECUTION EXFILTRATION

1. ルアー

偽のエアドロップ、Google/Xのスポンサー広告、乗っ取られた認証済みアカウント(その SECおよびマンディアントのアカウント (いずれも「ドレイナー・メガホン」として悪用されてきた)、[REDACTED]の認証ボット、偽のNFTミント、「限定」ベータ版招待、IPライセンス詐欺などです。どのような手口であれ、その目的は、攻撃者が管理するドメインにユーザーを誘導することにあります。

2. 接続する

「ウォレットを接続」をクリックします。[REDACTED]、Rabby、WalletConnect、[REDACTED]――どれも問題なく、想定通りの動作です。これで、ドレイナーのJavaScriptは、以下を通じてウォレットオブジェクトへの読み取りアクセス権を取得しました。 window.ethereum (またはそれに相当するもの)を装備し、発砲を開始する eth_call バックグラウンドでのリクエスト。

3. 偵察

このドレイナーは、ユーザーの保有資産(ネイティブバランス、ERC-20トークン、NFTコレクション、複数チェーンにわたるDeFiポジション)を一覧表示します。CoinGecko風の価格オラクルにアクセスし、すべての資産を米ドル建てで評価します。プレミアムキットなど インフェルノ・ドレイナー 設定を保存する オンチェーン (BNB Chain) これにより、JSペイロードを再デプロイすることなく更新が可能になります。

4. 署名

dAppは、「所有権の確認」、「エアドロップの受け取り」、「コレクションの承認」、あるいは「署名してアクセス」といった操作を促します。ウォレットのUIには、一見無害に見えるメッセージが表示されます。しかし実際には、被害を最大化するようにcalldataが慎重に選択されています。詳細は次のセクションをご覧ください。

5. 水を切る

署名が完了したその瞬間、攻撃者が電話をかけてくる transferFrom() 別のウォレットから(運用上の分離 — 承認を受け取った「アドレス」は、戦利品を保有する「受取人」とは決して同一ではありません)。プレミアムキットでは、ネイティブETH、ERC-20、ERC-721/1155 NFT、およびPermit2転送を1つのバッチにまとめて処理します。 multicall. 署名から資金移動までのネット遅延: .

6. 洗濯する

資金はSushiSwap/Uniswapを経由し(正規のDEXは、ほとんどのセキュリティツールによって意図的に許可リストに登録されている)、その後ブリッジを通じて他のチェーンへ、さらにTornado Cashのフォークを経由して、最終的にMoneroへと送金される。その $284M [REDACTED] incident 数時間のうちにXMRに振り込まれた。

お客様の財布(署名前)

ETH2.4815
USDC18,420.00
WBTC0.34
BAYC #42911 NFT
stETH12.1

アタッカー契約(署名1件後)

ETH+2.4815
USDC+18,420.00
WBTC+0.34
BAYC #4291+1 NFT
stETH+12.1

署名入り1点 Permit2 このメッセージにより、バッチ全体が承認されます。2回目の確認はありません。復元もできません。

4つの殺傷用ペイロード

実環境で使用されるすべてのドレーナーは、これら4つのプリミティブの何らかの組み合わせを利用しています。それぞれは 正当な ERC規格かRPC方式か。「パッチ」など存在せず、意識することだけが重要だ。

1. approve(spender, type(uint256).max) — ERC-20の無制限利用

定番の手法です。トークン契約を、可能な限り最大の金額で承認します(2^256 − 1) を、自分が管理していない送信元アドレスに送信します。その後、送信元(つまり攻撃者)は transferFrom(you, attacker, balance) 都合の良い時に。この承認は、以下を通じて明示的に取り消さない限り、永久に有効です。 Revoke.cash あるいは、トークン契約を直接。

// What you actually signed:承認する( 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, // attacker0xffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff// max uint256 ) // Wallet UI showed: "Verify wallet ownership"

2. setApprovalForAll(operator, true) — NFTコレクション全点

ERC-20の承認よりもさらに悪い。というのも、それは コレクションごとの「オール・オア・ナッシング」. 署名1回=そのコントラクト内のすべてのNFTが、攻撃者によって移動可能になってしまう。これが、2022年にセス・グリーンが4体の「Bored Ape」を失った経緯であり、2022年12月に1人の被害者が偽の「Forte Pictures」ライセンス詐欺によって14体のBAYCを失った経緯でもある。

setApprovalForAll( 0xattacker..., // "operator"true// approved for the entire collection )

3. EIP-2612 / Permit2のオフチェーン署名

これは 2024~2026年の主力兵器. オンチェーンの代わりに approve() (これはガス代がかかり、お財布の残高に明確に反映されます)、攻撃者はオフチェーンの EIP-712 署名を以下を通じて収集します eth_signTypedData_v4. 取引は発生しません。ユーザー側でのガス代もかかりません。単に「このメッセージに署名してください」というポップアップが表示されるだけです。入力データへの署名を行うウォレットのUIは、読みづらいことで悪名高いですが、Uniswapの Permit2 1つの署名を、以下の承認に変換します 一度に複数のトークン.

// What [REDACTED] showed you:// "PermitSingle"// spender: 0x000000000022D473030F116dDEE9F6B43aC78BA3// ...looks fine, that's the real Permit2 contract...// What it actually authorized: { 「詳細」: { 「トークン」: 「0xUSDC...」, 「金額」: "1461501637330902918203684832716283019655932542975", // max「有効期限」: 281474976710655// year ~10889 }, 「浪費家」: 「0xattacker…」, "sigDeadline": 9999999999 }

参照 BlockaidによるPermit2のケーススタディ全文 一見通常のスワップのように見せかけながら、実際にはETHの流出を隠す「SushiSwapルーティングの手口」を含む、実際の攻撃の手順解説。

4. シードフレーズを直接狙ったソーシャルエンジニアリング

厳密な定義では「ドレイナー」とは呼べないが、2026年には最も収量の高い品種となる。この 2026年1月の[REDACTED]事件 暗号化を一切回避したわけではない。「サポート担当者」を名乗る人物が被害者に電話をかけ、偽の「本人確認」手続きを誘導し、リカバリーシードを読み上げさせた。結果: 1,459 BTC + 2.05M LTC = 284Mドル、その月の仮想通貨盗難被害総額の71%を占めており、ニュースで取り上げられる前にモネロに換金されていた。

ハードウェアウォレットは、リモートでの鍵の抽出を防ぎます。ただし、フィッシング詐欺のウェブサイトにシードを入力してしまうことを防ぐことはできません。以下の方法を使用してください。 BIP-39 パスフレーズ.

「ドレイナー・アズ・ア・サービス」経済

実際にあなたのお金をだまし取る俳優たちは、誰もコードを書いていません。彼らは 家賃 「Drainer-as-a-Service(DaaS)」は、ブランディング、価格帯、サポートチャネル、バージョンリリースが確立され、事業者への手数料には明らかな引き下げ圧力がかかっている、完全にコモディティ化したB2B市場である。

インフェルノ
極めて洗練されている。オンチェーン設定(BNB)、AES暗号化されたC2、デバッガー対策、SushiSwapルーティング。 CP分析
15~20%の削減
エンジェル(GhostSec)
マルチチェーン、製品化済み — 商用ソフトウェアのようにバージョン管理されたリリース(v8.2、v8.3…)。
20%削減
CLINKSINK
JavaScriptベースで、Solanaに特化。Mandiant Xの乗っ取り事件(90万ドル)やSECへの不正アクセス事件の背景にあるツール。
約20%の削減
ピンク
NFTに特化。単一の被害者による取引記録:1回の取引でBAYC/MAYC/Otherdeedを合計32万ドル分。
約20%の削減
MSドレイナー
$59M from 63K victims via X (Twitter) sponsored ads, March–November 2023. ScamSniffer
var.
ラギング・マルチチェーン
価格主導戦略:Angel/Infernoよりも手数料を安く設定し、取引量を確保する。
5~10%の削減

アフィリエイトの参加費用:a $5,000–$10,000 deposit、場合によってはそのためのターンキーキットも提供される。アフィリエイトは盗んだ資金の75~95%を懐に入れ、技術的な課題――JSペイロード、スマートコントラクト、ホスティング、資金洗浄のPipeline、さらには24時間365日の[REDACTED]サポートに至るまで――をすべてオペレーターに外注している。 SentinelOne そして、その IMC 2025 学術研究 サプライチェーンを詳細に追跡する。

だからこそ、その場しのぎの「モグラたたき」のようなテイクダウンだけでは不十分であり、その理由は…… 不正利用を放置するレジストラ が実際のボトルネックとなっています。THE ENABLERS REGISTRY はこの問題を調査・報告しており、 16,000件以上の「Inferno」関連ドメイン ただ一人。

契約前に注意すべき点

署名ダイアログは最後の防衛線です。以下のいずれかに該当する場合、 キャンセル — それらを必要とする正当な流れは存在しない:

  • あなたは、スポンサー付き検索結果、DM、またはメールのリンクから当サイトにアクセスされました。 主要な検索エンジンでは、すべてにおいてスポンサー付きの仮想通貨関連検索結果の信頼性が損なわれています。常にブックマークからアクセスするようにしてください。
  • その特徴は「無料」/「ガス代不要」/「オフチェーン」です。 これはPermit2形式のオフチェーン署名です。typed-dataフィールドを確認してください。もし spender 見覚えがないなら、その場を離れなさい。
  • その金額は uint256.max, 0xfff…fff、あるいは「無制限」。 正当な業務フローで、無制限の承認を必要とするものはほとんどありません。
  • その関数は setApprovalForAll 見覚えのないコレクションに対して。 あるいは、[REDACTED] / Blur / LooksRare 以外の「オペレーター」の場合。
  • このサイトでは、接続直後にチェーンを切り替えるよう求められます。 マルチチェーン抽出ループが実行中です。
  • その宛先契約は、7日以内にデプロイされました。 インフェルノ級のドレイナーは、24時間ごとに中間契約を更新します。
  • 焦りを感じる。 カウントダウンタイマー、「残り4分32秒」、「残り12枠のみ」――こうした要素は、すべてのドレイナーテンプレートに標準で含まれています。
  • 「カスタマーサポート」から先に連絡がありました。 [REDACTED][REDACTED][REDACTED]NASDAQ:COINLEI:5493004F7TI6QBM4WX72――これらはいずれも、あなたにDMを送ることはありません。絶対に。

実際に身を守る方法

  • ウォレットの分離。 コールドウォレット(ハードウェア、純資産の大部分)→ 運用用ホットウォレット(1~2週間分の取引)→ バーナーウォレット(新規のもの、残高がほぼゼロのもの)。コールドウォレットを新しいdAppに接続してはいけません。
  • ハードウェアウォレット + BIP-39 パスフレーズ。 パスフレーズこそが、「2億8400万ドルの[REDACTED]事件」と「攻撃者がシードを入手しても何も見つからない」という状況の分かれ目です。必ず暗記してください。デジタルで保存してはいけません。
  • 取引シミュレーター。Blockaid, ウォレットガード, ポケットユニバース、ファイア — いずれか1つをインストールしてください。サインする前に、実際の残高の変動額が表示されます。
  • すべてのdAppをブックマークする。 Googleで「uniswap」と検索してはいけません。ソーシャルメディア上の仮想通貨関連のリンクも絶対にクリックしてはいけません。スポンサーリンクは、あなたが思っている以上に間違っていることがよくあります。
  • 承認状況を毎週確認してください。Revoke.cash すべてのチェーンにわたる、現在有効なすべての割り当てを表示します。現在使用していないものはすべて無効にしてください。
  • 見慣れないサイトには、まずバーナーを通してからアクセスしましょう。 財布を空にして、何が求められるかを確認してから、それが本物の財布に値するものかどうかを判断しましょう。
  • ウォレットのプロファイルでブラウザ拡張機能を無効にしてください。 Web3専用に別のブラウザプロファイル(またはBrave Torウィンドウ)を作成します。拡張機能は、既知のパフォーマンス低下要因です。詳しくは以下を参照してください。 [REDACTED] の npm サプライチェーン分析.
  • ドメインの評判を確認してください。 URLをここに貼り付けてください THE ENABLERS REGISTRYのドメイン報告、urlscan、または 当社の[REDACTED]ボット. すでに確認済みの場合は、フラグが立てられています。

すでに署名済みの方は、次の60秒以内に以下の操作を行ってください

  1. やめて。 「修正」や「復旧」といったメッセージを含め、それ以外のものには絶対に署名しないでください。これらは、あなたのパニックにつけ込んで行われる、第二段階の詐欺です。
  2. まだ排水されていないものはすべて移動させてください。 まったく新しいウォレット(できればハードウェアウォレット)を作成し、残っている資産をそこに移し替えます。価値の高いものから順に移します。 すべての 侵害された鍵から導き出されたアドレスは、永久に焼き付けられたものとみなされる。
  3. 承認を取り消す 侵害されたウォレット経由で Revoke.cash — イーサリアムだけでなく、あらゆるブロックチェーンにおいて。これは、攻撃者の自動化との競争である。
  4. すべてを記録しておいてください。 Txハッシュ、攻撃者のアドレス、タイムスタンプ、フィッシングサイトの正確なURL。タブを閉じる前のスクリーンショット。
  5. レポート。 「~に提出」 FBI IC3、お住まいの地域のサイバー犯罪対策部署、影響を受けたプロトコル(Uniswap、[REDACTED]など――これらはデリバティブを一時停止することもあります)、およびフィッシングURLを以下の宛先に送信してください @EnablersRegistry そこで、次の犠牲者のためのインフラを破壊する。
  6. シードフレーズが開示された場合: そのウォレットはもうない。それを「守ろう」とするのはやめよう。前に進み、新たなものを生み出し、そこから学び取ろう。

「ドレイナーは暗号技術を破るわけではない。彼らが破るのは、『人間がウォレットに求められる速度でコールデータを読み取れる』という前提だ。署名1つ分の処理速度を遅らせるだけで、盗難を目的とした業界全体が崩壊する。」

THE ENABLERS REGISTRYが「ドレイナー」に対してどのような対応を行うか

私たちは非営利の運営者集団です。SEO、有料広告、[REDACTED]、X、[REDACTED]、およびレジストラのハニーポットを24時間365日体制で監視し、悪質なインフラを特定して排除しています。

  • 785K+ 2019年以降に追跡されているフィッシングおよび詐欺ドメイン。
  • 89K+ レジストラやホスティング事業者に提出された不正利用の報告。
  • 50+ セキュリティベンダーや脅威インテリジェンスプラットフォームが、当社のフィードを取り込んでいます。
  • <0.5% 10万件以上の検証済みレポートにおける偽陽性率。
  • 無料、公開、変更不可 証拠アーカイブ(以下) GitHub + HuggingFace.

「ドレイナー」を見つけましたか?そのURLを @EnablersRegistry. コーヒーが冷める前に、虐待の通報を済ませておきます。

#CryptoDrainer#Web3Security#WalletDrainer#Permit2#DaaS#Inferno

この記事をシェアする

関連する調査

事例研究
[REDACTED] Drainer:パネルレベルの調査
方法論
フィッシング攻撃のテイクダウンの全貌
調査
IANA #1479IANA #460IANA #3765:詐欺を助長するレジストラ

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings