Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / PT BR / CRYPTO DRAINER ANATOMY

Análise do Crypto Drainer: US$ 1,93 bilhão roubado

The Enablers Registry·Editorial mirror·/pt-br/crypto-drainer-anatomy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

AMEAÇA DA WEB3

A anatomia de um golpe de criptomoedas: como US$ 1,93 bilhão desapareceram em 6 meses

Um drainer não rouba sua frase-semente. Ele rouba sua assinatura. Um clique — basta um clique no botão errado “Reivindicar”, “Verificar” ou “Conectar carteira” — e uma sequência de contratos inteligentes pré-configurados esvazia seus ativos antes mesmo que você consiga tirar o dedo do trackpad.

Anatomia de um ladrão de carteiras de criptomoedas — cadeia de ataque em seis etapas
$1.93B
Perdas no primeiro semestre de 2025
+540% em relação a 2023
$284M
Uma única vítima, janeiro de 2026
Golpe envolvendo a frase-semente do [REDACTED]
Mais de 320 mil
Vítimas em 2023
~900 por dia
$5–10K
Custo inicial do DaaS
kit pronto para uso

O que é, na verdade, um drainer

A drenador de criptomoedas é uma ferramenta de possibly phishing criada especificamente para a Web3. Ela não tenta roubar sua senha nem extrair uma chave privada. Em vez disso, ela faz com que você assinar uma transação — geralmente um approve(), setApprovalForAll(), ou fora da cadeia Permit mensagem — que concede ao invasor permissão para movimentar seus ativos à vontade. A carteira continua sendo “sua”. Os fundos, não.

O modelo é extremamente eficiente porque faz uso excessivo de legítimo primitivas de blockchain. Sua chave privada nunca fica comprometida. Não há malware no seu computador. Há apenas uma assinatura, em uma transação, que os analistas da cadeia de blocos verão e cujo efeito não pode ser revertido por nenhuma autoridade.

De acordo com Chainalysis, um “drainer” é “uma ferramenta de possibly phishing projetada para o ecossistema web3” que se faz passar por um dApp legítimo. Group-IB, Check Point Research, e ScamSniffer já catalogamos milhares de campanhas baseadas exatamente nessa mecânica.

A cadeia de ataque em 6 etapas

Todos os ataques do tipo “drainer” — Inferno, Pink, Angel, MS, CLINKSINK, Rugging e as dezenas de bifurcações sem nome — seguem as mesmas seis etapas. A arte está em condensar todas elas nos segundos que se passam entre a conexão da carteira e a confirmação da transação.

1 Lure airdrop / ad / DM 2 Connect wallet hooked 3 Recon analyzeWallet() 4 Sign approve / permit 5 Drain transferFrom() 6 Launder DEX → bridge → XMR SOCIAL ENGINEERING TECHNICAL EXECUTION EXFILTRATION

1. Isca

Airdrops falsos, anúncios patrocinados do Google/X, contas verificadas comprometidas (as Contas da SEC e da Mandiant (ambos já foram usados como “megafones de drenagem”), bots de verificação do [REDACTED], emissões falsas de NFTs, convites “exclusivos” para versões beta e golpes envolvendo licenciamento de propriedade intelectual. Seja qual for a forma que assumam, o objetivo é levá-lo a um domínio controlado pelo invasor.

2. Conectar

Você clica em “Conectar carteira”. [REDACTED], Rabby, WalletConnect, [REDACTED] — tudo certo, tudo como esperado. O JavaScript do drainer agora tem acesso de leitura ao objeto da sua carteira por meio de window.ethereum (ou o equivalente) e começa a atirar eth_call solicitações em segundo plano.

3. Recon

O drainer lista seus ativos: saldo nativo, tokens ERC-20, coleções de NFTs e posições em DeFi em várias cadeias. Ele consulta oráculos de preço no estilo CoinGecko para converter tudo para dólares americanos. Pacotes premium como Drenador do Inferno armazenar suas configurações na cadeia (BNB Chain) para que possa ser atualizado sem a necessidade de reimplantar o código JavaScript.

4. Assinar

O dApp solicita que você “Verifique a propriedade”, “Reclame o airdrop”, “Aprove a coleta” ou “Assine para entrar”. A interface do usuário da carteira exibe o que parece ser uma mensagem inofensiva. Na realidade, os calldata são cuidadosamente selecionados para maximizar os danos — veja a próxima seção.

5. Escorrer

Assim que você assinar, o invasor entra em contato transferFrom() de uma carteira separada (separação operacional — o “Endereço” que recebeu a aprovação nunca é o “Destinatário” que detém o saque). Os kits premium agrupam ETH nativo, tokens ERC-20, NFTs ERC-721/1155 e transferências Permit2 em um único multicall. Latência líquida entre a assinatura e a movimentação de fundos: segundos.

6. Lavar

Os fundos passam pelo SushiSwap/Uniswap (as DEXs legítimas são deliberadamente incluídas na lista de permissões pela maioria das ferramentas de segurança), depois por pontes para outras cadeias, em seguida por bifurcações do Tornado Cash e, por fim, chegam ao Monero. O $284M [REDACTED] incident acabou indo para o XMR em questão de horas.

Sua carteira (antes de assinar)

ETH2.4815
USDC18,420.00
WBTC0.34
BAYC #42911 NFT
stETH12.1

Contrato do atacante (após uma assinatura)

ETH+2.4815
USDC+18,420.00
WBTC+0.34
BAYC #4291+1 NFT
stETH+12.1

Um assinado Permit2 Essa mensagem pode autorizar todo o lote. Não há segunda confirmação. Não há recuperação.

As quatro cargas letais

Todo drainer na natureza utiliza alguma combinação dessas quatro primitivas. Cada uma delas é uma legítimo Padrão ERC ou método RPC. Não existe nenhum “patch” — apenas conscientização.

1. approve(spender, type(uint256).max) — Gastos ilimitados com ERC-20

O clássico. Você aprova um contrato de token pelo valor máximo possível (2^256 − 1) para um endereço de destinatário que você não controla. O destinatário — ou seja, o invasor — então chama transferFrom(you, attacker, balance) quando quiserem. A aprovação é válida para sempre, a menos que você a revogue explicitamente por meio de Revoke.cash ou diretamente no contrato do token.

// What you actually signed:aprovar( 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, // attacker0xffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff// max uint256 ) // Wallet UI showed: "Verify wallet ownership"

2. setApprovalForAll(operator, true) — coleção completa de NFTs

Pior do que a aprovação do ERC-20, porque é tudo ou nada por coleção. Uma assinatura = todos os NFTs desse contrato passam a poder ser movimentados pelo invasor. Foi assim que Seth Green perdeu 4 Bored Apes em 2022 e que uma única vítima perdeu 14 BAYCs devido ao golpe falso de licenciamento da “Forte Pictures” em dezembro de 2022.

setApprovalForAll( 0xattacker..., // "operator"verdadeiro// approved for the entire collection )

3. EIP-2612 / Assinaturas fora da cadeia do Permit2

Este é o Arma preferida para o período de 2024 a 2026. Em vez de uma solução na cadeia approve() (o que custa gás e fica bem visível na sua carteira), o invasor coleta uma assinatura EIP-712 fora da cadeia por meio de eth_signTypedData_v4. Sem transação. Sem gás por parte do usuário. Apenas uma janela pop-up que diz “Assine esta mensagem”. A interface do usuário da carteira para assinatura de dados digitados é notoriamente difícil de ler, e a do Uniswap Autorização 2 transforma uma assinatura em aprovações para vários tokens de uma só vez.

// What [REDACTED] showed you:// "PermitSingle"// spender: 0x000000000022D473030F116dDEE9F6B43aC78BA3// ...looks fine, that's the real Permit2 contract...// What it actually authorized: { "detalhes": { "token": "0xUSDC...", "valor": "1461501637330902918203684832716283019655932542975", // max"vencimento": 281474976710655// year ~10889 }, "desperdiçador": "0xattacker...", "sigDeadline": 9999999999 }

Veja Estudo de caso completo da Blockaid sobre o Permit2 para um passo a passo de um ataque real, incluindo o truque de roteamento do SushiSwap que oculta a drenagem de ETH dentro do que parece ser uma troca normal.

4. Engenharia social direta relacionada à frase-semente

Tecnicamente, não se trata de um “drainer” na acepção estrita do termo — mas é a variante com maior rendimento em 2026. O Incidente com a [REDACTED] em janeiro de 2026 não contornou nenhuma criptografia. Um “agente de suporte” ligou para a vítima, orientou-a durante um falso processo de “verificação” e fez com que ela lesse em voz alta a sequência de recuperação. Resultado: 1.459 BTC + 2,05 milhões de LTC = US$ 284 milhões, 71% de todas as perdas decorrentes de roubos de criptomoedas naquele mês, convertidas em Monero antes que a mídia começasse a dar destaque ao assunto.

As carteiras de hardware impedem a extração remota de chaves. Elas não impedem que você digite sua semente no site de um phisher. Use uma Senha BIP-39.

A economia do “Drainer-as-a-Service”

Nenhum dos atores que, na verdade, roubam seu dinheiro escreve o código. Eles aluguel O Drainer-as-a-Service (DaaS) é um mercado B2B totalmente comoditizado, com marca própria, faixas de preços, canais de suporte, lançamentos de versões e uma pressão evidente para a redução das comissões das operadoras.

Inferno
Extremamente sofisticado. Configuração na cadeia (BNB), C2 criptografado com AES, proteção contra depuradores, roteamento via SushiSwap. Análise de CP
Redução de 15 a 20%
Angel (GhostSec)
Multicadeia, padronizado — lançamentos com versões, como em softwares comerciais (v8.2, v8.3...).
redução de 20%
CLINKSINK
Baseado em JS, voltado para Solana. O kit responsável pelo ataque ao Mandiant X (US$ 900 mil) e pela invasão da SEC.
redução de ~20%
Rosa
Focado em NFTs. Recorde de uma única vítima: US$ 320 mil em BAYC/MAYC/Otherdeed em uma única transação.
redução de ~20%
MS Drainer
$59M from 63K victims via X (Twitter) sponsored ads, March–November 2023. ScamSniffer
var.
Tapete Multicadeia
Estratégia de líder de preços: oferece comissões mais baixas do que a Angel/Inferno para conquistar volume de vendas.
Redução de 5 a 10%

Custo de adesão para um afiliado: a $5,000–$10,000 deposit, às vezes um kit pronto para uso para esse fim. O afiliado fica com 75–95% dos fundos roubados e terceiriza todas as questões técnicas — carga útil em JS, contrato inteligente, hospedagem, Pipeline de lavagem de dinheiro e até mesmo suporte 24 horas por dia, 7 dias por semana, pelo [REDACTED] — para o operador. SentinelOne e o Estudo acadêmico do IMC 2025 rastrear a cadeia de suprimentos em detalhes.

É por isso que remoções pontuais do tipo “bater na cabeça do toupeira” não são suficientes — e por que registradores que ignoram casos de abuso são o verdadeiro gargalo. O THE ENABLERS REGISTRY documentou e relatou Mais de 16.000 domínios relacionados ao Inferno sozinho.

Sinais de alerta antes de assinar

A caixa de diálogo de assinatura é a última linha de defesa. Se alguma dessas condições for verdadeira, cancelar — não há nenhum fluxo legítimo que exija isso:

  • Você chegou aqui por meio de um resultado de busca patrocinado, de uma mensagem direta ou de um link enviado por e-mail. Os resultados patrocinados relacionados a criptomoedas têm sido comprometidos em todos os principais mecanismos de busca. Sempre acesse os sites a partir de um favorito.
  • A assinatura é “gratuita” / “sem gás” / “fora da cadeia”. Essa é uma assinatura fora da cadeia no estilo Permit2. Leia os campos de dados digitados. Se spender Se não estiver familiarizado com isso, afaste-se.
  • O valor é uint256.max, 0xfff…fff, ou “ilimitado”. Praticamente nenhum fluxo legítimo precisa de aprovação ilimitada.
  • A função é setApprovalForAll em uma cobrança que você não reconhece. Ou para uma “plataforma” que não seja [REDACTED] / Blur / LooksRare.
  • O site solicita que você troque de cadeia logo após se conectar. Ciclo de extração em múltiplas cadeias em andamento.
  • O contrato de destino foi implantado há menos de 7 dias. Os drenadores da classe Inferno alternam os contratos intermediários a cada 24 horas.
  • Você se sente pressionado. Contadores regressivos, “a promoção termina em 4:32”, “restam apenas 12 vagas” — todos os modelos do Drainer vêm com esses recursos.
  • O “atendimento ao cliente” entrou em contato com você primeiro. [REDACTED], [REDACTED], [REDACTED], NASDAQ:COIN, LEI:5493004F7TI6QBM4WX72 — nenhum deles manda mensagens diretas para você. Nunca.

Como realmente se defender

  • Segregação de carteiras. Carteira fria (hardware, a maior parte do patrimônio líquido) → carteira quente operacional (1–2 semanas de atividade) → carteira descartável (qualquer coisa nova, saldo quase zero). Nunca conecte a carteira fria a um dApp novo.
  • Carteira de hardware + senha BIP-39. A senha é o que faz a diferença entre o “incidente com o [REDACTED] de US$ 284 milhões” e o “o invasor tem sua semente e não encontra nada”. Memorize-a. Não a armazene digitalmente.
  • Simuladores de transações.Blockaid, Protetor de carteira, Pocket Universe, Fire — instale um deles. Eles mostram a variação real do saldo antes de você assinar.
  • Adicione todas as dApps aos favoritos. Nunca digite “uniswap” no Google. Nunca clique em links relacionados a criptomoedas nas redes sociais. O resultado patrocinado está errado com muito mais frequência do que você imagina.
  • Verifique suas aprovações semanalmente.Revoke.cash Mostra todas as autorizações ativas em todas as cadeias. Revogue tudo o que você não usa ativamente.
  • Sempre verifique primeiro qualquer site desconhecido usando um proxy temporário. Esvazie a carteira, veja o que ela exige e, então, decida se vale a pena ter uma carteira de verdade.
  • Desative as extensões do navegador no perfil da carteira. Um perfil separado do navegador (ou janela do Brave Tor) exclusivamente para a Web3. As extensões são um vetor de consumo de recursos comprovado — consulte A análise da cadeia de suprimentos do [REDACTED] no npm.
  • Verifique a reputação do domínio. Cole a URL em Relatórios sobre o domínio THE ENABLERS REGISTRY, urlscan ou nosso bot do [REDACTED]. Se já tivermos visto, está marcado.

Se você já assinou: faça isso nos próximos 60 segundos

  1. Pare. Não assine mais nada, nem mesmo documentos relacionados a “correções” ou “recuperação” — esses são golpes de segunda fase que se aproveitam do seu pânico.
  2. Remova tudo o que ainda não tiver sido drenado. Crie uma carteira totalmente nova (de preferência, de hardware) e transfira os ativos remanescentes para ela. Comece pelos de maior valor. Trate todos os endereço derivado da chave comprometida como gravado permanentemente.
  3. Revogar aprovações na carteira comprometida por meio de Revoke.cash — para todas as cadeias, não apenas para a Ethereum. Trata-se de uma corrida contra a automação do invasor.
  4. Documente tudo. Hashes de Tx, endereços dos invasores, carimbos de data e hora, a URL exata do site de possibly phishing. Captura de tela antes de fechar a aba.
  5. Relatório. Arquivar com FBI IC3, a unidade local de combate ao crime cibernético, os protocolos afetados (Uniswap, [REDACTED], etc. — às vezes eles bloqueiam derivativos) e envie o link de possibly phishing para @EnablersRegistry Então, destruímos a infraestrutura da próxima vítima.
  6. Caso uma frase-semente tenha sido divulgada: A carteira se foi. Pare de tentar “protegê-la”. Siga em frente, comece do zero, aprenda com isso.

"Os 'drainers' não comprometem a criptografia. Eles desmentem a suposição de que os seres humanos conseguem ler os dados de chamadas na velocidade exigida pelas carteiras. Basta diminuir o ritmo em uma assinatura para que toda a indústria do roubo entre em colapso."

O que o THE ENABLERS REGISTRY faz em relação aos “drainers”

Somos um coletivo de operadores sem fins lucrativos. Buscamos infraestruturas de drainer 24 horas por dia, 7 dias por semana, em SEO, anúncios pagos, [REDACTED], X, [REDACTED] e honeypots de registradores, e então as eliminamos.

  • Mais de 785 mil domínios de possibly phishing e golpes rastreados desde 2019.
  • Mais de 89 mil denúncias de abuso apresentadas a registradores e provedores de hospedagem.
  • 50+ Fornecedores de soluções antivírus e plataformas de inteligência contra ameaças utilizam nosso feed.
  • <0,5% taxa de falsos positivos em mais de 100 mil relatórios validados.
  • Gratuito, público, imutável arquivo de evidências sobre GitHub + HuggingFace.

Viu um drainer? Envie o URL para @EnablersRegistry. Vamos registrar a denúncia de abuso antes mesmo que seu café esfrie.

#CryptoDrainer#Web3Security#WalletDrainer#Permit2#DaaS#Inferno

Compartilhe este artigo

Investigações relacionadas

ESTUDO DE CASO
[REDACTED] Drainer: investigação no nível do painel
METODOLOGIA
Análise de uma operação de remoção de possibly phishing
INVESTIGAÇÃO
IANA #1479, IANA #460, IANA #3765: Registradores que facilitam golpes

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings