A anatomia de um golpe de criptomoedas: como US$ 1,93 bilhão desapareceram em 6 meses
Um drainer não rouba sua frase-semente. Ele rouba sua assinatura. Um clique — basta um clique no botão errado “Reivindicar”, “Verificar” ou “Conectar carteira” — e uma sequência de contratos inteligentes pré-configurados esvazia seus ativos antes mesmo que você consiga tirar o dedo do trackpad.
O que é, na verdade, um drainer
A drenador de criptomoedas é uma ferramenta de possibly phishing criada especificamente para a Web3. Ela não tenta roubar sua senha nem extrair uma chave privada. Em vez disso, ela faz com que você assinar uma transação — geralmente um approve(), setApprovalForAll(), ou fora da cadeia Permit mensagem — que concede ao invasor permissão para movimentar seus ativos à vontade. A carteira continua sendo “sua”. Os fundos, não.
O modelo é extremamente eficiente porque faz uso excessivo de legítimo primitivas de blockchain. Sua chave privada nunca fica comprometida. Não há malware no seu computador. Há apenas uma assinatura, em uma transação, que os analistas da cadeia de blocos verão e cujo efeito não pode ser revertido por nenhuma autoridade.
De acordo com Chainalysis, um “drainer” é “uma ferramenta de possibly phishing projetada para o ecossistema web3” que se faz passar por um dApp legítimo. Group-IB, Check Point Research, e ScamSniffer já catalogamos milhares de campanhas baseadas exatamente nessa mecânica.
A cadeia de ataque em 6 etapas
Todos os ataques do tipo “drainer” — Inferno, Pink, Angel, MS, CLINKSINK, Rugging e as dezenas de bifurcações sem nome — seguem as mesmas seis etapas. A arte está em condensar todas elas nos segundos que se passam entre a conexão da carteira e a confirmação da transação.
1. Isca
Airdrops falsos, anúncios patrocinados do Google/X, contas verificadas comprometidas (as Contas da SEC e da Mandiant (ambos já foram usados como “megafones de drenagem”), bots de verificação do [REDACTED], emissões falsas de NFTs, convites “exclusivos” para versões beta e golpes envolvendo licenciamento de propriedade intelectual. Seja qual for a forma que assumam, o objetivo é levá-lo a um domínio controlado pelo invasor.
2. Conectar
Você clica em “Conectar carteira”. [REDACTED], Rabby, WalletConnect, [REDACTED] — tudo certo, tudo como esperado. O JavaScript do drainer agora tem acesso de leitura ao objeto da sua carteira por meio de window.ethereum (ou o equivalente) e começa a atirar eth_call solicitações em segundo plano.
3. Recon
O drainer lista seus ativos: saldo nativo, tokens ERC-20, coleções de NFTs e posições em DeFi em várias cadeias. Ele consulta oráculos de preço no estilo CoinGecko para converter tudo para dólares americanos. Pacotes premium como Drenador do Inferno armazenar suas configurações na cadeia (BNB Chain) para que possa ser atualizado sem a necessidade de reimplantar o código JavaScript.
4. Assinar
O dApp solicita que você “Verifique a propriedade”, “Reclame o airdrop”, “Aprove a coleta” ou “Assine para entrar”. A interface do usuário da carteira exibe o que parece ser uma mensagem inofensiva. Na realidade, os calldata são cuidadosamente selecionados para maximizar os danos — veja a próxima seção.
5. Escorrer
Assim que você assinar, o invasor entra em contato transferFrom() de uma carteira separada (separação operacional — o “Endereço” que recebeu a aprovação nunca é o “Destinatário” que detém o saque). Os kits premium agrupam ETH nativo, tokens ERC-20, NFTs ERC-721/1155 e transferências Permit2 em um único multicall. Latência líquida entre a assinatura e a movimentação de fundos: segundos.
6. Lavar
Os fundos passam pelo SushiSwap/Uniswap (as DEXs legítimas são deliberadamente incluídas na lista de permissões pela maioria das ferramentas de segurança), depois por pontes para outras cadeias, em seguida por bifurcações do Tornado Cash e, por fim, chegam ao Monero. O $284M [REDACTED] incident acabou indo para o XMR em questão de horas.
Sua carteira (antes de assinar)
Contrato do atacante (após uma assinatura)
Um assinado Permit2 Essa mensagem pode autorizar todo o lote. Não há segunda confirmação. Não há recuperação.
As quatro cargas letais
Todo drainer na natureza utiliza alguma combinação dessas quatro primitivas. Cada uma delas é uma legítimo Padrão ERC ou método RPC. Não existe nenhum “patch” — apenas conscientização.
1. approve(spender, type(uint256).max) — Gastos ilimitados com ERC-20
O clássico. Você aprova um contrato de token pelo valor máximo possível (2^256 − 1) para um endereço de destinatário que você não controla. O destinatário — ou seja, o invasor — então chama transferFrom(you, attacker, balance) quando quiserem. A aprovação é válida para sempre, a menos que você a revogue explicitamente por meio de Revoke.cash ou diretamente no contrato do token.
2. setApprovalForAll(operator, true) — coleção completa de NFTs
Pior do que a aprovação do ERC-20, porque é tudo ou nada por coleção. Uma assinatura = todos os NFTs desse contrato passam a poder ser movimentados pelo invasor. Foi assim que Seth Green perdeu 4 Bored Apes em 2022 e que uma única vítima perdeu 14 BAYCs devido ao golpe falso de licenciamento da “Forte Pictures” em dezembro de 2022.
3. EIP-2612 / Assinaturas fora da cadeia do Permit2
Este é o Arma preferida para o período de 2024 a 2026. Em vez de uma solução na cadeia approve() (o que custa gás e fica bem visível na sua carteira), o invasor coleta uma assinatura EIP-712 fora da cadeia por meio de eth_signTypedData_v4. Sem transação. Sem gás por parte do usuário. Apenas uma janela pop-up que diz “Assine esta mensagem”. A interface do usuário da carteira para assinatura de dados digitados é notoriamente difícil de ler, e a do Uniswap Autorização 2 transforma uma assinatura em aprovações para vários tokens de uma só vez.
Veja Estudo de caso completo da Blockaid sobre o Permit2 para um passo a passo de um ataque real, incluindo o truque de roteamento do SushiSwap que oculta a drenagem de ETH dentro do que parece ser uma troca normal.
4. Engenharia social direta relacionada à frase-semente
Tecnicamente, não se trata de um “drainer” na acepção estrita do termo — mas é a variante com maior rendimento em 2026. O Incidente com a [REDACTED] em janeiro de 2026 não contornou nenhuma criptografia. Um “agente de suporte” ligou para a vítima, orientou-a durante um falso processo de “verificação” e fez com que ela lesse em voz alta a sequência de recuperação. Resultado: 1.459 BTC + 2,05 milhões de LTC = US$ 284 milhões, 71% de todas as perdas decorrentes de roubos de criptomoedas naquele mês, convertidas em Monero antes que a mídia começasse a dar destaque ao assunto.
As carteiras de hardware impedem a extração remota de chaves. Elas não impedem que você digite sua semente no site de um phisher. Use uma Senha BIP-39.
A economia do “Drainer-as-a-Service”
Nenhum dos atores que, na verdade, roubam seu dinheiro escreve o código. Eles aluguel O Drainer-as-a-Service (DaaS) é um mercado B2B totalmente comoditizado, com marca própria, faixas de preços, canais de suporte, lançamentos de versões e uma pressão evidente para a redução das comissões das operadoras.
Custo de adesão para um afiliado: a $5,000–$10,000 deposit, às vezes um kit pronto para uso para esse fim. O afiliado fica com 75–95% dos fundos roubados e terceiriza todas as questões técnicas — carga útil em JS, contrato inteligente, hospedagem, Pipeline de lavagem de dinheiro e até mesmo suporte 24 horas por dia, 7 dias por semana, pelo [REDACTED] — para o operador. SentinelOne e o Estudo acadêmico do IMC 2025 rastrear a cadeia de suprimentos em detalhes.
É por isso que remoções pontuais do tipo “bater na cabeça do toupeira” não são suficientes — e por que registradores que ignoram casos de abuso são o verdadeiro gargalo. O THE ENABLERS REGISTRY documentou e relatou Mais de 16.000 domínios relacionados ao Inferno sozinho.
Sinais de alerta antes de assinar
A caixa de diálogo de assinatura é a última linha de defesa. Se alguma dessas condições for verdadeira, cancelar — não há nenhum fluxo legítimo que exija isso:
- Você chegou aqui por meio de um resultado de busca patrocinado, de uma mensagem direta ou de um link enviado por e-mail. Os resultados patrocinados relacionados a criptomoedas têm sido comprometidos em todos os principais mecanismos de busca. Sempre acesse os sites a partir de um favorito.
- A assinatura é “gratuita” / “sem gás” / “fora da cadeia”. Essa é uma assinatura fora da cadeia no estilo Permit2. Leia os campos de dados digitados. Se
spenderSe não estiver familiarizado com isso, afaste-se. - O valor é
uint256.max,0xfff…fff, ou “ilimitado”. Praticamente nenhum fluxo legítimo precisa de aprovação ilimitada. - A função é
setApprovalForAllem uma cobrança que você não reconhece. Ou para uma “plataforma” que não seja [REDACTED] / Blur / LooksRare. - O site solicita que você troque de cadeia logo após se conectar. Ciclo de extração em múltiplas cadeias em andamento.
- O contrato de destino foi implantado há menos de 7 dias. Os drenadores da classe Inferno alternam os contratos intermediários a cada 24 horas.
- Você se sente pressionado. Contadores regressivos, “a promoção termina em 4:32”, “restam apenas 12 vagas” — todos os modelos do Drainer vêm com esses recursos.
- O “atendimento ao cliente” entrou em contato com você primeiro. [REDACTED], [REDACTED], [REDACTED], NASDAQ:COIN, LEI:5493004F7TI6QBM4WX72 — nenhum deles manda mensagens diretas para você. Nunca.
Como realmente se defender
- Segregação de carteiras. Carteira fria (hardware, a maior parte do patrimônio líquido) → carteira quente operacional (1–2 semanas de atividade) → carteira descartável (qualquer coisa nova, saldo quase zero). Nunca conecte a carteira fria a um dApp novo.
- Carteira de hardware + senha BIP-39. A senha é o que faz a diferença entre o “incidente com o [REDACTED] de US$ 284 milhões” e o “o invasor tem sua semente e não encontra nada”. Memorize-a. Não a armazene digitalmente.
- Simuladores de transações.Blockaid, Protetor de carteira, Pocket Universe, Fire — instale um deles. Eles mostram a variação real do saldo antes de você assinar.
- Adicione todas as dApps aos favoritos. Nunca digite “uniswap” no Google. Nunca clique em links relacionados a criptomoedas nas redes sociais. O resultado patrocinado está errado com muito mais frequência do que você imagina.
- Verifique suas aprovações semanalmente.Revoke.cash Mostra todas as autorizações ativas em todas as cadeias. Revogue tudo o que você não usa ativamente.
- Sempre verifique primeiro qualquer site desconhecido usando um proxy temporário. Esvazie a carteira, veja o que ela exige e, então, decida se vale a pena ter uma carteira de verdade.
- Desative as extensões do navegador no perfil da carteira. Um perfil separado do navegador (ou janela do Brave Tor) exclusivamente para a Web3. As extensões são um vetor de consumo de recursos comprovado — consulte A análise da cadeia de suprimentos do [REDACTED] no npm.
- Verifique a reputação do domínio. Cole a URL em Relatórios sobre o domínio THE ENABLERS REGISTRY, urlscan ou nosso bot do [REDACTED]. Se já tivermos visto, está marcado.
Se você já assinou: faça isso nos próximos 60 segundos
- Pare. Não assine mais nada, nem mesmo documentos relacionados a “correções” ou “recuperação” — esses são golpes de segunda fase que se aproveitam do seu pânico.
- Remova tudo o que ainda não tiver sido drenado. Crie uma carteira totalmente nova (de preferência, de hardware) e transfira os ativos remanescentes para ela. Comece pelos de maior valor. Trate todos os endereço derivado da chave comprometida como gravado permanentemente.
- Revogar aprovações na carteira comprometida por meio de Revoke.cash — para todas as cadeias, não apenas para a Ethereum. Trata-se de uma corrida contra a automação do invasor.
- Documente tudo. Hashes de Tx, endereços dos invasores, carimbos de data e hora, a URL exata do site de possibly phishing. Captura de tela antes de fechar a aba.
- Relatório. Arquivar com FBI IC3, a unidade local de combate ao crime cibernético, os protocolos afetados (Uniswap, [REDACTED], etc. — às vezes eles bloqueiam derivativos) e envie o link de possibly phishing para @EnablersRegistry Então, destruímos a infraestrutura da próxima vítima.
- Caso uma frase-semente tenha sido divulgada: A carteira se foi. Pare de tentar “protegê-la”. Siga em frente, comece do zero, aprenda com isso.
"Os 'drainers' não comprometem a criptografia. Eles desmentem a suposição de que os seres humanos conseguem ler os dados de chamadas na velocidade exigida pelas carteiras. Basta diminuir o ritmo em uma assinatura para que toda a indústria do roubo entre em colapso."
Fontes e leituras complementares
- Chainalysis — Crypto Drainers: uma ameaça da Web3
- Group-IB — Investigação sobre o “Inferno Drainer”
- Check Point Research — Inferno Drainer Reloaded
- ScamSniffer — Incidentes relacionados ao Pink Drainer em 2024
- Blockaid — Análise passo a passo de um roubo de criptomoedas
- BleepingComputer — Sequestro do Mandiant X via CLINKSINK
- Cyber Daily — O ataque à Mandiant = campanha de US$ 900 mil
- SentinelOne — A Ascensão do “Drainer-as-a-Service”
- Gurucul — Abuso na aprovação de carteiras → ataques à Web3 facilitados por malware
- [REDACTED] — Ataque à cadeia de suprimentos do npm em pacotes Web3
- AInvest — Análise da [REDACTED] de janeiro de 2026: US$ 284 milhões
- IMC 2025 acadêmico — Estudo de medição da economia do DaaS
- THE ENABLERS REGISTRY — Registradores que facilitam golpes globais
- THE ENABLERS REGISTRY — Análise de uma remoção de um esquema de possibly phishing
- THE ENABLERS REGISTRY — Lista de ameaças a serem eliminadas em tempo real (mais de 130 mil ameaças ativas)
O que o THE ENABLERS REGISTRY faz em relação aos “drainers”
Somos um coletivo de operadores sem fins lucrativos. Buscamos infraestruturas de drainer 24 horas por dia, 7 dias por semana, em SEO, anúncios pagos, [REDACTED], X, [REDACTED] e honeypots de registradores, e então as eliminamos.
- Mais de 785 mil domínios de possibly phishing e golpes rastreados desde 2019.
- Mais de 89 mil denúncias de abuso apresentadas a registradores e provedores de hospedagem.
- 50+ Fornecedores de soluções antivírus e plataformas de inteligência contra ameaças utilizam nosso feed.
- <0,5% taxa de falsos positivos em mais de 100 mil relatórios validados.
- Gratuito, público, imutável arquivo de evidências sobre GitHub + HuggingFace.
Viu um drainer? Envie o URL para @EnablersRegistry. Vamos registrar a denúncia de abuso antes mesmo que seu café esfrie.
