Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / TR / CRYPTO DRAINER ANATOMY

Kripto Para Hırsızlığının Anatomisi: 1,93 milyar dolar çalındı

The Enablers Registry·Editorial mirror·/tr/crypto-drainer-anatomy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

WEB3 TEHDİDİ

Bir Kripto Dolandırıcısının Anatomisi: 1,93 Milyar Dolar 6 Ayda Nasıl Kayboldu?

Bir drainer, tohum cümlenizi çalmaz. O, sizin imza. Tek bir tıklama — yanlış bir “Talep Et”, “Doğrula” veya “Cüzdanı Bağla” seçeneğine tek bir tıklama — ve parmağınızı izleme panelinden çekemeden, önceden oluşturulmuş bir dizi akıllı sözleşme elinizdeki varlıkları boşaltır.

Bir kripto cüzdan soyguncusunun anatomisi — altı aşamalı saldırı zinciri
$1.93B
2025 yılının ilk yarısındaki zararlar
2023'e kıyasla +540%
$284M
Tek kurban, Ocak 2026
[REDACTED] tohum cümlesi dolandırıcılığı
320 bin+
2023 Yılındaki Mağdurlar
Her gün yaklaşık 900
$5–10K
DaaS giriş maliyeti
anahtar teslimi set

Aslında “drainer” nedir?

A kripto para sızdırıcı Web3 için özel olarak tasarlanmış bir kimlik avı aracıdır. Şifrenizi ele geçirmeye veya özel anahtarınızı çalmaya çalışmaz. Bunun yerine sizi bir işlemi imzalamak — genellikle bir approve(), setApprovalForAll(), ya da zincir dışı bir Permit mesaj — bu mesaj, saldırgana varlıklarınızı istediği gibi hareket ettirme izni verir. Cüzdan “sizin” olarak kalır. Ancak fonlar kalmaz.

Bu model, aşırı derecede verimlidir çünkü... meşru blok zinciri temel bileşenleri. Özel anahtarınızın güvenliği hiçbir zaman tehlikeye girmez. Bilgisayarınızda kötü amaçlı yazılım bulunmaz. Yalnızca tek bir işlemde tek bir imza vardır; bu imzayı zincir üzerindeki analistler görebilir ve bu imzanın etkisi hiçbir otorite tarafından geri alınamaz.

Şuna göre Chainalysis, bir “drainer”, meşru bir dApp gibi görünen “web3 ekosistemi için tasarlanmış bir kimlik avı aracı”dır. Group-IB, Check Point Araştırmave ScamSniffer tam da bu mekanizmaya dayanan binlerce kampanyayı katalogladık.

6 aşamalı saldırı zinciri

Her türlü “drainer” saldırısı — Inferno, Pink, Angel, MS, CLINKSINK, Rugging ve isimsiz onlarca çatal — aynı altı aşamayı izler. Buradaki ustalık, tüm bu aşamaları cüzdan bağlantısı ile onaylanmış işlem arasındaki saniyelere sığdırmakta yatmaktadır.

1 Lure airdrop / ad / DM 2 Connect wallet hooked 3 Recon analyzeWallet() 4 Sign approve / permit 5 Drain transferFrom() 6 Launder DEX → bridge → XMR SOCIAL ENGINEERING TECHNICAL EXECUTION EXFILTRATION

1. Yem

Sahte airdrop'lar, sponsorlu Google/X reklamları, ele geçirilmiş doğrulanmış hesaplar (bunlar SEC ve Mandiant hesapları (her ikisi de para sızdırma aracı olarak kullanılmıştır), [REDACTED] doğrulama botları, sahte NFT basımları, “özel” beta davetiyeleri ve IP lisans dolandırıcılıkları. Görüntüsü ne olursa olsun, amaç sizi saldırganın kontrolündeki bir etki alanına yönlendirmektir.

2. Bağlan

"Cüzdanı Bağla" düğmesine tıkladınız. [REDACTED], Rabby, WalletConnect, [REDACTED] — hepsi gayet iyi, hepsi beklendiği gibi. Artık "drainer" adlı JavaScript, şu yol üzerinden cüzdan nesnenize okuma erişimine sahip: window.ethereum (ya da eşdeğeri) ve ateş etmeye başlar eth_call arka planda işlenen istekler.

3. Keşif

Drainer, sahip olduğunuz varlıkları listeler: yerel bakiye, ERC-20 tokenleri, NFT koleksiyonları ve çeşitli blok zincirlerindeki DeFi pozisyonları. CoinGecko tarzı fiyat oraküllerine başvurarak her şeyi ABD doları cinsinden değerler. Premium paketler gibi Inferno Suyu Boşaltıcı yapılandırmalarını kaydetmek zincir üzerinde (BNB Chain) böylece JS yükünü yeniden dağıtmaya gerek kalmadan güncellenebilir.

4. İmza

dApp, size "Sahipliği doğrula", "Airdrop'u al", "Toplamayı onayla" veya "Girmek için imzala" gibi seçenekler sunar. Cüzdan arayüzünde zararsız gibi görünen bir mesaj görüntülenir. Oysa gerçekte, zararı en üst düzeye çıkarmak için calldata özenle seçilmiştir — bir sonraki bölüme bakınız.

5. Suyu boşaltın

İmzanız atıldığı anda saldırgan arar transferFrom() ayrı bir cüzdandan (işlevsel ayrım — onayı alan “Adres”, asla ganimeti elinde bulunduran “Alıcı” değildir). Premium paketler, yerel ETH, ERC-20’ler, ERC-721/1155 NFT’leri ve Permit2 transferlerini tek bir işlemde toplu olarak gerçekleştirir multicall. İmzadan fon hareketine kadar geçen net gecikme süresi: saniye.

6. Çamaşır yıkamak

Fonlar, SushiSwap / Uniswap üzerinden (meşru DEX’ler çoğu güvenlik aracı tarafından kasıtlı olarak izin listesine alınmıştır), ardından köprüler aracılığıyla diğer zincirlere, daha sonra Tornado Cash çatalları üzerinden Monero’ya aktarılır. Bu $284M [REDACTED] incident birkaç saat içinde XMR’ye aktarıldı.

Cüzdanınız (imzalamadan önce)

ETH2.4815
USDC18,420.00
WBTC0.34
BAYC #42911 NFT
stETH12.1

Saldırgan sözleşmesi (bir imza alındıktan sonra)

ETH+2.4815
USDC+18,420.00
WBTC+0.34
BAYC #4291+1 NFT
stETH+12.1

Bir imzalı Permit2 Bu mesaj, tüm partiyi onaylayabilir. İkinci bir onay gerekmez. Geri alma imkanı yoktur.

Dört ölümcül yük

Gerçek hayattaki her drenaj sistemi, bu dört temel öğenin bir kombinasyonunu kullanır. Her biri bir meşru ERC standardı veya RPC yöntemi. “Yama” diye bir şey yoktur — sadece farkındalık vardır.

1. approve(spender, type(uint256).max) — ERC-20 ile sınırsız harcama

Klasik yöntem. Bir token sözleşmesini mümkün olan en yüksek tutar için onaylarsınız (2^256 − 1) kontrolünüz altında olmayan bir harcama adresine. Harcama yapan kişi — yani saldırgan — daha sonra transferFrom(you, attacker, balance) istediği zaman. Bu onay, siz bunu açıkça iptal etmedikçe süresiz olarak geçerliliğini korur. Revoke.cash ya da doğrudan token sözleşmesi.

// What you actually signed:onaylamak( 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, // attacker0xffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff// max uint256 ) // Wallet UI showed: "Verify wallet ownership"

2. setApprovalForAll(operator, true) — tam NFT koleksiyonu

ERC-20 onayından daha kötü, çünkü bu koleksiyon başına “ya hep ya hiç”. Tek bir imza = o sözleşmedeki tüm NFT’ler artık saldırgan tarafından aktarılabilir hale gelir. Seth Green’in 2022’de 4 adet Bored Ape’yi bu şekilde kaybetmesi ve Aralık 2022’de tek bir kurbanın sahte “Forte Pictures” lisans dolandırıcılığı nedeniyle 14 adet BAYC’yi kaybetmesi de bu şekilde gerçekleşti.

setApprovalForAll( 0xattacker..., // "operator"doğru// approved for the entire collection )

3. EIP-2612 / Permit2 zincir dışı imzalar

Bu, 2024–2026 yılları için tercih edilen silah. Zincir üzerinde bir işlem yerine approve() (bu işlem gaz ücreti gerektirir ve cüzdanınızda açıkça görülür), saldırgan şu yolla zincir dışı bir EIP-712 imzası toplar: eth_signTypedData_v4. İşlem yok. Sizin tarafınızdan gaz ücreti yok. Sadece “Bu mesajı imzalayın” yazan bir açılır pencere. Yazılı verilerin imzalanmasına yönelik cüzdan kullanıcı arayüzünün okunması oldukça zordur ve Uniswap’in İzin 2 bir imzayı şu onaylara dönüştürür: aynı anda birden fazla jeton.

// What [REDACTED] showed you:// "PermitSingle"// spender: 0x000000000022D473030F116dDEE9F6B43aC78BA3// ...looks fine, that's the real Permit2 contract...// What it actually authorized: { "ayrıntılar": { "jeton": "0xUSDC...", "miktar": "1461501637330902918203684832716283019655932542975", // max"son kullanma tarihi": 281474976710655// year ~10889 }, "harcama meraklısı": "0xattacker...", "sigDeadline": 9999999999 }

Bkz. Blockaid’in Permit2 vaka çalışmasının tam metni Normal bir takas işlemi gibi görünen bir işlem içinde ETH’nin sızdırılmasını gizleyen SushiSwap yönlendirme hilesini de içeren gerçek bir saldırı kılavuzu için.

4. Doğrudan tohum ifadesi sosyal mühendisliği

Dar anlamıyla teknik olarak bir “drainer” sayılmaz — ancak 2026’da en yüksek verim sağlayan çeşittir. Bu Ocak 2026 [REDACTED] olayı Hiçbir şifrelemeyi atlamadı. Bir “destek görevlisi” kurbanı aradı, sahte bir “doğrulama” sürecini adım adım uygulattı ve kurbanın kurtarma tohumunu sesli olarak okumasını sağladı. Sonuç: 1.459 BTC + 2,05 milyon LTC = 284 milyon dolar, o ayki tüm kripto hırsızlığı kayıplarının %71’i, haberler bu konuyu gündeme getirmeden önce Monero’ya dönüştürülmüştü.

Donanım cüzdanları, uzaktan anahtar çıkarılmasını engeller. Ancak, bir kimlik avı sitesine tohumunuzu girmenizi engellemez. Şunu kullanın: BIP-39 şifre cümlesi.

“Hizmet Olarak Drainer” ekonomisi

Aslında paranızı çalan aktörlerin hiçbiri kodu yazmıyor. Onlar kira . Drainer-as-a-Service (DaaS), markalaşma, fiyat kademeleri, destek kanalları, sürüm yayınları ve operatör komisyonları üzerinde bariz bir düşüş baskısı bulunan, tamamen standartlaşmış bir B2B pazarıdır.

Inferno
Son derece gelişmiş. Zincir üzerinde yapılandırma (BNB), AES şifrelemeli C2, hata ayıklama önleme, SushiSwap yönlendirme. CP analizi
%15–20'lik kesinti
Angel (GhostSec)
Çoklu zincirli, ürünleştirilmiş — ticari yazılımlar gibi sürüm numaralı sürümler (v8.2, v8.3...).
%20 kesinti
CLINKSINK
JavaScript tabanlı, Solana odaklı. Mandiant X saldırısı (900 bin dolar) ve SEC güvenlik ihlalinin ardındaki araç seti.
~%20'lik kesinti
Pembe
NFT odaklı. Tek kurban rekor: Tek bir işlemde BAYC/MAYC/Otherdeed'den 320 bin dolar.
~%20'lik kesinti
MS Drenaj Sistemi
$59M from 63K victims via X (Twitter) sponsored ads, March–November 2023. ScamSniffer
var.
Çoklu Zincirli Halı Döşeme
Fiyat liderliği stratejisi: Hacim kazanmak için Angel/Inferno’dan daha düşük komisyon oranı sunuyor.
%5–10'luk kesinti

Bir iş ortağı için katılım ücreti: a $5,000–$10,000 deposit, bazen de bunun için hazır bir paket. Ortak, çalınan fonların %75–95’ini kendine ayırır ve tüm teknik konuları — JS yükü, akıllı sözleşme, barındırma, Pipeline, hatta 7/24 [REDACTED] desteği — operatöre devreder. SentinelOne ve IMC 2025 akademik çalışması tedarik zincirini ayrıntılı olarak takip etmek.

İşte bu yüzden, tek seferlik, “köstebek avı” tarzı kaldırmalar yeterli olmuyor — ve işte bu yüzden suistimalleri görmezden gelen kayıt kuruluşları asıl darboğaz budur. THE ENABLERS REGISTRY bunu belgelemiş ve bildirmiştir 16.000'den fazla Inferno ile ilgili alan adı tek başına.

İmzalamadan önce dikkat edilmesi gereken noktalar

İmza iletişim kutusu son savunma hattıdır. Aşağıdakilerden herhangi biri geçerliyse, iptal et — bunları gerektiren meşru bir akış yoktur:

  • Buraya sponsorlu bir arama sonucu, DM veya e-posta bağlantısı yoluyla geldiniz. Tüm büyük arama motorlarında sponsorlu kripto arama sonuçlarının güvenilirliği tehlikeye girmiştir. Her zaman yer imlerinden erişin.
  • İmza “ücretsiz” / “gazsız” / “zincir dışı”dır. Bu, Permit2 tarzında bir zincir dışı imzadır. Yazılı veri alanlarını okuyun. Eğer spender tanıdık gelmiyorsa, uzaklaşın.
  • Miktar şudur: uint256.max, 0xfff…fff, ya da "sınırsız". Neredeyse hiçbir meşru işlem sınırsız onay gerektirmez.
  • İşlev şöyledir: setApprovalForAll tanımadığınız bir koleksiyonda. Ya da [REDACTED] / Blur / LooksRare dışında bir “operatör” için.
  • Site, bağlandıktan hemen sonra zincir değiştirmenizi istiyor. Çoklu zincirli çıkarma döngüsü devam ediyor.
  • Hedef sözleşme, 7 günden daha kısa bir süre önce devreye alınmıştır. Inferno sınıfı drenaj cihazları, ara sözleşmeleri her 24 saatte bir yeniler.
  • Kendini aceleye getirilmiş hissediyorsun. Geri sayım sayacı, “kampanya 4:32 sonra sona eriyor”, “sadece 12 yer kaldı” — her Drainer şablonu bu öğelerle birlikte gelir.
  • "Müşteri desteği" ekibi size ilk olarak ulaştı. [REDACTED], [REDACTED], [REDACTED], NASDAQ:COIN, LEI:5493004F7TI6QBM4WX72 — hiçbiri size özel mesaj göndermez. Asla.

Kendinizi gerçekten nasıl savunabilirsiniz?

  • Cüzdanların ayrılması. Soğuk cüzdan (donanım, net varlığın büyük kısmı) → aktif sıcak cüzdan (1–2 haftalık faaliyet) → tek kullanımlık cüzdan (yeni her şey, bakiyesi sıfıra yakın). Soğuk cüzdanı asla yeni bir dApp’e bağlamayın.
  • Donanım cüzdanı + BIP-39 şifre cümlesi. Şifre, “284 milyon dolarlık [REDACTED] olayı” ile “saldırgan tohumunuzu ele geçirmiş ama hiçbir şey bulamamış” durumları arasındaki farktır. Bunu ezberleyin. Dijital ortamda saklamayın.
  • İşlem simülatörleri.Blockaid, Cüzdan Koruyucu, Pocket Universe, Fire — bunlardan birini yükleyin. İmzalamadan önce gerçek bakiye farkını gösterirler.
  • Tüm dApp'leri yer imlerine ekle. Asla Google’a “uniswap” yazmayın. Asla sosyal medyadaki kripto para bağlantılarına tıklamayın. Sponsorlu sonuçlar, sandığınızdan çok daha sık yanlış çıkıyor.
  • Onaylarınızı haftalık olarak gözden geçirin.Revoke.cash Her zincirdeki tüm aktif izinleri gösterir. Aktif olarak kullanmadığınız izinleri iptal edin.
  • Tanıdık olmayan herhangi bir siteyi önce bir geçici sunucu üzerinden kontrol edin. Cüzdanı boşalt, ne istediğine bak, sonra gerçek bir cüzdana değer mi karar ver.
  • Cüzdan profilinde tarayıcı uzantılarını devre dışı bırakın. Yalnızca Web3 için ayrı bir tarayıcı profili (veya Brave Tor penceresi). Eklentiler, kaynak tüketiminin belgelenmiş bir kaynağıdır — bkz. [REDACTED]’nun npm tedarik zinciri analizi.
  • Etki alanının itibarını kontrol edin. URL’yi şuraya yapıştırın THE ENABLERS REGISTRY alan adı raporları, urlscan veya [REDACTED] botumuz. Eğer daha önce görmüşsek, işaretlenmiştir.

Eğer daha önce imza attıysanız: bunu önümüzdeki 60 saniye içinde yapın

  1. Dur. "Düzeltme" veya "kurtarma" uyarıları da dahil olmak üzere başka hiçbir şeyi imzalamayın — bunlar, paniğinizden yararlanmaya çalışan ikinci aşama dolandırıcılık yöntemleridir.
  2. Henüz boşaltılmamış olan her şeyi taşıyın. Yepyeni bir cüzdan (tercihen donanım cüzdanı) oluşturun ve elinizde kalan varlıkları bu cüzdana aktarın. En yüksek değerli varlıkları önce aktarın. Şu şekilde hareket edin: her güvenliği ihlal edilen anahtardan türetilen adresin kalıcı olarak silindiği.
  3. Onayları iptal et güvenliği ihlal edilmiş cüzdanda şu yolla Revoke.cash — sadece Ethereum için değil, her blok zinciri için. Bu, saldırganın otomasyonuna karşı bir yarış.
  4. Her şeyi belgelendirin. Tx hash değerleri, saldırgan adresleri, zaman damgaları, kimlik avı sitesinin tam URL’si. Sekmeyi kapatmadan önce alınan ekran görüntüsü.
  5. Rapor. Şu dosyayla birlikte FBI IC3, bölgenizdeki siber suç birimi, etkilenen protokoller (Uniswap, [REDACTED] vb. — bunlar bazen türevleri dondurur) ve kimlik avı URL’sini şu adrese gönderin: @EnablersRegistry böylece bir sonraki kurban için altyapıyı devre dışı bırakıyoruz.
  6. Eğer bir tohum cümlesi ifşa edilmişse: Cüzdan kayboldu. Onu “güvenli hale getirmeye” çalışmayı bırak. Hayatına devam et, yeni bir başlangıç yap, bundan ders al.

"Drainer'lar kriptografiyi çürütmez. İnsanların cüzdanların talep ettiği hızda calldata'yı okuyabileceği varsayımını çürütürler. Hız bir imza kadar yavaşlasa bile, hırsızlık endüstrisinin tamamı çöker."

THE ENABLERS REGISTRY, kaynak tüketenler konusunda ne yapıyor?

Biz, kâr amacı gütmeyen bir işletmeci kolektifiyiz. SEO, ücretli reklamlar, [REDACTED], X, [REDACTED] ve kayıt operatörlerinin tuzak sayfaları üzerinden 7/24 suç amaçlı altyapıları avlıyor, ardından bunları devre dışı bırakıyoruz.

  • 785 bin+ 2019'dan beri izlenen kimlik avı ve dolandırıcılık alan adları.
  • 89 bin+ kayıt kuruluşlarına ve barındırma hizmet sağlayıcılarına bildirilen kötüye kullanım vakaları.
  • 50+ Antivirüs yazılımı sağlayıcıları ve tehdit istihbaratı platformları, bizim veri akışımızı kullanmaktadır.
  • <%0,5 100.000'den fazla doğrulanmış raporda yanlış pozitif oranı.
  • Ücretsiz, herkese açık, değiştirilemez kanıt arşivi GitHub + HuggingFace.

Bir drainer mi gördünüz? URL’yi şu adrese gönderin: @EnablersRegistry. Kahveniz soğumadan şikayet raporu hazırlayacağız.

#CryptoDrainer#Web3Security#WalletDrainer#Permit2#DaaS#Inferno

Bu Makaleyi Paylaş

İlgili Soruşturmalar

VAKA ÇALIŞMASI
[REDACTED] Drainer: Panel düzeyinde inceleme
METODOLOJİ
Bir Kimlik Avı Kaldırma Süreci
SORUŞTURMA
IANA #1479, IANA #460, IANA #3765: Dolandırıcılıklara Zemin Hazırlayan Kayıt Kuruluşları

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings