Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / VI / CRYPTO DRAINER ANATOMY

Phân tích vụ đánh cắp tiền điện tử: 1,93 tỷ USD bị đánh cắp

The Enablers Registry·Editorial mirror·/vi/crypto-drainer-anatomy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

MỐI ĐE DỌA TỪ WEB3

Phân tích chi tiết về một vụ rút tiền ảo: Cách 1,93 tỷ USD biến mất chỉ trong 6 tháng

Một công cụ xả tiền không đánh cắp cụm từ hạt giống của bạn. Nó đánh cắp chữ ký. Chỉ cần một cú nhấp chuột — một cú nhấp chuột nhầm vào nút “Yêu cầu”, “Xác minh” hoặc “Kết nối ví” — là một chuỗi các hợp đồng thông minh được lập trình sẵn sẽ rút cạn số tài sản của bạn trước khi bạn kịp nhấc ngón tay khỏi bàn di chuột.

Cấu trúc của một kẻ đánh cắp tiền từ ví tiền điện tử — chuỗi tấn công sáu giai đoạn
$1.93B
Lỗ trong nửa đầu năm 2025
+540% so với năm 2023
$284M
Một nạn nhân, tháng 1 năm 2026
Trò lừa đảo liên quan đến cụm từ hạt giống [REDACTED]
Hơn 320.000
Các nạn nhân trong năm 2023
~900 mỗi ngày
$5–10K
Chi phí ban đầu của DaaS
bộ sản phẩm sẵn sàng sử dụng

Thực chất “drainer” là gì

A kẻ đánh cắp tiền điện tử là một công cụ lừa đảo được thiết kế riêng cho Web3. Công cụ này không nhằm mục đích lừa lấy mật khẩu hay trích xuất khóa riêng tư của bạn. Thay vào đó, nó sẽ khiến bạn ký giao dịch — thường là một approve(), setApprovalForAll(), hoặc một giao dịch ngoài chuỗi Permit thông điệp — điều này trao cho kẻ tấn công quyền chuyển nhượng tài sản của bạn tùy ý. Ví vẫn là “của bạn”. Nhưng số tiền thì không.

Mô hình này cực kỳ hiệu quả vì nó lạm dụng hợp pháp các thành phần cơ bản của blockchain. Khóa riêng của bạn sẽ không bao giờ bị lộ. Máy tính của bạn không có phần mềm độc hại. Chỉ có duy nhất một chữ ký, trên một giao dịch, mà các nhà phân tích trên chuỗi sẽ nhìn thấy và tác động của nó không thể bị bất kỳ cơ quan nào đảo ngược.

Theo Chainalysis, drainer là “một công cụ lừa đảo được thiết kế dành cho hệ sinh thái web3”, giả mạo là một ứng dụng phi tập trung (dApp) hợp pháp. Group-IB, Check Point Research, và ScamSniffer đã thống kê hàng nghìn chiến dịch được xây dựng dựa trên chính cơ chế này.

Chuỗi tiêu diệt 6 bước

Mọi cuộc tấn công kiểu “drainer” — Inferno, Pink, Angel, MS, CLINKSINK, Rugging và hàng chục biến thể chưa được đặt tên khác — đều tuân theo sáu giai đoạn giống nhau. Điểm tinh tế nằm ở việc nén tất cả các giai đoạn đó vào khoảng thời gian chỉ vài giây giữa lúc kết nối ví và khi giao dịch được xác nhận.

1 Lure airdrop / ad / DM 2 Connect wallet hooked 3 Recon analyzeWallet() 4 Sign approve / permit 5 Drain transferFrom() 6 Launder DEX → bridge → XMR SOCIAL ENGINEERING TECHNICAL EXECUTION EXFILTRATION

1. Mồi

Các đợt airdrop giả mạo, quảng cáo được tài trợ trên Google/X, các tài khoản đã được xác minh bị xâm nhập (các Tài khoản của SEC và Mandiant (đều từng được sử dụng dưới dạng các kênh phát tán thông tin lừa đảo), các bot xác minh trên [REDACTED], các đợt phát hành NFT giả mạo, lời mời tham gia bản beta “độc quyền” và các chiêu lừa đảo liên quan đến cấp phép bản quyền. Dù được ngụy trang dưới hình thức nào đi chăng nữa, mục đích cuối cùng vẫn là dụ bạn truy cập vào một tên miền do kẻ tấn công kiểm soát.

2. Kết nối

Bạn nhấn vào “Kết nối Ví”. [REDACTED], Rabby, WalletConnect, [REDACTED] — tất cả đều ổn, đều như dự kiến. Đoạn mã JavaScript thực hiện hành vi rút tiền hiện đã có quyền truy cập đọc vào đối tượng ví của bạn thông qua window.ethereum (hoặc tương đương), và bắt đầu bắn eth_call các yêu cầu đang chạy ngầm.

3. Khảo sát

Công cụ này liệt kê các tài sản bạn đang nắm giữ: số dư trên nền tảng gốc, token ERC-20, bộ sưu tập NFT, các vị thế DeFi trên nhiều chuỗi khối. Nó truy vấn các nguồn dữ liệu giá theo phong cách CoinGecko để định giá mọi thứ theo USD. Các gói dịch vụ cao cấp như Inferno Drainer lưu cấu hình của họ trên chuỗi (BNB Chain) để có thể cập nhật mà không cần triển khai lại mã JavaScript.

4. Ký tên

Ứng dụng phi tập trung (dApp) sẽ yêu cầu bạn “Xác minh quyền sở hữu”, “Nhận airdrop”, “Chấp thuận thu thập” hoặc “Ký để vào”. Giao diện người dùng (UI) của ví hiển thị một thông báo trông có vẻ vô hại. Trên thực tế, dữ liệu gọi (calldata) đã được lựa chọn kỹ lưỡng nhằm gây ra thiệt hại lớn nhất — xem phần tiếp theo.

5. Xả nước

Ngay khi bạn vừa ký xong, kẻ tấn công đã gọi điện transferFrom() từ một ví riêng biệt (tách biệt về mặt vận hành — “Địa chỉ” nhận được sự chấp thuận không bao giờ là “Người nhận” nắm giữ phần thưởng). Các gói Premium gộp chung ETH gốc, các token ERC-20, NFT ERC-721/1155 và các giao dịch Permit2 trong một multicall. Độ trễ ròng từ khi xác nhận đến khi thực hiện giao dịch chuyển tiền: giây.

6. Giặt

Tiền được chuyển qua SushiSwap / Uniswap (các sàn giao dịch phi tập trung (DEX) hợp pháp thường được hầu hết các công cụ bảo mật đưa vào danh sách cho phép), sau đó qua các cầu nối sang các chuỗi khối khác, tiếp theo qua các nhánh của Tornado Cash, rồi đến Monero. Các $284M [REDACTED] incident chỉ trong vài giờ đã được chuyển vào ví XMR.

Ví của bạn (trước khi ký)

ETH2.4815
USDC18,420.00
WBTC0.34
BAYC #42911 NFT
stETH12.1

Hợp đồng Attacker (sau khi có một chữ ký)

ETH+2.4815
USDC+18,420.00
WBTC+0.34
BAYC #4291+1 NFT
stETH+12.1

Một bản đã ký Permit2 Thông báo này có thể phê duyệt toàn bộ lô. Không cần xác nhận lần thứ hai. Không thể khôi phục.

Bốn loại đầu đạn sát thương

Mỗi bộ lọc trong môi trường tự nhiên đều sử dụng một sự kết hợp nào đó của bốn thành phần cơ bản này. Mỗi thành phần là một hợp pháp Tiêu chuẩn ERC hay phương pháp RPC. Không có “bản vá” nào cả — chỉ có sự nhận thức mà thôi.

1. approve(spender, type(uint256).max) — Chi tiêu không giới hạn theo tiêu chuẩn ERC-20

Một cách làm cổ điển. Bạn phê duyệt hợp đồng token với số tiền tối đa có thể (2^256 − 1) đến một địa chỉ người chi tiêu mà bạn không kiểm soát. Người chi tiêu — tức là kẻ tấn công — sau đó sẽ gọi transferFrom(you, attacker, balance) khi nào thuận tiện. Sự chấp thuận này có hiệu lực vĩnh viễn trừ khi bạn thu hồi nó một cách rõ ràng thông qua Revoke.cash hoặc trực tiếp với hợp đồng token.

// What you actually signed:phê duyệt( 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, // attacker0xffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff// max uint256 ) // Wallet UI showed: "Verify wallet ownership"

2. setApprovalForAll(operator, true) — Bộ sưu tập NFT đầy đủ

Còn tệ hơn cả việc phê duyệt tiêu chuẩn ERC-20, bởi vì nó là “tất cả hoặc không gì cả” cho mỗi bộ sưu tập. Chỉ cần một chữ ký = tất cả các NFT trong hợp đồng đó giờ đây đều có thể bị kẻ tấn công chuyển nhượng. Đây chính là cách Seth Green đã mất 4 con Bored Ape vào năm 2022 và cũng là cách một nạn nhân đã mất 14 con BAYC trong vụ lừa đảo cấp phép giả mạo mang tên "Forte Pictures" vào tháng 12 năm 2022.

setApprovalForAll( 0xattacker..., // "operator"đúng// approved for the entire collection )

3. EIP-2612 / Chữ ký ngoài chuỗi của Permit2

Đây là Vũ khí được lựa chọn cho giai đoạn 2024–2026. Thay vì sử dụng giải pháp trên chuỗi approve() (điều này tiêu tốn gas và ảnh hưởng rõ rệt đến số dư trong ví của bạn), kẻ tấn công thu thập chữ ký EIP-712 ngoài chuỗi thông qua eth_signTypedData_v4. Không có giao dịch. Bạn không phải trả phí gas. Chỉ là một cửa sổ bật lên với nội dung “Ký vào thông điệp này”. Giao diện ví dành cho việc ký dữ liệu nhập tay vốn nổi tiếng là khó đọc, và Uniswap’s Giấy phép số 2 biến một chữ ký thành các quyết định phê duyệt cho nhiều mã thông báo cùng lúc.

// What [REDACTED] showed you:// "PermitSingle"// spender: 0x000000000022D473030F116dDEE9F6B43aC78BA3// ...looks fine, that's the real Permit2 contract...// What it actually authorized: { "chi tiết": { "token": "0xUSDC...", "số tiền": "1461501637330902918203684832716283019655932542975", // max"hết hạn": 281474976710655// year ~10889 }, "người chi tiêu": "0xattacker...", "sigDeadline": 9999999999 }

Xem Nghiên cứu điển hình đầy đủ về Permit2 của Blockaid để xem hướng dẫn chi tiết về một cuộc tấn công thực tế, bao gồm thủ thuật định tuyến qua SushiSwap nhằm che giấu việc rút ETH bên trong một giao dịch hoán đổi trông có vẻ bình thường.

4. Kỹ thuật xã hội nhắm trực tiếp vào cụm từ hạt giống

Về mặt kỹ thuật, đây không phải là một giống “cho năng suất cao” theo định nghĩa hẹp — nhưng lại là giống có năng suất cao nhất vào năm 2026. Giống này Sự cố [REDACTED] tháng 1 năm 2026 không vượt qua bất kỳ lớp mã hóa nào. Một “nhân viên hỗ trợ” đã gọi điện cho nạn nhân, hướng dẫn họ thực hiện một quy trình “xác minh” giả mạo và khiến họ đọc to cụm từ khôi phục. Kết quả: 1.459 BTC + 2,05 triệu LTC = 284 triệu USD, chiếm 71% tổng số thiệt hại do trộm cắp tiền điện tử trong tháng đó, đã được chuyển đổi sang Monero trước khi các phương tiện truyền thông đưa tin về vụ việc.

Ví phần cứng ngăn chặn việc trích xuất khóa từ xa. Tuy nhiên, chúng không ngăn bạn nhập cụm hạt giống vào trang web lừa đảo. Hãy sử dụng một Cụm mật khẩu BIP-39.

Nền kinh tế “Dịch vụ thoát nước”

Không một ai trong số những kẻ thực sự lừa đảo để chiếm đoạt tiền của bạn lại là người viết mã. Họ thuê Dịch vụ Drainer-as-a-Service (DaaS) là một thị trường B2B đã được tiêu chuẩn hóa hoàn toàn, với các yếu tố như xây dựng thương hiệu, các mức giá, kênh hỗ trợ, việc phát hành phiên bản mới, cùng với áp lực giảm rõ rệt đối với hoa hồng của các nhà khai thác.

Địa ngục
Tính năng tiên tiến nhất. Cấu hình trên chuỗi (BNB), kênh điều khiển (C2) được mã hóa bằng AES, tính năng chống gỡ lỗi, định tuyến qua SushiSwap. Phân tích CP
Giảm 15–20%
Angel (GhostSec)
Hỗ trợ nhiều chuỗi, được thương mại hóa — các bản phát hành có phiên bản như phần mềm thương mại (v8.2, v8.3...).
Giảm 20%
CLINKSINK
Dựa trên JavaScript, tập trung vào Solana. Bộ công cụ đứng sau vụ chiếm quyền điều khiển Mandiant X (900.000 USD) và vụ xâm nhập hệ thống của SEC.
giảm khoảng 20%
Màu hồng
Tập trung vào NFT. Kỷ lục về một nạn nhân duy nhất: 320.000 USD trong các giao dịch BAYC/MAYC/Otherdeed chỉ trong một lần giao dịch.
giảm khoảng 20%
MS Drainer
$59M from 63K victims via X (Twitter) sponsored ads, March–November 2023. ScamSniffer
var.
Hệ thống Rugging đa chuỗi
Chiến lược dẫn đầu về giá: áp dụng mức hoa hồng thấp hơn so với Angel/Inferno để thu hút khối lượng giao dịch.
Giảm 5–10%

Chi phí tham gia dành cho đối tác liên kết: a $5,000–$10,000 deposit, đôi khi là một bộ công cụ “chìa khóa trao tay” dành cho hoạt động này. Đối tác liên kết giữ lại 75–95% số tiền đánh cắp được và ủy thác mọi vấn đề kỹ thuật — mã JS, hợp đồng thông minh, dịch vụ lưu trữ, Pipeline, thậm chí cả dịch vụ hỗ trợ qua [REDACTED] 24/7 — cho nhà điều hành. SentinelOneNghiên cứu học thuật IMC 2025 theo dõi chi tiết chuỗi cung ứng.

Đó chính là lý do tại sao những đợt gỡ bỏ mang tính chất “đánh chuột” lẻ tẻ là chưa đủ — và tại sao các cơ quan đăng ký tên miền phớt lờ các hành vi lạm dụng chính là điểm nghẽn thực sự. THE ENABLERS REGISTRY đã ghi nhận và báo cáo Hơn 16.000 tên miền liên quan đến Inferno một mình.

Những dấu hiệu cảnh báo cần lưu ý trước khi ký kết

Hộp thoại xác nhận chữ ký là tuyến phòng thủ cuối cùng. Nếu bất kỳ điều nào sau đây là đúng, hủy — không có luồng dữ liệu hợp lệ nào yêu cầu chúng:

  • Bạn đã truy cập trang này thông qua một kết quả tìm kiếm được tài trợ, tin nhắn trực tiếp (DM) hoặc liên kết trong email. Kết quả tìm kiếm về tiền điện tử có nội dung quảng cáo đã bị can thiệp tại mọi công cụ tìm kiếm lớn. Hãy luôn truy cập thông qua dấu trang.
  • Chữ ký này là “miễn phí” / “không tốn gas” / “ngoài chuỗi”. Đó là chữ ký ngoài chuỗi theo kiểu Permit2. Hãy đọc các trường dữ liệu được gõ sẵn. Nếu spender nếu thấy lạ lẫm, hãy bỏ đi.
  • Số tiền là uint256.max, 0xfff…fff, hay "không giới hạn". Hầu như không có quy trình hợp lệ nào cần sự phê duyệt không giới hạn.
  • Hàm này là setApprovalForAll trên một bộ sưu tập mà bạn không nhận ra. Hoặc đối với một “nhà điều hành” không phải là [REDACTED] / Blur / LooksRare.
  • Ngay sau khi kết nối, trang web sẽ yêu cầu bạn chuyển sang chuỗi khác. Vòng lặp trích xuất đa chuỗi đang được thực hiện.
  • Hợp đồng đích đã được triển khai cách đây chưa đầy 7 ngày. Các thiết bị hút thuộc lớp Inferno luân phiên các hợp đồng trung gian cứ sau 24 giờ.
  • Bạn cảm thấy bị thúc ép. Bộ đếm ngược, “thời hạn đăng ký kết thúc sau 4:32”, “chỉ còn 12 suất” — mọi mẫu Drainer đều đi kèm với những thông báo này.
  • "Bộ phận hỗ trợ khách hàng" đã liên hệ với bạn trước. [REDACTED], [REDACTED], [REDACTED], NASDAQ:COIN, LEI:5493004F7TI6QBM4WX72 — không có ứng dụng nào trong số đó gửi tin nhắn trực tiếp cho bạn cả. Chưa bao giờ.

Làm thế nào để thực sự tự vệ

  • Phân tách ví. Ví lạnh (phần cứng, phần lớn tài sản ròng) → ví nóng dùng cho hoạt động (1–2 tuần hoạt động) → ví dùng một lần (bất kỳ giao dịch mới nào, số dư gần bằng không). Tuyệt đối không kết nối ví lạnh với một ứng dụng phi tập trung (dApp) mới.
  • Ví phần cứng + cụm mật khẩu BIP-39. Cụm mật khẩu chính là yếu tố quyết định sự khác biệt giữa “vụ việc [REDACTED] trị giá $284 triệu” và “kẻ tấn công có được cụm hạt giống của bạn nhưng không tìm thấy gì cả”. Hãy ghi nhớ nó. Đừng lưu trữ nó dưới dạng kỹ thuật số.
  • Các trình mô phỏng giao dịch.Blockaid, Bảo vệ ví, Pocket Universe, Fire — hãy cài đặt một trong số đó. Chúng sẽ hiển thị mức chênh lệch số dư thực tế trước khi bạn ký tên.
  • Đánh dấu tất cả các dApp. Đừng bao giờ gõ từ “uniswap” vào Google. Đừng bao giờ nhấp vào các liên kết về tiền điện tử trên mạng xã hội. Các kết quả quảng cáo thường sai lệch nhiều hơn bạn tưởng.
  • Hãy rà soát các quyết định phê duyệt của bạn hàng tuần.Revoke.cash hiển thị tất cả các khoản trợ cấp đang hoạt động trên mọi chuỗi. Hãy thu hồi bất kỳ khoản trợ cấp nào mà bạn không đang sử dụng.
  • Hãy truy cập bất kỳ trang web nào mà bạn chưa quen thuộc qua một trình duyệt ẩn danh trước đã. Hãy để ví trống, xem nó yêu cầu những gì, rồi quyết định xem liệu nó có đáng để sở hữu một chiếc ví thật hay không.
  • Tắt các tiện ích mở rộng trình duyệt trong hồ sơ ví. Một hồ sơ trình duyệt riêng biệt (hoặc cửa sổ Brave Tor) dành riêng cho Web3. Các tiện ích mở rộng là một nguồn gây tiêu hao tài nguyên đã được ghi nhận — xem Phân tích chuỗi cung ứng npm của [REDACTED].
  • Kiểm tra uy tín của tên miền. Hãy dán URL vào Báo cáo về tên miền THE ENABLERS REGISTRY, urlscan, hoặc bot [REDACTED] của chúng tôi. Nếu chúng ta đã xem qua rồi, thì nó đã được đánh dấu.

Nếu bạn đã ký tên: hãy thực hiện việc này trong vòng 60 giây tới

  1. Dừng lại. Đừng ký bất kỳ tài liệu nào khác, kể cả những lời nhắc có nội dung như “sửa chữa” hay “khôi phục” — đó là những chiêu lừa đảo giai đoạn hai, lợi dụng sự hoảng loạn của bạn.
  2. Di chuyển những thứ chưa được thoát nước hết đi. Tạo một ví hoàn toàn mới (tốt nhất là ví phần cứng) và chuyển các tài sản còn lại sang đó. Ưu tiên các tài sản có giá trị cao nhất trước. Xử lý mỗi địa chỉ được tạo ra từ khóa bị xâm phạm được coi là đã bị ghi vĩnh viễn.
  3. Hủy bỏ các quyết định phê duyệt trên ví đã bị xâm nhập thông qua Revoke.cash — đối với mọi chuỗi khối, không chỉ riêng Ethereum. Đây là cuộc đua với hệ thống tự động hóa của kẻ tấn công.
  4. Ghi chép lại mọi thứ. Các giá trị băm Tx, địa chỉ của kẻ tấn công, dấu thời gian, URL chính xác của trang web lừa đảo. Ảnh chụp màn hình trước khi đóng tab.
  5. Báo cáo. Tệp với FBI IC3, đơn vị phòng chống tội phạm mạng tại địa phương của bạn, các giao thức bị ảnh hưởng (Uniswap, [REDACTED], v.v. — đôi khi họ tạm ngừng các sản phẩm phái sinh), và gửi liên kết lừa đảo đến @EnablersRegistry vì vậy chúng tôi phá hủy cơ sở hạ tầng dành cho nạn nhân tiếp theo.
  6. Nếu cụm từ hạt giống đã bị tiết lộ: Chiếc ví đã mất rồi. Đừng cố gắng “bảo vệ” nó nữa. Hãy tiếp tục tiến lên, bắt đầu lại từ đầu và rút kinh nghiệm từ chuyện này.

"Các công cụ 'drainer' không phá vỡ mật mã học. Chúng phá vỡ giả định rằng con người có thể đọc dữ liệu cuộc gọi (calldata) với tốc độ mà các ví yêu cầu. Chỉ cần làm chậm lại một chữ ký, cả ngành công nghiệp trộm cắp sẽ sụp đổ."

THE ENABLERS REGISTRY xử lý các tài khoản rút tiền như thế nào

Chúng tôi là một tập thể vận hành phi lợi nhuận. Chúng tôi truy lùng các hệ thống cơ sở hạ tầng lừa đảo 24/7 trên SEO, quảng cáo trả phí, [REDACTED], X, [REDACTED] và các bẫy thu hút tên miền, sau đó vô hiệu hóa chúng.

  • Hơn 785.000 Các tên miền lừa đảo và gian lận được theo dõi từ năm 2019.
  • Hơn 89.000 các báo cáo về hành vi lạm dụng được gửi đến các cơ quan đăng ký tên miền và nhà cung cấp dịch vụ lưu trữ.
  • 50+ Các nhà cung cấp giải pháp chống virus (AV) và các nền tảng thông tin về mối đe dọa đều sử dụng nguồn dữ liệu của chúng tôi.
  • <0,5% Tỷ lệ dương tính giả trên hơn 100.000 báo cáo đã được xác thực.
  • Miễn phí, công khai, không thể thay đổi kho lưu trữ bằng chứng về GitHub + HuggingFace.

Thấy trang web nào bị rò rỉ dữ liệu chưa? Hãy gửi liên kết đến @EnablersRegistry. Chúng tôi sẽ nộp báo cáo về vụ lạm dụng trước khi ly cà phê của bạn kịp nguội.

#CryptoDrainer#Web3Security#WalletDrainer#Permit2#DaaS#Inferno

Chia sẻ bài viết này

Các cuộc điều tra liên quan

NGHIÊN CỨU TRƯỜNG HỢP
[REDACTED] Drainer: Điều tra ở cấp độ bảng điều khiển
PHƯƠNG PHÁP NGHIÊN CỨU
Phân tích chi tiết một chiến dịch gỡ bỏ lừa đảo qua email
ĐIỀU TRA
IANA #1479, IANA #460, IANA #3765: Các nhà đăng ký tên miền tạo điều kiện cho các vụ lừa đảo

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings