Qué son realmente los kits de wallet drainer
Un kit de wallet drainer es un paquete de tres cosas: un contrato inteligente (o un script que lo invoca), una página de aterrizaje de phishing y un panel web. El contrato está diseñado para que, cuando la víctima firma una transacción en el sitio de phishing, le conceda al atacante permiso para mover tokens y NFTs específicos fuera de su cartera. El panel permite al "afiliado", la persona que ejecuta la estafa, ver las víctimas en tiempo real y cómo se acumulan los beneficios.
En Ethereum y las cadenas compatibles con EVM, el truco más común es pedir a la víctima que firme una llamada setApprovalForAll sobre un contrato malicioso de ERC-721 o ERC-1155, o que firme un increaseAllowance para un ERC-20 como USDT o USDC. Desde el punto de vista de la víctima, hace clic en "Reclamar airdrop", su cartera se abre, firma lo que parece una aprobación normal y, en cuestión de segundos, sus activos han desaparecido. En Solana, el equivalente es una transacción que agrupa instrucciones de transferencia de tokens disfrazadas de reclamación o stake.
Estos kits no son malware personalizado. Son productos con páginas de precios, canales de soporte e incluso equipos de atención al cliente. La expresión que usa el sector es drainer-as-a-service (DaaS), y es la razón estructural por la que el phishing a gran escala se ha vuelto rutina en lugar de algo excepcional.
Por qué esto es un mercado, no una afición
El paso del phishing de hackers solitarios a una economía de servicios es el hecho más importante sobre los wallet drainers. Inferno Drainer, que supuestamente cerró a finales de 2023, afirmaba en su ya archivado sitio web que había ayudado a sus afiliados a vaciar unos 80 millones de dólares en activos antes de desaparecer. Investigadores de seguridad de Wallet Guard y Scam Sniffer rastrearon ingresos similares de Pink Drainer, Angel Drainer, Monkey Drainer y un elenco rotativo de sucesores; el acumulado estimado entre estos kits se cifra en cientos de millones de dólares.
La economía hace que el modelo se sostenga solo. Construir un drainer fiable no es trivial: requiere optimización de gas, soporte para muchos tokens, métodos para blanquear los fondos y actualizaciones constantes a medida que las carteras y exploradores de bloques añaden avisos. La mayoría de los estafadores individuales no pueden o no quieren hacer ese trabajo, así que lo alquilan. El operador se encarga de la parte técnica, el afiliado se encarga del tráfico, y el reparto, normalmente 20% para el operador y 80% para el afiliado, con 30/70 en algunos kits, alinea los incentivos para seguir robando.
Ese reparto es también la razón por la que un solo kit puede servir a cientos de "clientes" a la vez. El coste marginal de un nuevo afiliado es casi cero, así que los operadores se promocionan agresivamente en canales privados de Telegram y Discord, a menudo con capturas de testimonios de pagos anteriores. Un cierre, incluso uno tan mediático como el de Inferno, solo redistribuye a los afiliados hacia el siguiente kit; el playbook, y la mayoría de las plantillas de páginas de aterrizaje, se mantienen.
El flujo típico de la víctima, paso a paso
Casi todos los ataques de drainer siguen una secuencia similar, y reconocer los pasos es la mejor defensa. La cadena suele empezar fuera del mundo cripto: un buscador, una red social o un servidor de Discord.
- Anuncio de búsqueda o cuenta secuestrada como cebo. Los afiliados compran anuncios en Google o Bing para términos como "Uniswap airdrop claim" o "LayerZero claim", con la URL de destino cambiada por un dominio parecido. Como alternativa, toman el control de cuentas verificadas en X/Twitter o Discord y publican enlaces de reclamación falsos desde cuentas en las que sus objetivos ya confían.
- Página de aterrizaje idéntica. El sitio es una copia pixel-perfect de un protocolo real, con recuentos de seguidores falsos, comentarios falsos y un botón de "Conectar Wallet". Los dominios suelen registrarse pocos días antes y a menudo usan servicios de privacidad o registradores gratuitos.
- El modal de drenaje. Tras conectar, el sitio pide al usuario que "reclame" o "verifique" y muestra una ventana emergente del monedero. En Ethereum, esa ventana suele ser una firma setApprovalForAll o Permit2; en Solana, es una transacción que se presiona al usuario a firmar rápidamente.
- Barrido automatizado. En el momento en que la firma llega al链, el backend del drainer envía un lote de llamadas de transferencia. ERC-20 de alto valor, ETH nativo y NFTs valiosos se mueven en un único bloque. En cuestión de segundos, los activos se enrutan a través de mixers, bridges o monederos recién fondeados.
- Lavado de dinero. Las ganancias suelen bridgarse a cadenas con KYC más débil, cambiarse por stablecoins como USDT o USDC, y empujarse a través de peel chains o servicios sucesores de Tornado Cash. Algunos afiliados cobran directamente a través de exchanges anidados; otros usan mesas OTC especializadas en "limpiar" tokens.
Toda la secuencia, desde hacer clic en un anuncio de búsqueda hasta perder el contenido de un monedero, puede durar menos de cinco minutos, por eso el volumen es alto incluso cuando la tasa de conversión por víctima es baja.
Los kits más grandes y lo que revelan sobre el mercado
Inferno Drainer es el caso de estudio que ancló la concienciación pública. Antes de su cierre en noviembre de 2023, Inferno se anunciaba públicamente en foros, cobraba un 20% de comisión y expuso su propio panel de operador en un fallo de seguridad que permitió a los investigadores contabilizar el botín. Investigaciones posteriores vincularon la actividad de Inferno a un conjunto núcleo de clusters de monederos y a rutas de lavado a través de servicios centralizados específicos.
Pink Drainer surgió casi inmediatamente después de la salida de Inferno y en un momento anunció un reparto 30/70, con una mayor parte para el operador que señalaba confianza en las tasas de conversión. Angel Drainer y Venom Drainer siguieron patrones similares, iterando sobre la evasión: rotando dominios más rápido, usando nuevos patrones de aprobación para saltarse las heurísticas de los monederos y atacando cadenas más allá de Ethereum mainnet, incluyendo Arbitrum, Base y BNB Chain. Los kits centrados en Solana, a veces llamados "sweeper bots" en lugar de drainers, usan un modelo relacionado con tokens SPL y han producido grandes pérdidas individuales.
El patrón entre estos kits es revelador. Los operadores iteran sobre tres cosas: cómo llegar a las víctimas, cómo hacer que la firma parezca legítima y cómo lavar las ganancias. Cuando una técnica deja de funcionar, como la sanción a Tornado Cash en 2022, el trabajo del operador es encontrar la siguiente. El producto en sí, un frontend de phishing pulido y un backend de drenaje, ya es la base del juego.
Lo que realmente sale mal para las víctimas
El perfil de riesgo de un ataque de drainer es inusualmente grave. A diferencia de un hack a un exchange, donde un custodio puede cubrir las pérdidas o donde los fondos a veces pueden congelarse centralizadamente, el robo por drainer es de autocustodia y efectivamente irreversible. Una vez que se firma un setApprovalForAll, el atacante puede invocar esa aprobación en cualquier momento, por lo que incluso los activos que no estaban en el monedero en el momento de la firma pueden vaciarse más tarde.
Varios modos de fallo específicos merecen atención:
- Las aprobaciones ocultas persisten. Una víctima que vacía su ETH y sus ERC-20 puede creer que ha "perdido todo" y se va, pero una aprobación NFT activa puede permitir al atacante volver al monedero semanas después y llevarse los nuevos activos adquiridos.
- Permit2 y firmas off-chain. Los drainers modernos abusan de Permit2, un estándar autoría de Uniswap para allowances de tokens, consiguiendo que los usuarios firmen un mensaje off-chain que concede derechos de gasto. Estas firmas no siempre muestran advertencias claras en los monederos y no requieren tener ETH para gas para emitirse, lo que reduce el coste del ataque.
- Re-targeting. Una vez que un monedero se marca on-chain como víctima de drainer, a menudo recibe tokens y NFTs adicionales estilo airdrop diseñados para atraer al dueño de vuelta a un sitio malicioso. El mismo monedero puede ser golpeado varias veces en distintas campañas.
- Velocidad de las stablecoins. USDT y USDC son objetivos favoritos porque son líquidas, fungibles y fáciles de lavar. Un monedero que tiene 50.000 $ en stablecoins y firma la aprobación equivocada suele vaciarse por completo en el mismo bloque.
- Repercusiones en reputación y fiscales. Las víctimas no solo están expuestas financieramente; la naturaleza pública del robo on-chain puede atraer más ingeniería social, incluyendo falsos "servicios de recuperación" que prometen recuperar los fondos a cambio de una tarifa por adelantado.
Para un lector que evalúa su exposición, el resumen honesto es: una sola firma, en un solo día, puede vaciar un monedero que tardó años en construirse, y el recurso legal es limitado en la mayoría de jurisdicciones.
Cómo siguen la economía de los drainers las fuerzas de seguridad y los investigadores
Seguir los beneficios de los drainers es una de las historias de éxito más claras en la investigación on-chain. Como cada robo deja un rastro público en el ledger, firmas como Chainalysis, TRM Labs y Elliptic, junto con investigadores independientes, pueden agrupar direcciones de drainers, seguir fondos a través de bridges y a veces identificar puntos de cash-out en exchanges centralizados que sí aplican KYC.
El caso de Inferno vuelve a ser ilustrativo. Los investigadores reunieron direcciones de depósito, identificaron el skim del 20% del operador y rastrearon los monederos de tesorería del propio operador. Varias acciones oficiales contra infraestructura de phishing en 2023 y 2024, incluyendo secuestros de dominios y el desmantelamiento de plataformas importantes de phishing-as-a-service, se basaron precisamente en este tipo de agrupación. Wallet Guard y Scam Sniffer, los dos dashboards comunitarios más citados, han publicado totales en tiempo real del robo por drainers y ofrecen servicios de notificación a víctimas que marcan aprobaciones directamente en los monederos.
Hay límites reales a este trabajo. Los mixers, los bridges entre cadenas, las peel chains y los servicios no custodial como los exchanges descentralizados diluyen la trazabilidad. Los operadores también lavan a través de servicios anidados, cuentas en exchanges offshore abiertas con identidades robadas o sintéticas, y brokers OTC informales. Cuando un operador es identificado, la persecución es más difícil que la identificación: se cree que muchos operadores de drainers se encuentran en jurisdicciones con cooperación limitada en delitos cripto, y los afiliados pueden estar en cualquier lugar. Incluso los cierres titulares, la salida voluntaria de Inferno, la disrupción de varios kits por investigadores de seguridad en 2024, son temporales: los operadores migran, los afiliados se redistribuyen y un nuevo kit suele ocupar la posición dominante en cuestión de semanas.
Qué significa esto para ti, en la práctica
La conclusión honesta, no promocional, es que los kits de drenado cambian el modelo de amenaza para cualquier usuario con autocustodia. Tres hábitos reducen la exposición de forma significativa, y ninguno exige comprar nada nuevo.
Primero, trata cada firma como irreversible. La mayoría de los monederos, incluidos los monederos populares de Ethereum, ya simulan las transacciones y muestran lo que se va a transferir. Lee esas simulaciones. Si un "reclamo" te pide firmar una aprobación, la simulación a menudo mostrará el contrato de drenado subyacente, y ese es el momento de cerrar la pestaña. En Solana, revisa la lista de instrucciones de la transacción en lugar de limitarte a hacer clic.
Segundo, separa tus monederos. Un monedero caliente usado para airdrops, mintsy DeFi no debería concentrar la mayor parte de tus tenencias a largo plazo. Traslada los activos de valor, especialmente los saldos grandes en USDT y USDC y los NFTs de alto valor, a un monedero frío o de hardware que solo conectes cuando vayas a firmar algo. Si un monedero caliente se ve drenado, la pérdida queda acotada.
Tercero, usa herramientas de listas de permitidos y de revocación. Revoke.cx y servicios similares permiten inspeccionar y cancelar los allowances existentes de ERC-20 y NFT, lo que resulta útil como paso de limpieza tras cualquier interacción con un sitio desconocido. Algunos monederos también admiten límites de gasto y topes de aprobación por dApp, que restringen lo que puede hacer una aprobación maliciosa aunque la termines firmando.
Ninguno de estos hábitos es una garantía, y ningún lector debería tratarlos como tal. Los operadores de drainers se adaptan, y siguen apareciendo patrones de aprobación nuevos. Aun así, la diferencia entre un usuario informado y uno que no lo está, en términos de pérdida esperada, es lo bastante grande como para justificar la molestia.
Cómo seguir la economía de los drainers con espíritu crítico
La economía de los drainers se mueve rápido, y también las noticias sobre ella. Los titulares suelen mezclar el "crimen cripto" en una sola cifra, aunque la mayor parte de las pérdidas recientes se deben a phishing y no a hackeos de exchanges; leer esa cifra con contexto importa. Zippfeed muestra titulares etiquetados como seguridad con puntuación de sentimiento (bullish, neutral o bearish) y una valoración de importancia, para que puedas distinguir el riesgo real de un protocolo del miedo promovido por intereses comerciales, y actuar sobre las historias que realmente afectan a tu monedero.
