O que são, na verdade, os kits de wallet drainer
Um kit de wallet drainer é um conjunto de três coisas: um smart contract (ou um script que chama um), uma landing page de phishing e um dashboard web. O contract é construído de forma a que, quando uma vítima assina uma transação no site de phishing, concede ao atacante permissão para mover tokens e NFTs específicos da carteira da vítima. O dashboard permite ao "afiliado", a pessoa que está a operar a burla, ver as vítimas em tempo real e acompanhar os lucros a acumular.
Na Ethereum e em chains compatíveis com EVM, o truque mais comum é pedir à vítima que assine uma chamada setApprovalForAll num contract ERC-721 ou ERC-1155 malicioso, ou que assine um increaseAllowance para um ERC-20 como USDT ou USDC. Do ponto de vista da vítima, clica em "Claim airdrop", a wallet abre, assina o que parece ser uma aprovação normal e, em segundos, os activos desaparecem. Na Solana, o equivalente é uma transação que agrupa instruções de transferência de tokens dentro do que parece ser uma ação de claim ou stake.
Estes kits não são malware personalizado. São produtos com páginas de preços, canais de suporte e até equipas de customer success. A expressão que a indústria utiliza é drainer-as-a-service (DaaS), e é a razão estrutural pela qual o phishing em escala se tornou rotina em vez de exceção.
Porque é que isto é um mercado, não um passatempo
A transição do phishing feito por hackers isolados para uma economia de serviço é o facto mais importante sobre os wallet drainers. O Inferno Drainer, que supostamente encerrou no final de 2023, afirmou no seu site agora arquivado que tinha ajudado os afiliados a drenar cerca de 80 milhões de dólares em activos antes de desaparecer. Investigadores de segurança da Wallet Guard e da Scam Sniffer acompanharam receitas semelhantes do Pink Drainer, Angel Drainer, Monkey Drainer e de um conjunto rotativo de sucessores; o total acumulado entre estes kits foi estimado em centenas de milhões de dólares.
A economia torna o modelo auto-sustentável. Construir um drainer fiável não é trivial: exige otimização de gás, suporte para muitos tokens, métodos para branquear os proceeds e atualizações constantes à medida que as wallets e os block explorers adicionam avisos. A maioria dos scammers individuais não consegue ou não quer fazer esse trabalho, por isso aluga-o. O operador trata da parte técnica, o afiliado trata do tráfego, e a divisão, normalmente 20% para o operador e 80% para o afiliado, com 30/70 nalguns kits, alinha os incentivos para que continuem a roubar.
Essa divisão é também a razão pela qual um único kit pode servir centenas de "clientes" em simultâneo. O custo marginal de um novo afiliado é próximo de zero, por isso os operadores fazem marketing agressivo em canais privados de Telegram e Discord, muitas vezes com screenshots de testemunhos de pagamentos anteriores. Um encerramento, mesmo um de alto perfil como o do Inferno, basicamente redistribui os afiliados pelo kit seguinte; o playbook, e a maioria dos templates de landing page, continuam iguais.
O fluxo típico da vítima, passo a passo
Quase todos os ataques de drainer seguem uma sequência semelhante, e reconhecer os passos é a melhor defesa. A cadeia costuma começar fora das criptomoedas: num motor de busca, numa rede social ou num servidor de Discord.
- Isco de anúncio de pesquisa ou conta sequestrada. Afiliados compram anúncios no Google ou no Bing para termos como "Uniswap airdrop claim" ou "LayerZero claim", com o URL de destino trocado por um domínio visualmente idêntico. Em alternativa, tomam o controlo de contas verificadas no X/Twitter ou no Discord e publicam links de reclamação falsos a partir de contas que os alvos já confiam.
- Página de destino falsa. O site é uma cópia pixel-perfect de um protocolo real, com contagens de seguidores falsas, comentários falsos e um botão "Connect Wallet". Os domínios são normalmente registados em poucos dias e recorrem frequentemente a serviços de privacidade ou registadores gratuitos.
- O modal de drenagem. Após a ligação, o site pede ao utilizador para "reclamar" ou "verificar" e apresenta um popup da wallet. Na Ethereum, esse popup é normalmente uma assinatura setApprovalForAll ou Permit2; na Solana, é uma transação que o utilizador é pressionado a assinar rapidamente.
- Varrimento automatizado. No instante em que a assinatura é confirmada, o backend do drainer submete um pacote de chamadas de transferência. ERC-20s de elevado valor, ETH nativo e NFTs valiosos são movidos num único bloco. Em segundos, os ativos são encaminhados através de mixers, bridges ou wallets recém-financiadas.
- Branqueamento. Os fundos são normalmente enviados por bridge para cadeias com KYC mais fraco, trocados por stablecoins como USDT ou USDC, e empurrados através de peel chains ou serviços como sucessores do Tornado Cash. Alguns afiliados fazem cash out diretamente através de exchanges aninhadas; outros usam mesas OTC especializadas em "limpar" tokens.
Toda a sequência, desde clicar num anúncio de pesquisa até perder o conteúdo de uma wallet, pode demorar menos de cinco minutos, e é por isso que o volume é elevado mesmo quando a taxa de conversão por vítima é baixa.
Os maiores kits e o que revelam sobre o mercado
O Inferno Drainer é o caso de estudo que consolidou a consciencialização pública. Antes do seu encerramento em novembro de 2023, o Inferno publicitava-se abertamente em fóruns, cobrava uma comissão de 20% e expôs o próprio dashboard do operador num erro de segurança que permitiu aos investigadores contabilizar os ganhos. Investigações subsequentes associaram a atividade do Inferno a um conjunto central de clusters de wallets e a caminhos de branqueamento através de serviços centralizados específicos.
O Pink Drainer surgiu quase imediatamente após a saída do Inferno e chegou a publicitar uma divisão 30/70, com uma maior fatia para o operador que sinalizava confiança nas taxas de conversão. O Angel Drainer e o Venom Drainer seguiram padrões semelhantes, cada um a iterar na evasão: rotação mais rápida de domínios, padrões de aprovação inovadores para contornar heurísticas de wallets, e targeting de cadeias para além da mainnet da Ethereum, incluindo Arbitrum, Base e BNB Chain. Kits focados na Solana, por vezes chamados "sweeper bots" em vez de drainers, usam um modelo relacionado sobre tokens SPL e já produziram perdas individuais elevadas.
O padrão entre estes kits é revelador. Os operadores iteram sobre três coisas: como alcançar as vítimas, como fazer a assinatura parecer legítima e como branquear os fundos. Quando uma técnica deixa de funcionar, como a sanção ao Tornado Cash em 2022, o trabalho do operador é encontrar a seguinte. O produto em si, uma phishing front end polida e um backend de drenagem, é agora um requisito mínimo.
O que corre efetivamente mal para as vítimas
O perfil de risco de um ataque de drainer é invulgarmente grave. Ao contrário de um hack a uma exchange, em que um custodiante pode cobrir perdas ou em que os fundos podem por vezes ser congelados centralmente, o roubo por drainer é de autocustódia e efetivamente irreversível. Uma vez assinado um setApprovalForAll, o atacante pode invocar essa aprovação a qualquer momento, pelo que mesmo ativos que não estavam na wallet no momento da assinatura podem ser drenados mais tarde.
Vários modos de falha específicos merecem atenção:
- Aprovações ocultas persistem. Uma vítima que drena os seus ETH e ERC-20s pode acreditar que "perdeu tudo" e seguir em frente, mas uma aprovação NFT ativa pode permitir ao atacante revisitar a wallet semanas depois e varrer itens adquiridos entretanto.
- Permit2 e assinaturas off-chain. Os drainers modernos abusam do Permit2, um padrão autoria do Uniswap para allowances de tokens, levando os utilizadores a assinar uma mensagem off-chain que concede direitos de gasto. Estas assinaturas nem sempre mostram avisos claros nas wallets, e não exigem a detenção de ETH para gas para serem emitidas, o que reduz o custo do ataque.
- Targeting repetido. Assim que uma wallet é sinalizada como vítima de drainer on-chain, recebe frequentemente novos tokens e NFTs estilo airdrop concebidos para atrair o titular de volta a um site malicioso. A mesma wallet pode ser atingida várias vezes em campanhas diferentes.
- Velocidade das stablecoins. USDT e USDC são alvos preferidos por serem líquidas, fungíveis e fáceis de branquear. Uma wallet que detém $50.000 em stablecoins e que assina a aprovação errada costuma ser totalmente drenada no mesmo bloco.
- Repercussões reputacionais e fiscais. As vítimas não estão apenas expostas financeiramente; a natureza pública do roubo on-chain pode atrair mais engenharia social, incluindo falsos "serviços de recuperação" que prometem recuperar fundos mediante um pagamento antecipado.
Para um leitor a avaliar a sua exposição, o resumo honesto é: uma única assinatura, num único dia, pode esvaziar uma wallet que levou anos a construir, e os recursos legais são limitados na maioria das jurisdições.
Como as autoridades e os investigadores acompanham a economia dos drainers
Acompanhar os lucros dos drainers é uma das histórias de sucesso mais claras na investigação on-chain. Como cada roubo deixa um rasto público no ledger, empresas como Chainalysis, TRM Labs e Elliptic, em conjunto com investigadores independentes, conseguem agrupar endereços de drainers, seguir fundos através de bridges e, por vezes, identificar pontos de cash out em exchanges centralizadas que de facto cumprem KYC.
O caso Inferno volta a ser ilustrativo. Os investigadores reuniram endereços de depósito, identificaram a comissão de 20% do operador e seguiram as próprias wallets de tesouraria do operador. Várias ações oficiais contra infraestruturas de phishing em 2023 e 2024, incluindo apreensões de domínios e o desmantelamento de grandes plataformas de phishing-as-a-service, foram informadas precisamente por este tipo de clustering. A Wallet Guard e a Scam Sniffer, os dois dashboards comunitários mais citados, publicaram totais em tempo real do roubo por drainers e disponibilizam serviços de notificação de vítimas que sinalizam aprovações diretamente nas wallets.
Há limites reais a este trabalho. Mixers, cross-chain bridges, peel chains e serviços não-custodiados como exchanges descentralizadas esbatem todos a rastreabilidade. Os operadores também branqueiam através de serviços aninhados, contas em exchanges offshore abertas com identidades roubadas ou sintéticas, e brokers OTC informais. Quando um operador é identificado, a perseguição penal é mais difícil do que a identificação: acredita-se que muitos operadores de drainers estejam sediados em jurisdições com cooperação limitada em crimes cripto, e os afiliados podem estar em qualquer lado. Mesmo os encerramentos mais mediáticos — a saída voluntária do Inferno, a perturbação de vários kits por investigadores de segurança em 2024 — são temporários: os operadores migram, os afiliados redistribuem-se e um novo kit costuma assumir a posição dominante em poucas semanas.
O que isto significa para si, na prática
A conclusão honesta e não promocional é que os kits de drenagem alteram o modelo de ameaça para qualquer utilizador em autocustódia. Três hábitos reduzem significativamente a exposição, e nenhum deles exige comprar algo novo.
Primeiro, trate cada assinatura como irreversível. A maioria das carteiras, incluindo carteiras populares de Ethereum, já simulam transações e mostram o que será transferido. Leia essas simulações. Se um "claim" lhe pede para assinar uma aprovação, a simulação revelará frequentemente o contrato de drenagem subjacente, e esse é o momento para fechar o separador. Na Solana, observe a lista de instruções da transação em vez de clicar e seguir em frente.
Segundo, separe as suas carteiras. Uma hot wallet usada para airdrops, mints e DeFi não deve deter a maior parte das participações de longo prazo. Transfira ativos valiosos, especialmente saldos grandes de USDT e USDC e NFTs de elevado valor, para uma cold wallet ou hardware wallet à qual só se liga quando tenciona assinar. Se uma hot wallet for drenada, a perda é limitada.
Terceiro, utilize ferramentas de allowlist e revogação. O Revoke.cx e serviços semelhantes permitem-lhe inspecionar e cancelar autorizações existentes de ERC-20 e NFT, o que é um passo de limpeza útil após qualquer interação com um site desconhecido. Algumas carteiras também suportam limites de gasto e limites de aprovação por dApp, o que restringe o que uma aprovação maliciosa pode fazer, mesmo que a tenha assinado.
Nenhum destes hábitos é uma garantia, e nenhum leitor os deve tratar como tal. Os operadores de drainers adaptam-se, e continuam a surgir novos padrões de aprovação. Mas a diferença entre um utilizador informado e um utilizador desinformado, em termos de perda esperada, é suficientemente grande para justificar o esforço.
Como acompanhar a economia dos drainers de forma crítica
A economia dos drainers move-se rapidamente, e as notícias sobre o tema também. Os títulos confundem frequentemente "cibercrime em cripto" num único número, embora a maior parte das perdas recentes sejam causadas por phishing e não por ataques a exchanges; ler esse número com contexto é importante. A Zippfeed destaca títulos com etiqueta de segurança com pontuação de sentimento (bullish, neutral ou bearish) e uma classificação de importância, para que possa distinguir risco genuíno de protocolo do medo promovido por marketing, e agir sobre as histórias que realmente afetam a sua carteira.
