Back to Blog

Einblicke in die Ethereum-Schattenwirtschaft: Neue Forschung enthüllt die $135M Drainer-as-a-Service-Industrie

Phalcon Compliance
October 21, 2025
4 min read

Ein neues akademisches Papier mit dem Titel „Unmasking the Shadow Economy: A Deep Dive into Drainer-as-a-Service Phishing on Ethereum“ hat einen ersten systematischen Einblick in ein hochentwickeltes kriminelles Unternehmen gegeben, das den Web3-Bereich plagt. Diese gemeinsame Forschung der Zhejiang University und der Mohamed bin Zayed University of Artificial Intelligence (MBZUAI) deckt die Mechanik von „Drainer-as-a-Service“ (DaaS) auf – eine florierende Untergrundwirtschaft, die über 135 Millionen US-Dollar von 76.582 Opfern gestohlen hat.

Wir bei BlockSec sind besonders stolz darauf, dass der Erstautor des Papiers, Bowen He, einen Teil dieser entscheidenden Forschung während seines Praktikums in unserem Team durchgeführt hat.

Das DaaS-Geschäftsmodell: Industrialisierung von Cyberkriminalität

Im Gegensatz zu herkömmlichem, Ad-hoc-Phishing agiert DaaS wie ein strukturiertes B2B-Softwareunternehmen. Das Papier beschreibt eine klare operative Pipeline:

  1. Betreiber (Die Entwickler): Dies sind die Drahtzieher, die hochentwickelte „Wallet-Drainer“-Toolkits entwickeln und pflegen. Diese Kits umfassen Phishing-Website-Vorlagen und, entscheidend, automatisierte Profit-Sharing-Smart-Contracts.
  2. Affiliates (Die Distributoren): Sie „mieten“ oder erwerben diese Toolkits. Ihre Aufgabe ist es, die Phishing-Sites bereitzustellen und Traffic zu generieren, um Opfer über soziale Medien, gefälschte Airdrops und kompromittierte Konten anzulocken. Sobald ein Opfer dazu verleitet wird, eine bösartige Transaktion zu signieren, werden die gestohlenen Gelder automatisch durch den Smart Contract aufgeteilt. Das Papier stellt fest, dass die häufigste Aufteilung 20 % für den Betreiber und 80 % für den Affiliate beträgt. Diese hohe Provision spornt die Affiliates stark an, ihre Reichweite zu maximieren und die Angriffe zu skalieren, was das gesamte Ökosystem befeuert.

Kartierung eines Diebstahls von 135 Millionen US-Dollar: Der „Schneeball-Sampling“-Ansatz

Um diese Schattenwirtschaft zu quantifizieren, entwickelten die Forscher einen innovativen „Schneeball-Sampling“-Ansatz. Ausgehend von einem Basissatz bekannter Phishing-Adressen verfolgten sie On-Chain-Profit-Sharing-Transaktionen, um rekursiv neue Betreiber, Affiliates und Verträge zu entdecken.

Die Ergebnisse von März 2023 bis April 2025 sind atemberaubend:

  • Gesamter Schaden: 135 Millionen US-Dollar (23,1 Mio. US-Dollar für Betreiber, 111,9 Mio. US-Dollar für Affiliates)

  • Kriminelle Infrastruktur: 1.910 Profit-Sharing-Verträge und 87.077 Profit-Sharing-Transaktionen.

  • Kriminelles Netzwerk: 56 Kernbetreiberkonten und 6.087 Affiliate-Konten.

Die Angriffe sind technisch ausgefeilt. Das Papier enthüllt, dass Drainer je nach Vermögenswert unterschiedliche Methoden verwenden:

  • Für ETH: Opfer werden dazu verleitet, eine zahlbare Funktion (z. B. mit dem Namen „claim“ oder „mint“) aufzurufen.

  • Für ERC-20s und NFTs: Phishing-Sites fordern Opfer auf, ihre Vermögenswerte dem Drainer-Vertrag zu genehmigen. Der Betreiber verwendet dann eine TransferFrom-Funktion, um mehrere Transferaufrufe in einer einzigen Transaktion auszuführen und so verschiedene Vermögenswerte auf einmal abzuziehen.

Die dominierenden kriminellen Familien

Die DaaS-Landschaft ist kein fragmentierter Markt. Die Forschung identifiziert neun Haupt-„Familien“, wobei drei Gruppen das Netzwerk dominieren und 93,9 % aller illegalen Gewinne erzielen:

  1. Angel Drainer (53,1 Mio. US-Dollar)
  2. Inferno Drainer (59,0 Mio. US-Dollar)
  3. Pink Drainer (14,7 Mio. US-Dollar)

Dies sind nicht nur Markennamen; es sind eigenständige Organisationen mit einzigartigen operativen Strategien. Das Papier hebt hervor, wie sie ihre Affiliate-Netzwerke verwalten:

  • Fortgeschrittene Verwaltung: Top-Familien wie Angel und Inferno Drainer stellen Affiliates dedizierte Admin-Panels zur Verfügung, um ihre Einnahmen in Echtzeit zu verfolgen.

  • Gamifizierte Anreize: Sie setzen Level-Systeme ein. Inferno Drainer kategorisiert beispielsweise Affiliates basierend auf ihren Gewinnen in Stufen (10.000 US-Dollar, 100.000 US-Dollar, 1 Mio. US-Dollar) und bietet Mitgliedern der Top-Stufe bessere Unterstützung und Belohnungen.

  • Bonus-Belohnungen: Um die Leistung zu motivieren, vergibt Angel Drainer zufällig NFTs an hochverdienende Affiliates, während Inferno Drainer periodisch Belohnungen in ETH und sogar BTC an Top-Performer vergibt.

Ein massiver Sicherheits-Blindspot

Mithilfe von Toolkit-Datei-Fingerabdrücken und der Überwachung von Certificate Transparency-Logs auf verdächtige Domainnamen haben die Forscher aktiv nach DaaS-Websites gesucht. Sie identifizierten und meldeten erfolgreich 32.819 Phishing-Websites.

Die alarmierendste Entdeckung war jedoch die Unzulänglichkeit der aktuellen Branchenabwehrmaßnahmen. Die Studie ergab, dass nur 10,8 % der DaaS-bezogenen Adressen in ihrem Datensatz zuvor auf öffentlichen Trackern wie Etherscan markiert waren. Dies offenbart einen riesigen blinden Fleck, der es diesen kriminellen Netzwerken ermöglicht, mit relativer Straflosigkeit zu agieren.

Warum diese Forschung ein entscheidender Weckruf ist

Das DaaS-Phänomen beweist, dass sich Web3-Phishing von einem einfachen Betrug zu einer industrialisierten, dienstleistungsbasierten kriminellen Wirtschaft entwickelt hat. Es nutzt geschickt die erlaubnisfreie und zusammensetzbare Natur von DeFi für bösartige Zwecke aus.

Diese Forschung unterstreicht die dringende Notwendigkeit einer mehrschichtigen Sicherheit:

  • Proaktive Bedrohungserkennung: Über einfache Blacklists hinausgehen, um kriminelle Infrastrukturen zu identifizieren, während sie aufgebaut werden.

  • Fortgeschrittene Wallet-Sicherheit: Robuste Transaktionssimulation und klare, menschenlesbare Warnungen implementieren, bevor Benutzer ihre Vermögenswerte weggeben.

  • Ökosystemweite Zusammenarbeit: Schnellere, umfassendere Kanäle für den Austausch von Bedrohungsdaten und die Kennzeichnung bösartiger Adressen schaffen.

Diese Forschung markiert einen Wendepunkt. Phishing auf Ethereum ist kein Nebenerwerb mehr – es ist eine industrialisierte Wirtschaft mit Gewinnbeteiligung, die offen operiert. Bei BlockSec werden wir weiterhin modernste Forschung nutzen, um die nächste Generation von Sicherheitstools zu entwickeln, die diese sich entwickelnden, professionalisierten Bedrohungen wirksam bekämpfen können.

Siehe das Papier: https://assets.blocksec.com/pdf/1761189308551-2.pdf

Sign up for the latest updates
The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis
Security Insights

The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis

This BlockSec deep-dive analyzes the KelpDAO $290M rsETH cross-chain bridge exploit (April 18, 2026), attributed to the Lazarus Group, tracing a causal chain across three layers: how a single-point DVN dependency enabled the attack, how DeFi composability cascaded the damage through Aave V3 lending markets to freeze WETH liquidity exceeding $6.7B across Ethereum, Arbitrum, Base, Mantle, and Linea, and how the crisis forced decentralized governance to exercise centralized emergency powers. The article examines three parameters that shaped the cascade's severity (LTV, pool depth, and cross-chain deployment count) and provides an exclusive technical breakdown of Arbitrum Security Council's forced state transition, an atomic contract upgrade that moved 30,766 ETH without the holder's signature.

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026

This BlockSec weekly security report covers four attack incidents detected between April 13 and April 19, 2026, across multiple chains such as Ethereum, Unichain, Arbitrum, and NEAR, with total estimated losses of approximately $310M. The highlighted incident is the $290M KelpDAO rsETH bridge exploit, where an attacker poisoned the RPC infrastructure of the sole LayerZero DVN to fabricate a cross-chain message, triggering a cascading WETH freeze across five chains and an Arbitrum Security Council forced state transition that raises questions about the actual trust boundaries of decentralized systems. Other incidents include a $242K MMR proof forgery on Hyperbridge, a $1.5M signed integer abuse on Dango, and an $18.4M circular swap path exploit on Rhea Finance's Burrowland protocol.

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026

This BlockSec weekly security report covers four DeFi attack incidents detected between April 6 and April 12, 2026, across Linea, BNB Chain, Arbitrum, Optimism, Avalanche, and Base, with total estimated losses of approximately $928.6K. Notable incidents include a $517K approval-related exploit where a user mistakenly approved a permissionless SquidMulticall contract enabling arbitrary external calls, a $193K business logic flaw in the HB token's reward-settlement logic that allowed direct AMM reserve manipulation, a $165.6K exploit in Denaria's perpetual DEX caused by a rounding asymmetry compounded with an unsafe cast, and a $53K access control issue in XBITVault caused by an initialization-dependent check that failed open. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident.

Start Real-Time AML with Phalcon Compliance

Turn Phalcon Network alerts into actions with Phalcon Compliance. Use verified blockchain intelligence to screen wallets, monitor transactions and investigate risks. This helps you respond quickly and stay compliant in the digital assets ecosystem.

Get Started with Phalcon Compliance
Contact Sales
Phalcon Compliance