Back to Blog

Einblicke in die Ethereum-Schattenwirtschaft: Neue Forschung enthüllt die $135M Drainer-as-a-Service-Industrie

Phalcon Compliance
October 21, 2025
4 min read

Ein neues akademisches Papier mit dem Titel „Unmasking the Shadow Economy: A Deep Dive into Drainer-as-a-Service Phishing on Ethereum“ hat einen ersten systematischen Einblick in ein hochentwickeltes kriminelles Unternehmen gegeben, das den Web3-Bereich plagt. Diese gemeinsame Forschung der Zhejiang University und der Mohamed bin Zayed University of Artificial Intelligence (MBZUAI) deckt die Mechanik von „Drainer-as-a-Service“ (DaaS) auf – eine florierende Untergrundwirtschaft, die über 135 Millionen US-Dollar von 76.582 Opfern gestohlen hat.

Wir bei BlockSec sind besonders stolz darauf, dass der Erstautor des Papiers, Bowen He, einen Teil dieser entscheidenden Forschung während seines Praktikums in unserem Team durchgeführt hat.

Das DaaS-Geschäftsmodell: Industrialisierung von Cyberkriminalität

Im Gegensatz zu herkömmlichem, Ad-hoc-Phishing agiert DaaS wie ein strukturiertes B2B-Softwareunternehmen. Das Papier beschreibt eine klare operative Pipeline:

  1. Betreiber (Die Entwickler): Dies sind die Drahtzieher, die hochentwickelte „Wallet-Drainer“-Toolkits entwickeln und pflegen. Diese Kits umfassen Phishing-Website-Vorlagen und, entscheidend, automatisierte Profit-Sharing-Smart-Contracts.
  2. Affiliates (Die Distributoren): Sie „mieten“ oder erwerben diese Toolkits. Ihre Aufgabe ist es, die Phishing-Sites bereitzustellen und Traffic zu generieren, um Opfer über soziale Medien, gefälschte Airdrops und kompromittierte Konten anzulocken. Sobald ein Opfer dazu verleitet wird, eine bösartige Transaktion zu signieren, werden die gestohlenen Gelder automatisch durch den Smart Contract aufgeteilt. Das Papier stellt fest, dass die häufigste Aufteilung 20 % für den Betreiber und 80 % für den Affiliate beträgt. Diese hohe Provision spornt die Affiliates stark an, ihre Reichweite zu maximieren und die Angriffe zu skalieren, was das gesamte Ökosystem befeuert.

Kartierung eines Diebstahls von 135 Millionen US-Dollar: Der „Schneeball-Sampling“-Ansatz

Um diese Schattenwirtschaft zu quantifizieren, entwickelten die Forscher einen innovativen „Schneeball-Sampling“-Ansatz. Ausgehend von einem Basissatz bekannter Phishing-Adressen verfolgten sie On-Chain-Profit-Sharing-Transaktionen, um rekursiv neue Betreiber, Affiliates und Verträge zu entdecken.

Die Ergebnisse von März 2023 bis April 2025 sind atemberaubend:

  • Gesamter Schaden: 135 Millionen US-Dollar (23,1 Mio. US-Dollar für Betreiber, 111,9 Mio. US-Dollar für Affiliates)

  • Kriminelle Infrastruktur: 1.910 Profit-Sharing-Verträge und 87.077 Profit-Sharing-Transaktionen.

  • Kriminelles Netzwerk: 56 Kernbetreiberkonten und 6.087 Affiliate-Konten.

Die Angriffe sind technisch ausgefeilt. Das Papier enthüllt, dass Drainer je nach Vermögenswert unterschiedliche Methoden verwenden:

  • Für ETH: Opfer werden dazu verleitet, eine zahlbare Funktion (z. B. mit dem Namen „claim“ oder „mint“) aufzurufen.

  • Für ERC-20s und NFTs: Phishing-Sites fordern Opfer auf, ihre Vermögenswerte dem Drainer-Vertrag zu genehmigen. Der Betreiber verwendet dann eine TransferFrom-Funktion, um mehrere Transferaufrufe in einer einzigen Transaktion auszuführen und so verschiedene Vermögenswerte auf einmal abzuziehen.

Die dominierenden kriminellen Familien

Die DaaS-Landschaft ist kein fragmentierter Markt. Die Forschung identifiziert neun Haupt-„Familien“, wobei drei Gruppen das Netzwerk dominieren und 93,9 % aller illegalen Gewinne erzielen:

  1. Angel Drainer (53,1 Mio. US-Dollar)
  2. Inferno Drainer (59,0 Mio. US-Dollar)
  3. Pink Drainer (14,7 Mio. US-Dollar)

Dies sind nicht nur Markennamen; es sind eigenständige Organisationen mit einzigartigen operativen Strategien. Das Papier hebt hervor, wie sie ihre Affiliate-Netzwerke verwalten:

  • Fortgeschrittene Verwaltung: Top-Familien wie Angel und Inferno Drainer stellen Affiliates dedizierte Admin-Panels zur Verfügung, um ihre Einnahmen in Echtzeit zu verfolgen.

  • Gamifizierte Anreize: Sie setzen Level-Systeme ein. Inferno Drainer kategorisiert beispielsweise Affiliates basierend auf ihren Gewinnen in Stufen (10.000 US-Dollar, 100.000 US-Dollar, 1 Mio. US-Dollar) und bietet Mitgliedern der Top-Stufe bessere Unterstützung und Belohnungen.

  • Bonus-Belohnungen: Um die Leistung zu motivieren, vergibt Angel Drainer zufällig NFTs an hochverdienende Affiliates, während Inferno Drainer periodisch Belohnungen in ETH und sogar BTC an Top-Performer vergibt.

Ein massiver Sicherheits-Blindspot

Mithilfe von Toolkit-Datei-Fingerabdrücken und der Überwachung von Certificate Transparency-Logs auf verdächtige Domainnamen haben die Forscher aktiv nach DaaS-Websites gesucht. Sie identifizierten und meldeten erfolgreich 32.819 Phishing-Websites.

Die alarmierendste Entdeckung war jedoch die Unzulänglichkeit der aktuellen Branchenabwehrmaßnahmen. Die Studie ergab, dass nur 10,8 % der DaaS-bezogenen Adressen in ihrem Datensatz zuvor auf öffentlichen Trackern wie Etherscan markiert waren. Dies offenbart einen riesigen blinden Fleck, der es diesen kriminellen Netzwerken ermöglicht, mit relativer Straflosigkeit zu agieren.

Warum diese Forschung ein entscheidender Weckruf ist

Das DaaS-Phänomen beweist, dass sich Web3-Phishing von einem einfachen Betrug zu einer industrialisierten, dienstleistungsbasierten kriminellen Wirtschaft entwickelt hat. Es nutzt geschickt die erlaubnisfreie und zusammensetzbare Natur von DeFi für bösartige Zwecke aus.

Diese Forschung unterstreicht die dringende Notwendigkeit einer mehrschichtigen Sicherheit:

  • Proaktive Bedrohungserkennung: Über einfache Blacklists hinausgehen, um kriminelle Infrastrukturen zu identifizieren, während sie aufgebaut werden.

  • Fortgeschrittene Wallet-Sicherheit: Robuste Transaktionssimulation und klare, menschenlesbare Warnungen implementieren, bevor Benutzer ihre Vermögenswerte weggeben.

  • Ökosystemweite Zusammenarbeit: Schnellere, umfassendere Kanäle für den Austausch von Bedrohungsdaten und die Kennzeichnung bösartiger Adressen schaffen.

Diese Forschung markiert einen Wendepunkt. Phishing auf Ethereum ist kein Nebenerwerb mehr – es ist eine industrialisierte Wirtschaft mit Gewinnbeteiligung, die offen operiert. Bei BlockSec werden wir weiterhin modernste Forschung nutzen, um die nächste Generation von Sicherheitstools zu entwickeln, die diese sich entwickelnden, professionalisierten Bedrohungen wirksam bekämpfen können.

Siehe das Papier: https://assets.blocksec.com/pdf/1761189308551-2.pdf

Sign up for the latest updates
~$15.9M Lost: Trusted Volumes & More | BlockSec Weekly
Security Insights

~$15.9M Lost: Trusted Volumes & More | BlockSec Weekly

This BlockSec bi-weekly security report covers 11 notable attack incidents identified between April 27 and May 10, 2026, across Sui, Ethereum, BNB Chain, Base, Blast, and Berachain, with total estimated losses of approximately $15.9M. Three incidents are analyzed in detail: the highlighted $1.14M Aftermath Finance exploit on Sui, where a signed/unsigned semantic mismatch in the builder-fee validation allowed an attacker to inject a negative fee that was converted into positive collateral during settlement; the $5.87M Trusted Volumes RFQ authorization mismatch on Ethereum; and the $5.7M Wasabi Protocol infrastructure-to-contract-control compromise across multiple EVM chains.

Newsletter - April 2026
Security Insights

Newsletter - April 2026

In April 2026, the DeFi ecosystem experienced three major security incidents. KelpDAO lost ~$290M due to an insecure 1-of-1 DVN bridge configuration exploited via RPC infrastructure compromise, Drift Protocol suffered ~$285M from a multisig governance takeover leveraging Solana's durable nonce mechanism, and Rhea Finance incurred ~$18.4M following a business logic flaw in its margin-trading module that allowed circular swap path manipulatio

~$7.04M Lost: GiddyDefi, Volo Vault & More | BlockSec Weekly
Security Insights

~$7.04M Lost: GiddyDefi, Volo Vault & More | BlockSec Weekly

This BlockSec weekly security report covers eight attack incidents detected between April 20 and April 26, 2026, across Ethereum, Avalanche, Sui, Base, HyperLiquid, and MegaETH, with total estimated losses of approximately $7.04M. The highlighted incident is the $1.3M GiddyDefi exploit, where the attacker did not break any cryptography or use a flash loan but simply replayed an existing on-chain EIP-712 signature with the unsigned `aggregator` and `fromToken` fields swapped out for a malicious contract, demonstrating how partial signature coverage turns any historical signature into a generic permit. Other incidents include a $3.5M Volo Vault operator key compromise on Sui, a $1.5M Purrlend privileged-role takeover, a $413K SingularityFinance oracle misconfiguration, a $142.7K Scallop cross-pool index injection, a $72.35K Kipseli Router decimal mismatch, a $50.7K REVLoans (Juicebox) accounting pollution, and a $64K Custom Rebalancer arbitrary-call exploit.

Start Real-Time AML with Phalcon Compliance

Turn Phalcon Network alerts into actions with Phalcon Compliance. Use verified blockchain intelligence to screen wallets, monitor transactions and investigate risks. This helps you respond quickly and stay compliant in the digital assets ecosystem.

Get Started with Phalcon Compliance
Contact Sales
Phalcon Compliance