Back to Blog

Drainer como Servicio: Dentro de la Economía de Phishing de $135M en Ethereum

Phalcon Compliance
October 21, 2025
5 min read
Key Insights

Un nuevo artículo académico, "Unmasking the Shadow Economy: A Deep Dive into Drainer-as-a-Service Phishing on Ethereum", ha ofrecido el primer análisis sistemático de una sofisticada empresa criminal que azota el espacio Web3. Esta investigación conjunta de la Universidad de Zhejiang y la Universidad Mohamed bin Zayed de Inteligencia Artificial (MBZUAI) revela los mecanismos del "Drainer-as-a-Service" (DaaS) —una próspera economía clandestina que ha robado más de 💲135 millones a 76.582 víctimas.

En BlockSec estamos especialmente orgullosos de que el primer autor del artículo, Bowen He, haya realizado parte de esta investigación crucial durante su pasantía con nuestro equipo.

El modelo de negocio DaaS: industrializando el cibercrimen

A diferencia del phishing tradicional y esporádico, el DaaS opera como una empresa de software B2B estructurada. El artículo detalla un proceso operativo claro:

  1. Operadores (Los Desarrolladores): Son los cerebros que desarrollan y mantienen sofisticados kits de herramientas "wallet drainer". Estos kits incluyen plantillas de sitios web de phishing y, de manera crucial, contratos inteligentes de reparto de beneficios automatizados.
  2. Afiliados (Los Distribuidores): "Arriendan" o adquieren estos kits de herramientas. Su trabajo consiste en desplegar los sitios de phishing y atraer tráfico, engañando a las víctimas a través de redes sociales, airdrops falsos y cuentas comprometidas. Una vez que la víctima es engañada para que firme una transacción maliciosa, los fondos robados son divididos automáticamente por el contrato inteligente. El artículo señala que la división más común es 20% para el operador y 80% para el afiliado. Esta alta comisión incentiva poderosamente a los afiliados a maximizar su alcance y escalar los ataques, impulsando todo el ecosistema.

Trazando un robo de 135 millones de dólares: el enfoque de "muestreo en bola de nieve"

Para cuantificar esta economía en la sombra, los investigadores desarrollaron un innovador enfoque de "muestreo en bola de nieve". Partiendo de un conjunto inicial de direcciones de phishing conocidas, rastrearon las transacciones de reparto de beneficios en la cadena para descubrir de forma recursiva nuevos operadores, afiliados y contratos.

Los hallazgos del período comprendido entre marzo de 2023 y abril de 2025 son impactantes:

  • Total robado: 💲135 millones ($23,1M para operadores, $111,9M para afiliados)

  • Infraestructura criminal: 1.910 contratos de reparto de beneficios y 87.077 transacciones de reparto de beneficios.

  • Red criminal: 56 cuentas de operadores principales y 6.087 cuentas de afiliados.

Los ataques son técnicamente sofisticados. El artículo revela que los drainers utilizan diferentes métodos según el activo:

  • Para ETH: Las víctimas son engañadas para que llamen a una función pagable (por ejemplo, denominada "claim" o "mint").

  • Para ERC-20s y NFTs: Los sitios de phishing solicitan a las víctimas que aprueben sus activos al contrato drainer. El operador utiliza entonces una función TransferFrom para ejecutar múltiples llamadas de transferencia en una sola transacción, drenando varios activos a la vez.

Las familias criminales dominantes

El panorama del DaaS no es un mercado fragmentado. La investigación identifica nueve grandes "familias", con tres grupos que dominan la red y acaparan el 93,9% de todos los beneficios ilícitos:

  1. Angel Drainer ($53,1M)
  2. Inferno Drainer ($59,0M)
  3. Pink Drainer ($14,7M) No son simples nombres de marca; son organizaciones diferenciadas con estrategias operativas únicas. El artículo destaca cómo gestionan sus redes de afiliados:

  • Gestión avanzada: Las principales familias, como Angel e Inferno Drainer, proporcionan a los afiliados paneles de administración dedicados para hacer un seguimiento de sus ganancias en tiempo real.

  • Incentivos gamificados: Emplean sistemas de niveles. Por ejemplo, Inferno Drainer categoriza a los afiliados en niveles según sus beneficios ($10k, $100k, $1M), ofreciendo a los miembros de nivel superior mejor soporte y recompensas.

  • Recompensas adicionales: Para motivar el rendimiento, Angel Drainer otorga NFTs de forma aleatoria a los afiliados con mayores ganancias, mientras que Inferno Drainer entrega periódicamente recompensas en ETH e incluso BTC a los mejores.

Un enorme punto ciego en la seguridad

Utilizando huellas digitales de archivos de kits de herramientas y monitoreando los registros de Transparencia de Certificados en busca de nombres de dominio sospechosos, los investigadores rastrearon activamente sitios web DaaS. Lograron identificar y reportar 32.819 sitios de phishing.

Sin embargo, el descubrimiento más alarmante fue la insuficiencia de las defensas actuales del sector. El estudio encontró que solo el 10,8% de las direcciones relacionadas con DaaS en su conjunto de datos habían sido marcadas previamente en rastreadores públicos como Etherscan. Esto revela un enorme punto ciego, que permite a estas redes criminales operar con relativa impunidad.

Por qué esta investigación es un llamado de atención urgente

El fenómeno DaaS demuestra que el phishing en Web3 ha evolucionado de una simple estafa a una economía criminal industrializada basada en servicios. Explota con maestría la naturaleza sin permisos y componible de DeFi con fines maliciosos.

Empieza con Phalcon Compliance

Centro de cumplimiento cripto para screening de billeteras y KYT

Pruébalo gratis ahora

Esta investigación subraya la necesidad urgente de una seguridad de múltiples capas:

  • Detección proactiva de amenazas: Ir más allá de las simples listas negras para identificar la infraestructura criminal mientras se construye.

  • Seguridad avanzada de billeteras: Implementar una sólida simulación de transacciones y advertencias claras y legibles para el ser humano antes de que los usuarios firmen sus activos.

  • Colaboración en todo el ecosistema: Crear canales más rápidos y completos para compartir inteligencia sobre amenazas y etiquetar direcciones maliciosas.

Esta investigación marca un punto de inflexión. El phishing en Ethereum ya no es un negocio secundario —es una economía industrializada con reparto de ingresos que opera a plena vista. En BlockSec, continuaremos aprovechando la investigación de vanguardia para construir la próxima generación de herramientas de seguridad que puedan contrarrestar eficazmente estas amenazas en constante evolución y cada vez más profesionalizadas.

Ver el artículo: https://assets.blocksec.com/pdf/1761189308551-2.pdf

Sign up for the latest updates
Sanciones de la OFAC al Cártel de Sinaloa: Rastreo de Fondos en la Cadena de Bloques

Sanciones de la OFAC al Cártel de Sinaloa: Rastreo de Fondos en la Cadena de Bloques

La OFAC sancionó una red del Cártel de Sinaloa por lavar ganancias de fentanilo. Rastreamos las seis direcciones sancionadas con MetaSleuth y el dinero fluye casi en su totalidad a través de exchanges centralizados.

Software de Cumplimiento Cripto: Flujos de Trabajo Diarios para Analistas de AML

Software de Cumplimiento Cripto: Flujos de Trabajo Diarios para Analistas de AML

Guía operativa para analistas AML con software de cumplimiento cripto. Cubre triaje de alertas, rastreo de fondos KYT, detección de mixers, documentación SAR, screening automatizado de entidades y errores comunes en investigaciones.

Requisitos de la Plataforma de Cumplimiento DeFi: Construyendo una Pila de Riesgos en Cadena

Requisitos de la Plataforma de Cumplimiento DeFi: Construyendo una Pila de Riesgos en Cadena

Guía técnica para equipos de protocolos DeFi que desarrollan una plataforma de cumplimiento on-chain. Cubre requisitos de stack, KYT en tiempo real, trazabilidad cross-chain, scoring de riesgo conductual, flujo de alertas e informes y fallos operativos comunes.

Start Real-Time AML with Phalcon Compliance

Turn Phalcon Network alerts into actions with Phalcon Compliance. Use verified blockchain intelligence to screen wallets, monitor transactions and investigate risks. This helps you respond quickly and stay compliant in the digital assets ecosystem.

Get Started with Phalcon Compliance
Contact Sales
Phalcon Compliance