Back to Blog

Drainer-as-a-Service: Por Dentro da Economia de Phishing de $135M no Ethereum

Phalcon Compliance
October 21, 2025
5 min read
Key Insights

Um novo artigo acadêmico, "Unmasking the Shadow Economy: A Deep Dive into Drainer-as-a-Service Phishing on Ethereum," apresentou a primeira análise sistemática de um sofisticado empreendimento criminoso que assola o espaço Web3. Esta pesquisa conjunta da Universidade de Zhejiang e da Universidade Mohamed bin Zayed de Inteligência Artificial (MBZUAI) revela a mecânica do "Drainer-as-a-Service" (DaaS) — uma próspera economia clandestina que roubou mais de 💲135 milhões de 76.582 vítimas.

Nós, da BlockSec, temos um orgulho especial de que o primeiro autor do artigo, Bowen He, conduziu parte desta pesquisa fundamental durante seu estágio em nossa equipe.

O Modelo de Negócio DaaS: Industrializando o Cibercrime

Ao contrário do phishing tradicional e improvisado, o DaaS opera como uma empresa de software B2B estruturada. O artigo detalha um pipeline operacional claro:

  1. Operadores (Os Desenvolvedores): São as mentes por trás do esquema, que desenvolvem e mantêm sofisticados kits de ferramentas de "wallet drainer". Esses kits incluem modelos de sites de phishing e, crucialmente, contratos inteligentes automatizados de divisão de lucros.
  2. Afiliados (Os Distribuidores): Eles "alugam" ou adquirem esses kits de ferramentas. Seu trabalho é implantar os sites de phishing e atrair tráfego, seduzindo vítimas por meio de redes sociais, airdrops falsos e contas comprometidas. Quando uma vítima é enganada a assinar uma transação maliciosa, os fundos roubados são divididos automaticamente pelo contrato inteligente. O artigo constata que a divisão mais comum é 20% para o operador e 80% para o afiliado. Essa alta comissão incentiva poderosamente os afiliados a maximizar seu alcance e escalar os ataques, alimentando todo o ecossistema.

Mapeando um Roubo de US$ 135 Milhões: A Abordagem de "Snowball Sampling"

Para quantificar essa economia paralela, os pesquisadores desenvolveram uma inovadora abordagem de "snowball sampling". Partindo de um conjunto inicial de endereços de phishing conhecidos, eles rastrearam transações de divisão de lucros on-chain para descobrir recursivamente novos operadores, afiliados e contratos.

As descobertas de março de 2023 a abril de 2025 são impressionantes:

  • Total Roubado: 💲135 milhões (US$ 23,1 milhões para operadores, US$ 111,9 milhões para afiliados)

  • Infraestrutura Criminosa: 1.910 contratos de divisão de lucros e 87.077 transações de divisão de lucros.

  • Rede Criminosa: 56 contas de operadores principais e 6.087 contas de afiliados.

Os ataques são tecnicamente sofisticados. O artigo revela que os drainers utilizam métodos diferentes dependendo do ativo:

  • Para ETH: As vítimas são induzidas a chamar uma função pagável (por exemplo, denominada "claim" ou "mint").

  • Para ERC-20s e NFTs: Os sites de phishing solicitam que as vítimas aprovem seus ativos para o contrato drainer. O operador então usa uma função TransferFrom para executar múltiplas chamadas de transferência em uma única transação, drenando vários ativos de uma só vez.

As Principais Famílias do Crime

O cenário DaaS não é um mercado fragmentado. A pesquisa identifica nove grandes "famílias", com três grupos dominando a rede e capturando 93,9% de todos os lucros ilícitos:

  1. Angel Drainer (US$ 53,1 milhões)
  2. Inferno Drainer (US$ 59,0 milhões)
  3. Pink Drainer (US$ 14,7 milhões) Esses não são apenas nomes de marcas; são organizações distintas com estratégias operacionais únicas. O artigo destaca como elas gerenciam suas redes de afiliados:

  • Gestão Avançada: As principais famílias, como Angel e Inferno Drainer, fornecem aos afiliados painéis administrativos dedicados para acompanhar seus ganhos em tempo real.

  • Incentivos Gamificados: Elas empregam sistemas de níveis. Por exemplo, o Inferno Drainer categoriza os afiliados em camadas com base no lucro (US$ 10 mil, US$ 100 mil, US$ 1 milhão), oferecendo aos membros de nível superior melhor suporte e recompensas.

  • Bônus e Recompensas: Para motivar o desempenho, o Angel Drainer distribui aleatoriamente NFTs para afiliados de alto rendimento, enquanto o Inferno Drainer concede periodicamente recompensas em ETH e até BTC para os melhores desempenhos.

Um Enorme Ponto Cego de Segurança

Usando impressões digitais de arquivos de kits de ferramentas e monitorando logs de Transparência de Certificados em busca de nomes de domínio suspeitos, os pesquisadores caçaram ativamente sites DaaS. Eles identificaram e reportaram com sucesso 32.819 sites de phishing.

No entanto, a descoberta mais alarmante foi a inadequação das defesas atuais do setor. O estudo constatou que apenas 10,8% dos endereços relacionados ao DaaS em seu conjunto de dados haviam sido sinalizados anteriormente em rastreadores públicos como o Etherscan. Isso revela um vasto ponto cego, permitindo que essas redes criminosas operem com relativa impunidade.

Por Que Esta Pesquisa É um Alerta Crítico

O fenômeno DaaS comprova que o phishing na Web3 evoluiu de um simples golpe para uma economia criminosa industrializada e baseada em serviços. Ele explora de forma magistral a natureza sem permissão e composável do DeFi para fins maliciosos.

Comece a usar o Phalcon Compliance

Hub de conformidade cripto para triagem de carteiras e KYT

Experimente gratuitamente

Esta pesquisa reforça a necessidade urgente de segurança em múltiplas camadas:

  • Detecção Proativa de Ameaças: Indo além de simples listas negras para identificar infraestruturas criminosas enquanto estão sendo construídas.

  • Segurança Avançada de Carteiras: Implementando simulação de transações robusta e avisos claros e legíveis por humanos antes que os usuários assinem e cedam seus ativos.

  • Colaboração em Todo o Ecossistema: Criando canais mais rápidos e abrangentes para compartilhamento de inteligência sobre ameaças e rotulação de endereços maliciosos.

Esta pesquisa marca um ponto de virada. O phishing no Ethereum não é mais uma atividade paralela — é uma economia industrializada de compartilhamento de receitas que opera às claras. Na BlockSec, continuaremos a aproveitar pesquisas de ponta para construir a próxima geração de ferramentas de segurança capazes de combater efetivamente essas ameaças em constante evolução e profissionalização.

Veja o artigo: https://assets.blocksec.com/pdf/1761189308551-2.pdf

Sign up for the latest updates
Sanções do OFAC ao Cartel de Sinaloa: Rastreamento de Fundos On-Chain

Sanções do OFAC ao Cartel de Sinaloa: Rastreamento de Fundos On-Chain

Rede do Cartel de Sinaloa sancionada pelo OFAC por lavagem de recursos do fentanil. Rastreamos os seis endereços sancionados com MetaSleuth; o dinheiro flui quase inteiramente por depósitos em exchanges centralizadas.

Ferramentas de Conformidade para Cripto: Um Guia Prático de Compra para VASPs

Ferramentas de Conformidade para Cripto: Um Guia Prático de Compra para VASPs

Estrutura de aquisição para VASPs que avaliam software de conformidade cripto. Abrange controles AML, rastreamento de carteiras, KYT, gestão de casos, integração de API e modelagem de custos, com checklist para provedores em estágio inicial, crescimento e licenciados.

Requisitos da Plataforma de Conformidade DeFi: Construindo uma Pilha de Riscos On-Chain

Requisitos da Plataforma de Conformidade DeFi: Construindo uma Pilha de Riscos On-Chain

Guia técnico para equipes de protocolos DeFi que desenvolvem plataforma de conformidade on-chain. Aborda requisitos de stack, KYT em tempo real, rastreamento cross-chain, pontuação de risco comportamental, fluxo de alertas e falhas operacionais comuns.

Start Real-Time AML with Phalcon Compliance

Turn Phalcon Network alerts into actions with Phalcon Compliance. Use verified blockchain intelligence to screen wallets, monitor transactions and investigate risks. This helps you respond quickly and stay compliant in the digital assets ecosystem.

Get Started with Phalcon Compliance
Contact Sales
Phalcon Compliance