Kits associados ao Angel Drainer abusam de interações com contratos e assinaturas fora da cadeia para obter permissões sobre tokens e transferir ativos sem nova confirmação do usuário.
| Componente | Carteiras de criptomoedas, aplicações DeFi falsas, contratos inteligentes e permissões de tokens ERC-20, com exemplo envolvendo stETH. |
| Vetor | Phishing por e-mail, mensagens, redes sociais e campanhas falsas de airdrop que levam o usuário a conectar a carteira e assinar interações como permit ou aprovações de gasto. |
| Impacto | Quando a vítima assina a permissão enganosa, o contrato do operador pode transferir tokens em nome dela; no caso analisado, a lógica permitia drenar stETH e repassar parte dos fundos a uma carteira associada ao Angel Drainer. |
| Prioridade | Revisar aprovações concedidas, monitorar assinaturas e chamadas a contratos sem histórico, bloquear domínios fraudulentos e orientar usuários a validar permissões antes de assinar transações. |
| Redes | A atividade foi descrita em Ethereum, Binance Smart Chain, Polygon, Avalanche e quase 20 outras redes. |
| Artefatos | Endereços recorrentes citados incluem 0x412f10aad96fd78da6736387e2c84931ac20313f e 0x0000d38a234679F88dd6343d34E26DCB50C30000; um contrato analisado foi 0x47cbbfee58e6a134d00ea3a8f1ddfff60a8d94d6. |
| Mitigação | Tratar solicitações de assinatura fora da cadeia como evento sensível, verificar o endereço do contrato, limitar permissões de gasto e revogar allowances suspeitas quando identificadas. |
Campanhas de phishing com crypto drainers estão explorando a confiança de usuários de carteiras Web3 em fluxos de airdrop, páginas falsas de DeFi e solicitações aparentemente rotineiras de assinatura. A atividade descrita envolve um modelo de golpe como serviço, no qual operadores recebem scripts, contratos e infraestrutura para induzir vítimas a conceder permissões sobre ativos digitais. O alvo não é apenas uma rede isolada: o mesmo tipo de abordagem foi observado em Ethereum, Binance Smart Chain, Polygon, Avalanche e quase 20 outras redes, ampliando a superfície para usuários que mantêm ativos distribuídos em múltiplos ecossistemas.
O elemento central da técnica é a manipulação de permissões de token. Em vez de depender exclusivamente de uma transferência direta confirmada de forma explícita, o fluxo induz a vítima a assinar uma autorização que altera a capacidade de gasto de um contrato controlado pelo fraudador. Em tokens ERC-20, recursos como permit permitem aprovar um gastador por meio de assinatura fora da cadeia, com parâmetros como endereço autorizado, valor e período de validade. Essa funcionalidade é legítima e melhora a experiência em aplicações DeFi, mas se torna perigosa quando a interface apresentada ao usuário é fraudulenta e oculta o efeito real da autorização.
A infraestrutura associada ao Angel Drainer aparece como um caso de continuidade operacional no ecossistema de drainers. O contexto analisado menciona grupos semelhantes, como Inferno Drainer, que teriam auxiliado no roubo de mais de 80 milhões de dólares em criptomoedas antes de serem encerrados. O Angel Drainer, por sua vez, continuaria operando por meio de kits de drenagem, cobrando uma porcentagem dos valores desviados em troca de scripts e serviços usados por outros fraudadores. Para defesa, isso desloca parte da análise do simples bloqueio de um site para a observação de padrões de permissão, contratos recém-criados, chamadas multicall e repasses para carteiras recorrentes.
O fluxo de ataque começa com uma campanha maliciosa, frequentemente disfarçada de distribuição gratuita de tokens, promoção de airdrop ou página que imita uma plataforma legítima de distribuição. A vítima chega ao site por e-mail, mensagem direta, publicação em rede social ou outro canal de encaminhamento. A primeira etapa visível é a conexão da carteira ao site falso, o que prepara a sessão para a interação posterior com o contrato. A conexão, isoladamente, não representa necessariamente a perda imediata de fundos, mas cria a condição para que a aplicação apresente uma solicitação de assinatura com aparência compatível com uma operação legítima.
A fase crítica ocorre quando a vítima é induzida a interagir com um contrato inteligente sob o pretexto de reivindicar tokens. O contrato pode solicitar uma aprovação tradicional ou uma autorização por permit. No caso do permit, a assinatura ocorre fora da cadeia, em uma comunicação entre carteira e site fraudulento, o que reduz a visibilidade imediata em registros on-chain antes que a autorização seja usada. Se o usuário assina a mensagem, o endereço indicado pelo atacante pode passar a ter permissão para movimentar tokens em nome da vítima, sem exigir uma confirmação adicional para cada transferência subsequente.
Um caso técnico analisado envolveu a transação 0xb60c32fb28aa6160df6f472f494f162b997aa49fb06776dce250aff80602a8a3 e um contrato em 0x47cbbfee58e6a134d00ea3a8f1ddfff60a8d94d6. A chamada usava o seletor de função 0x095838d2 e incluía parâmetros que apontavam para um endereço tratado como scammer_contract_1, representado por 0xc55b8ebf5ec4c76fb9182e86cb2a29eb363d919c, além de referências repetidas ao contrato do token stETH em 0xae7ab96520de3a18e5e111b5eaab095312d7fe84. O conteúdo bruto da chamada incluía dados extensos de execução, mas o ponto defensivo principal é a sequência: criação ou verificação de contrato, execução de multicall, uso da autorização da vítima e transferência de tokens.
A lógica observada verifica se já existe código no endereço usado pelo fraudador. Quando há um contrato presente, a operação segue para a execução de multicall. Quando não há código, a estratégia descrita cria novos contratos sem histórico transacional anterior e, em seguida, aciona a mesma lógica de chamadas agrupadas. Esse comportamento dificulta alertas baseados apenas em reputação histórica, porque um endereço recém-criado pode não ter eventos negativos anteriores. Após a permissão, o contrato pode chamar transferFrom para movimentar tokens da vítima. Em seguida, outra transferência direciona valores para uma carteira associada ao Angel Drainer, sugerindo divisão de ganhos entre quem conduz o phishing e quem fornece o kit.
A superfície exposta inclui usuários que interagem com dApps, carteiras de navegador, carteiras móveis, agregadores DeFi, páginas de airdrop e contratos de token que aceitam aprovação por assinatura. O risco é maior quando o usuário opera em várias redes, mantém tokens com alto valor líquido em carteiras quentes e assina mensagens sem examinar o endereço do contrato, o gastador autorizado e o valor permitido. A técnica não depende de comprometer a blockchain nem de quebrar criptografia da carteira; ela explora a decisão do usuário em uma interface falsa para obter uma autorização válida.
O exemplo com stETH mostra que o impacto pode atingir tokens específicos quando a permissão é concedida ao contrato do fraudador. A presença de chamadas agrupadas também aumenta a complexidade de revisão manual, pois múltiplas ações são encapsuladas em uma única interação. Para equipes que dão suporte a usuários institucionais ou custodiam ativos, a área crítica está no controle de allowances, na visibilidade sobre assinaturas off-chain e na capacidade de correlacionar eventos de autorização com transferências subsequentes. A ausência de um registro on-chain no momento exato da assinatura permit exige telemetria adicional no endpoint, na carteira, no gateway Web3 ou em ferramentas de monitoramento blockchain.
A campanha também afeta processos de resposta a incidentes porque o dano pode ocorrer rapidamente depois que a autorização é usada. Se o usuário concedeu uma permissão ampla ou potencialmente ilimitada, o contrato autorizado pode transferir os tokens permitidos sem uma nova interação consciente. O contexto analisado descreve ainda etapas de ocultação por meio de múltiplas transferências e mixers, o que reforça a necessidade de detecção precoce antes que os ativos sejam fragmentados ou liquidados.
- Usuários de carteiras que acessam páginas falsas de airdrop ou distribuição de tokens.
- Tokens ERC-20 com suporte a aprovações ou assinaturas como
permit. - Contratos recém-criados usados para reduzir alertas baseados em histórico.
- Interações DeFi que agrupam ações por
multicalle dificultam leitura direta do efeito final.
A caça deve começar pela correlação entre origem de tráfego, conexão de carteira, solicitações de assinatura e eventos on-chain posteriores. Em ambientes corporativos com usuários expostos a ativos digitais, proxies, DNS, EDR e extensões de segurança podem registrar acessos a domínios que imitam plataformas legítimas, páginas de airdrop recém-criadas e redirecionamentos vindos de campanhas em redes sociais ou mensagens. A telemetria de navegador é útil para identificar sessões em que a carteira foi acionada por uma página desconhecida logo antes de uma alteração de permissão ou transferência inesperada.
No nível blockchain, analistas devem procurar chamadas que combinem criação de contrato, execução de multicall, uso de permit ou approve, e chamadas transferFrom direcionadas a ativos da vítima. Endereços recorrentes devem ser tratados como pivôs de investigação, especialmente quando aparecem em múltiplas redes ou em repasses posteriores. No caso descrito, endereços associados ao Angel Drainer, como 0x412f10aad96fd78da6736387e2c84931ac20313f e 0x0000d38a234679F88dd6343d34E26DCB50C30000, aparecem como artefatos relevantes, mas não devem ser usados como único critério de detecção porque kits semelhantes podem alternar carteiras, contratos e caminhos de repasse.
Sinais comportamentais tendem a ser mais resilientes que listas estáticas. Um contrato sem histórico que recebe permissão ampla pouco antes de uma transferência relevante, uma sequência de chamadas agrupadas contra o mesmo token e uma posterior mudança de propriedade do contrato usado no golpe são eventos que merecem investigação. Também é importante diferenciar interações legítimas de DeFi de padrões suspeitos: a presença de permit não é, por si só, maliciosa, mas se torna crítica quando aparece combinada com página não confiável, valor excessivo, endereço de gastador desconhecido e transferência imediata para carteiras sem relação com a intenção declarada ao usuário.
- Acesso a páginas de airdrop ou DeFi sem reputação seguido de solicitação de assinatura da carteira.
- Assinaturas
permitcom gastador desconhecido, valor alto ou autorização ampla. - Chamadas
multicallque acionampermitetransferFromem sequência. - Criação de contratos sem histórico imediatamente antes da movimentação de tokens.
- Repasses posteriores para carteiras recorrentes associadas a kits de drenagem.
A mitigação deve combinar controles técnicos, revisão de permissões e educação operacional. Usuários e equipes de suporte precisam tratar solicitações de assinatura como eventos de alto risco, especialmente quando a interface promete airdrops, recompensas ou distribuições gratuitas. Antes de assinar, é necessário verificar o domínio, o contrato envolvido, o gastador autorizado, o ativo afetado e o limite de valor. Quando a carteira exibe dados pouco claros, a decisão defensiva mais segura é interromper a interação e validar o site por um canal independente.
Para organizações, a resposta começa pela identificação de carteiras expostas e revisão das allowances existentes. Permissões desnecessárias ou suspeitas devem ser revogadas por ferramentas confiáveis e com verificação do contrato correto. Em paralelo, equipes de segurança devem registrar os endereços envolvidos no caso, monitorar transferências subsequentes e avaliar se a mesma campanha atingiu outros usuários. Quando houver perda confirmada, a prioridade é preservar evidências de navegador, carteira, transações e comunicações recebidas, porque esses dados ajudam a reconstruir a cadeia entre o phishing inicial e a movimentação final dos ativos.
Controles preventivos incluem bloqueio de domínios fraudulentos, alertas para contratos recém-criados, análise de mensagens de assinatura e políticas internas para uso de carteiras quentes. Em operações com maior exposição, separar carteiras por finalidade reduz o impacto de uma autorização indevida: carteiras de interação com dApps não devem concentrar ativos de longo prazo. A defesa também deve validar a eficácia de alertas contra técnicas que usam assinatura fora da cadeia, pois parte da atividade relevante ocorre antes de aparecer como evento on-chain. A combinação de telemetria do endpoint com análise blockchain oferece melhor cobertura do que qualquer uma das camadas isoladamente.
- Revogar permissões amplas ou desconhecidas concedidas a contratos de terceiros.
- Bloquear domínios de phishing e páginas que imitam campanhas de airdrop.
- Alertar usuários sobre assinaturas
permit, aprovações de gasto e valores ilimitados. - Monitorar contratos recém-criados que executam
multicalletransferFromcontra ativos sensíveis. - Separar carteiras de uso diário, testes DeFi e armazenamento de longo prazo.
0 Comentários