🧠 Funcionamiento interno de un drainer y técnicas de ataque
Los servicios drainer (del inglés wallet drainer) son herramientas maliciosas con las que los atacantes logran que las víctimas firmen transacciones peligrosas y retiran al instante tokens y NFT a sus propias direcciones. Sitios suplantados, airdrops falsos y “clones” de dApp disfrazan la operación como una acción inocua, y el robo sucede justo después de que el usuario pulse «Confirmar» en el monedero.
El objetivo de este material es analizar de forma sistemática la arquitectura de los drainers, sus tipos (Ethereum, Solana, etc.), los escenarios de ataque más comunes, casos reales (Monkey, Inferno, Pink, Angel, etc.), los riesgos legales para autores y afiliados, y medidas prácticas de protección para los usuarios. Todos los términos se explican a medida que aparecen.
🧠 Qué es un «drainer» y cómo funciona
Drainer (wallet drainer): conjunto de software para “vaciar” monederos. Es un script en un sitio de phishing y/o un contrato inteligente que, tras tu firma, genera la transferencia de activos a la dirección del atacante. No «hackea» la blockchain: hace que tú firmes la transacción que necesita.
dApp de phishing: sitio que se hace pasar por un servicio Web3 legítimo (exchange, mint, airdrop). Conecta tu monedero e introduce una «trampa» — por ejemplo, un approve/setApprovalForAll global o una transferencia oculta.
Ice phishing: tipo de phishing en el que la víctima autoriza por sí misma las acciones del atacante (permisos o transferencias) sin detectar el engaño en el texto de la transacción.
Caso: robo de una colección de NFT con una sola firma. Los estafadores mantuvieron “negociaciones” durante un mes en nombre de un estudio de producción y propusieron al propietario de la colección “formalizar una licencia” sobre parte de sus NFT. El enlace llevaba a un pseudo‑servicio para “firmar el contrato”. Tras conectar el monedero y confirmar la “licencia”, el drainer ejecutó la transferencia de los 14 NFT con una “compensación” mínima de céntimos a la dirección de los atacantes.
🧭 Esquemas de ataque típicos
- Cebo. Clon de un sitio popular, «airdrop/mint exclusivo», landing falsa, dominio similar.
- Tráfico. Publicidad en buscadores y redes sociales, publicaciones y bots masivos, cuentas oficiales de proyectos comprometidas.
- Conexión del monedero. La dApp de phishing pide “confirmar una acción”, pero en realidad introduce un approve/setApprovalForAll o una transferencia directa de activos.
- Robo y ocultación de rastros. Los fondos se dividen al instante y se mueven a nuevas direcciones; a menudo cambian de cadenas y contratos para dificultar el análisis.
Técnicas usadas con frecuencia
- 🎁 Airdrop/NFT‑drop. «Recoge tu bono» — clásico disparador de urgencia.
- 🧑💻 Cuentas oficiales comprometidas. Un enlace “oficial” en nombre de una marca o influencer resulta muy convincente.
- 🔎 Publicidad en buscadores. Los sitios falsos a menudo aparecen por encima de los originales en búsquedas de alta intención.
- 🎭 Ingeniería social. “Contratos” prolongados, documentos falsos, “negociaciones” y trabajo manual para adormecer la vigilancia.
🧩 Variantes y plataformas objetivo
💻 Drainers en Ethereum
- ⚙️ Mecánica: approve/permit peligrosos para ERC‑20 o setApprovalForAll para NFT, tras lo cual el atacante puede retirar los activos por su cuenta.
- 🎯 Objetivo: tokens de alto valor, NFT líquidos, “derechos sobre la colección”.
- 🧪 Variantes: kits multichain para Ethereum, BSC, Polygon, Arbitrum y otros.
✅ Fortalezas (para el atacante)
- 🔹 Gran base de posibles víctimas y marcas para clonar.
- 🔹 Amplio abanico de pretextos “legítimos” para firmar (mints, farming, airdrops).
❌ Puntos débiles (para la defensa)
- 🔻 Trazabilidad on‑chain y posibilidad de revocación rápida de permisos.
- 🔻 Filtros anti‑phishing en monederos y extensiones de análisis en el navegador.
Clave: en redes EVM el riesgo es alto por la riqueza del ecosistema y la costumbre de firmar con frecuencia; la disciplina de revocación de permisos y las extensiones que “traducen” transacciones reducen de forma notable la amenaza.
⚡ Drainers en Solana
- 🔐 Firma: transacciones de transferencia de SOL/tokens; también existen formularios diseñados para hacerte revelar la frase semilla (nunca debe introducirse fuera de la app oficial del monedero).
- 🧰 Kits: generadores listos para usar de páginas de phishing, plantillas de “mint” y scripts de “verificación de permisos”.
- 📉 Daño: el importe medio sustraído es menor que en Ethereum, pero el número de ataques crece con la popularidad del ecosistema.
Clave: las diferencias en el formato de las transacciones no evitan la ingeniería social: la defensa principal sigue siendo conductual.
🌐 Servicios drainer clave y magnitud
Ha surgido un mercado completo de Scam‑as‑a‑Service: los desarrolladores venden o “alquilan” kits drainer y los afiliados lanzan campañas de phishing. El modelo base combina cuota de entrada y comisión por cada robo; la alternativa es la venta única del kit con módulos.
| 📛 Nombre | 📆 Periodo de actividad | 💰 Escala | ⚙️ Modelo | ⭐ Características |
|---|---|---|---|---|
| 🐒 Monkey Drainer | 2022–2023 | Decenas de millones de $ miles de víctimas | Comisión para afiliados | Uno de los primeros “drainer‑como‑servicio” foco en NFT |
| 🔥 Inferno Drainer | 2023 | Mayores sumas cientos de miles de víctimas | Comisión del 20–30% servicio llave en mano | Miles de dominios de phishing enfoque multichain |
| 🎀 Pink Drainer | 2023–2024 | Sumas cercanas a $100 millones en conjunto | Comisión para afiliados | Cuentas de redes sociales de marcas/personas comprometidas enlaces verosímiles |
| 👼 Angel Drainer | 2023–presente | Casos puntuales cientos de miles de $ en horas | Cuota de entrada + comisión | Participación del equipo en ataques compromiso de widgets/integraciones |
| 💻 MS Drainer | 2023–2024 | Decenas de millones de $ decenas de miles de víctimas | Venta del kit precio fijo + módulos | Abuso masivo de publicidad en buscadores |
🧱 La “economía” del mercado drainer
- 💸 Finanzas: la comisión sobre lo sustraído incentiva a los autores a desplegar infraestructura para afiliados; las ventas únicas a precio fijo abaratan la entrada.
- 🧩 Módulos: clones de sitios, generación masiva de dominios, integración con monederos populares y selección automática de los activos más valiosos.
- 🔄 Rotación de marcas: los “cierres” suelen significar rebranding y migración a nuevos canales y dominios.
Clave: el ecosistema de los drainers es resistente por el bajo umbral de entrada para afiliados y la alta rentabilidad para los autores; por ello, la defensa debe ser una disciplina constante, no una campaña puntual.
⚖️ Marco legal y responsabilidad
Importante: la creación, difusión y uso de kits drainer son conductas delictivas (estafa, acceso no autorizado, coautoría o complicidad). La excusa «solo escribí el código» no exime de responsabilidad: proveer una herramienta para el robo constituye por sí mismo el ilícito.
- 🏛️ Práctica: se identifican a los autores y afiliados; se utilizan solicitudes internacionales de asistencia jurídica, OSINT (análisis de fuentes abiertas) y analítica on‑chain.
- 🧑⚖️ Riesgos para afiliados: administradores de dominios/canales, arrendadores de hosting y gestores de campañas publicitarias también entran en el ámbito de responsabilidad.
- 🧾 Compliance de proyectos: las marcas necesitan procedimientos anti‑phishing: control de dominios y redes sociales, firmado de versiones, listas de bloqueo y desmentidos rápidos.
🛡️ Cómo protegerte: consejos prácticos
Consejo: la frase semilla y las claves privadas se introducen solo en la aplicación oficial de tu monedero. Cualquier formulario web o “soporte técnico” que pida la semilla es fraude.
- 🧳 Monederos separados. Operativo: para experimentar con dApps (saldo mínimo para comisiones). De ahorro: por separado, preferiblemente en frío. Transfiere con regularidad todo lo valioso fuera del operativo.
- 🔍 Verificación de la dirección y la fuente. No accedas por anuncios; escribe la dirección manualmente o usa marcadores. Revisa el dominio letra por letra: los símbolos similares son un truco frecuente.
- 📜 Lee la solicitud. Antes de firmar, comprueba qué pide el sitio: approve global, setApprovalForAll o transferencia — banderas rojas.
- 🧩 Extensiones que «traducen» transacciones. Plugins que explican en lenguaje simple qué ocurrirá tras la firma y alertan de phishing.
- 🚫 Revocar permisos. Revisa y cancela periódicamente accesos otorgados a tokens y NFT, sobre todo tras usar dApps dudosas.
- 🔒 Higiene de dispositivos. Versiones actualizadas de monederos y navegadores, listas anti‑phishing, desactivar reproducción automática de contenido y evitar extensiones no verificadas.
- 🧠 Psicología. No te dejes llevar por la urgencia: «solo hoy», «los primeros 500» son tácticas estándar. Haz una pausa y comprueba la noticia en la fuente original.
❓ Preguntas y respuestas (FAQ)
¿Puede un antivirus “atrapar” un drainer en un sitio?
¿Hay posibilidades de recuperar los tokens o NFT robados?
✅ Conclusión
Los servicios drainer constituyen un ecosistema criminal maduro de “estafa como servicio”. Su fuerza no reside en romper contratos inteligentes, sino en explotar la prisa humana y la confianza en marcas e interfaces “familiares”.
La respuesta se construye sobre tres pilares: higiene conductual (prudencia y verificación), medios técnicos (extensiones, revocación de permisos, monederos separados) y medidas organizativas de los proyectos (disciplina anti‑phishing, avisos operativos).