Un investigador de blockchain ha atribuido al menos $5.27 millones en criptomoneda robada en tres semanas a un servicio de estafa emergente conocido como Vanilla Drainer, marcando una amenaza significativa en el espacio de activos digitales a pesar de la disminución general de volúmenes en tales operaciones criminales.
Qué saber:
- Vanilla Drainer ha robado $5.27 millones en criptomonedas de víctimas durante un período de tres semanas, con pérdidas individuales que alcanzan hasta $3 millones.
- El servicio opera tomando un 15-20% de los fondos robados y utiliza técnicas avanzadas para eludir sistemas de detección de fraude como Blockaid.
- Aunque los volúmenes generales de drenaje de cripto disminuyeron desde los picos de 2024, nuevos servicios como Vanilla están atrayendo a antiguos clientes de operaciones cerradas.
Amenaza emergente en el crimen de criptomonedas
Los “drainers” representan empresas criminales especializadas que proporcionan software de estafa a defraudadores, típicamente combinando sus herramientas con tácticas de phishing para acceder a las carteras digitales de las víctimas. Vanilla Drainer se ha posicionado como parte de una nueva generación de estos servicios criminales, operando en gran medida bajo el radar hasta que recientes robos de alto valor llamaron la atención de expertos en seguridad de blockchain.
La industria de drenaje de criptomonedas alcanzó su punto máximo en 2024, cuando las víctimas perdieron casi $500 millones ante los principales servicios, incluidos Angel, Inferno y Pink, según datos de Scam Sniffer.
A pesar de la implementación de nuevas tecnologías de seguridad que redujeron los volúmenes generales, el investigador de blockchain Darkbit advierte que las organizaciones criminales están adaptando sus métodos para mantener la rentabilidad.
"Veo a [Vanilla] tomando numerosos clientes de Inferno", dijo Darkbit a los investigadores. "La mayoría de los grandes drenados de seis y siete cifras recientes se pueden atribuir a Vanilla Drainer".
Las pruebas sugieren que las operaciones anteriores de Vanilla se remontan a octubre de 2024, pero el primer anuncio público conocido del servicio apareció el 8 de diciembre de 2024, antes de volverse inaccesible. El material promocional afirmaba que Vanilla podría eludir Blockaid, una plataforma de detección de fraudes que los operadores criminales frecuentemente citan como un gran obstáculo para sus operaciones.
Operaciones criminales y estructura financiera
El servicio opera con un modelo estándar de la industria, tomando un corte inicial del 20% de los ingresos robados como compensación por proporcionar el software criminal. Según el anuncio de diciembre, este porcentaje podría disminuir para operaciones de robo más grandes, creando incentivos para actividades criminales más ambiciosas.
El robo único más grande atribuido a Vanilla ocurrió el 5 de agosto, cuando una víctima perdió $3.09 millones en monedas estables. En este incidente, los operadores de Vanilla recibieron aproximadamente $463,000 como su tarifa, representando alrededor del 17% del monto total robado.
Siguiendo el patrón operativo estándar, Vanilla típicamente convierte los tokens robados en criptomonedas nativas de blockchain como Ether antes de transferir fondos a una billetera de tarifas central identificada como 0x9d3…E710d, donde se acumula la mayoría de los ingresos criminales. El análisis muestra que alrededor de $1.6 millones en esta billetera se han convertido en Dai, una moneda estable descentralizada que mantiene una paridad con el dólar estadounidense pero no puede ser congelada como alternativas centralizadas como USDT de Tether o USDC de Circle.
En el momento de la investigación, la billetera identificada contenía $2.23 millones en varios tokens, predominantemente en Dai y Ether. Esta concentración representa una acumulación significativa de ingresos criminales en un período operativo relativamente corto.
Adaptación y resurgimiento de la actividad criminal
Varios servicios de drenaje establecidos han cesado sus operaciones a medida que las tecnologías de seguridad redujeron la rentabilidad de sus empresas criminales. Sin embargo, los datos recientes indican que los operadores criminales están desarrollando nuevas tácticas para eludir las medidas de protección.
Según el análisis de Darkbit, Vanilla emplea una estrategia de ciclado a través de diferentes dominios de internet sin mantener una presencia prolongada en ningún lugar en particular. "Estoy empezando a ver contratos maliciosos frescos creados para cada sitio web y dominio malicioso para evitar permanecer en el radar", señaló el investigador.
Los datos de julio revelaron un aumento sustancial en los robos de criptomonedas relacionados con phishing, con las víctimas perdiendo $7.09 millones, representando un aumento del 153% desde las cifras de junio. El número de víctimas individuales también aumentó un 56% a 9,143 durante el mismo período, según los datos de Scam Sniffer.
La mayor pérdida individual en julio totalizó $1.23 millones, con análisis de blockchain mostrando que las tarifas de drenaje de este incidente ascendieron a 54 Ether, valorados en $204,074 en el momento del robo. Estos ingresos criminales fueron finalmente transferidos a la misma billetera de tarifas sospechosa de Vanilla conectada al incidente de $3.09 millones en agosto.
Comprender los términos criminales de criptomonedas
Los drainers de criptomonedas operan como proveedores de servicios criminales que desarrollan y distribuyen software diseñado para robar activos digitales de las carteras de las víctimas. Estas organizaciones típicamente combinan sus herramientas técnicas con tácticas de ingeniería social, particularmente esquemas de phishing que engañan a los usuarios para que conecten sus carteras a sitios web o aplicaciones maliciosas.
Las monedas estables, como Dai, Tether y USD Coin, son criptomonedas diseñadas para mantener un valor estable al vincular su precio a monedas tradicionales como el dólar estadounidense.
Los operadores criminales a menudo prefieren monedas estables descentralizadas como Dai porque no pueden ser congeladas por autoridades centralizadas, a diferencia de sus contrapartes centralizadas.
Ether sirve como la criptomoneda nativa de la red blockchain Ethereum, donde muchas de estas operaciones criminales ocurren debido a la amplia adopción de la plataforma para diversas aplicaciones y servicios financieros.
Empresa criminal persistente
Entre el 15 de julio y el 5 de agosto, Vanilla facilitó al menos cuatro grandes operaciones criminales que totalizaron $5.27 millones, con cada incidente individual resultando en pérdidas de seis a siete cifras para las víctimas. El análisis de blockchain conecta a Vanilla con dos incidentes adicionales de seis cifras en julio, llevando la responsabilidad estimada del servicio a $2.19 millones, representando más del 30% de las pérdidas totales de phishing de ese mes.
Los patrones históricos sugieren que los anuncios públicos de cierres de servicios criminales rara vez indican la cesación permanente de operaciones. Inferno Drainer anunció su cierre en noviembre de 2023, solo para continuar operaciones a lo largo de 2024 antes de transferir su base de clientes a Angel Drainer más tarde ese año. A pesar de estos anuncios públicos, la actividad criminal vinculada a Inferno ha continuado en 2025, con conexiones a más de $9 millones en pérdidas durante seis meses.
Reflexiones finales
Vanilla Drainer se ha establecido rápidamente como una amenaza significativa en el panorama del crimen de criptomonedas, demostrando que las empresas criminales continúan evolucionando a pesar de las medidas de seguridad mejoradas. La capacidad del servicio para atraer a clientes de operaciones clausuradas y generar millones en ingresos criminales en cuestión de semanas resalta los desafíos persistentes que enfrenta la seguridad de activos digitales.