Un enquêteur blockchain a attribué au moins 5,27 millions de dollars en cryptomonnaie volée sur trois semaines à un nouveau service d'escroquerie connu sous le nom de Vanilla Drainer, signifiant une menace importante dans l'espace d'actifs numériques malgré la baisse générale des volumes dans de telles opérations criminelles.
À savoir :
- Vanilla Drainer a volé 5,27 millions de dollars en cryptomonnaie à des victimes sur une période de trois semaines, avec des pertes individuelles atteignant jusqu'à 3 millions de dollars
- Le service fonctionne en prenant une commission de 15 à 20 % sur les fonds volés et utilise des techniques avancées pour contourner les systèmes de détection de fraude comme Blockaid
- Alors que les volumes globaux de draining de crypto ont diminué depuis les pics de 2024, de nouveaux services comme Vanilla attirent d'anciens clients d'opérations fermées
Menace émergente dans la criminalité des cryptomonnaies
Les drainers représentent des entreprises criminelles spécialisées qui fournissent des logiciels d'escroquerie aux fraudeurs, combinant généralement leurs outils avec des tactiques de phishing pour accéder aux portefeuilles numériques des victimes. Vanilla Drainer s'est positionné comme faisant partie d'une nouvelle génération de ces services criminels, opérant largement en toute discrétion jusqu'à ce que des vols récents de grande valeur attirent l'attention des experts en sécurité blockchain.
L'industrie du draining de cryptomonnaies a atteint son sommet en 2024, lorsque les victimes ont perdu près de 500 millions de dollars face à des services majeurs tels que Angel, Inferno et Pink, selon les données de Scam Sniffer.
Malgré la mise en œuvre de nouvelles technologies de sécurité qui ont réduit les volumes globaux, l'enquêteur blockchain Darkbit avertit que les organisations criminelles adaptent leurs méthodes pour maintenir leur rentabilité.
« Je vois [Vanilla] reprendre de nombreux clients d'Inferno », a déclaré Darkbit aux enquêteurs. « La plupart des grands drainages à six et sept chiffres récents peuvent être attribués à Vanilla Drainer. »
Les preuves suggèrent que les premières opérations de Vanilla peuvent être retracées jusqu'à octobre 2024, mais la première publicité publique connue du service est apparue le 8 décembre 2024, avant de devenir inaccessible. Le matériel promotionnel affirmait que Vanilla pouvait contourner Blockaid, une plateforme de détection de fraude souvent mentionnée par les opérateurs criminels comme un obstacle majeur à leurs opérations.
Opérations criminelles et structure financière
Le service fonctionne sur un modèle industriel standard, prenant une commission initiale de 20 % sur les produits volés comme compensation pour fournir le logiciel criminel. Selon la publicité de décembre, ce pourcentage pourrait diminuer pour des opérations de vol plus importantes, créant des incitations pour des activités criminelles plus ambitieuses.
Le plus grand vol unique attribué à Vanilla a eu lieu le 5 août, lorsqu'une victime a perdu 3,09 millions de dollars en stablecoins. Dans cet incident, les opérateurs de Vanilla ont reçu environ 463 000 dollars comme frais, représentant environ 17 % du montant total volé.
Suivant le schéma opérationnel standard, Vanilla convertit typiquement les tokens volés en cryptomonnaies natives de la blockchain comme l'Ether avant de transférer les fonds vers un portefeuille central de frais identifié comme 0x9d3…E710d, où s'accumule la plupart des produits criminels. Les analyses montrent qu'environ 1,6 million de dollars dans ce portefeuille ont été convertis en Dai, un stablecoin décentralisé qui maintient un peg au dollar américain mais ne peut pas être gelé comme les alternatives centralisées telles que le USDT de Tether ou le USDC de Circle.
Au moment de l'enquête, le portefeuille identifié contenait 2,23 millions de dollars en divers tokens, principalement en Dai et Ether. Cette concentration représente une accumulation significative de produits criminels en une période opérationnelle relativement courte.
Adaptation et résurgence de l'activité criminelle
Plusieurs services de draining établis ont cessé leurs opérations alors que les technologies de sécurité réduisent la rentabilité de leurs entreprises criminelles. Cependant, des données récentes indiquent que les opérateurs criminels développent de nouvelles tactiques pour contourner les mesures de protection.
Selon l'analyse de Darkbit, Vanilla emploie une stratégie consistant à parcourir différents domaines internet sans maintenir une présence prolongée à un endroit donné. « Je commence à voir de nouveaux contrats malveillants créés pour chaque site web et domaine malveillants afin d'éviter de rester sous les radars », a noté l'enquêteur.
Les données de juillet ont révélé une augmentation substantielle des vols de cryptomonnaies liés au phishing, les victimes ayant perdu 7,09 millions de dollars, représentant une augmentation de 153 % par rapport aux chiffres de juin. Le nombre de victimes individuelles a également augmenté de 56 % pour atteindre 9 143 au cours de la même période, selon les données de Scam Sniffer.
La plus grande perte individuelle en juillet a totalisé 1,23 million de dollars, l'analyse blockchain montrant que les frais de draining de cet incident s'élevaient à 54 Ether, évalués à 204 074 dollars au moment du vol. Ces produits criminels ont finalement été transférés vers le même portefeuille de frais suspecté de Vanilla lié à l'incident de 3,09 millions de dollars en août.
Comprendre les termes criminels des cryptomonnaies
Les drainers de cryptomonnaies opèrent en tant que prestataires de services criminels qui développent et distribuent des logiciels conçus pour voler les actifs numériques des portefeuilles des victimes. Ces organisations combinent généralement leurs outils techniques avec des tactiques d'ingénierie sociale, notamment des schémas de phishing qui trompent les utilisateurs pour qu'ils connectent leurs portefeuilles à des sites web ou applications malveillants.
Les stablecoins, tels que le Dai, le Tether et le Dollar US Coin, sont des cryptomonnaies conçues pour maintenir une valeur stable en arrimant leur prix aux devises traditionnelles comme le dollar américain.
Les opérateurs criminels préfèrent souvent les stablecoins décentralisés comme le Dai car ils ne peuvent pas être gelés par les autorités centralisées, contrairement à leurs homologues centralisés.
Ether sert de cryptomonnaie native du réseau blockchain Ethereum, où de nombreuses de ces opérations criminelles se produisent en raison de l'adoption généralisée de la plateforme pour diverses applications et services financiers.
Entreprise criminelle persistante
Entre le 15 juillet et le 5 août, Vanilla a facilité au moins quatre opérations criminelles majeures totalisant 5,27 millions de dollars, chaque incident individuel conduisant à des pertes de six à sept chiffres pour les victimes. L'analyse de la blockchain relie Vanilla à deux autres incidents à six chiffres en juillet, portant la responsabilité estimée du service à 2,19 millions de dollars, représentant plus de 30 % des pertes totales de phishing du mois.
Les modèles historiques suggèrent que les annonces publiques de fermetures de services criminels indiquent rarement une cessation permanente des opérations. Inferno Drainer a annoncé sa fermeture en novembre 2023, pour continuer ses opérations tout au long de 2024 avant de transférer sa clientèle à Angel Drainer plus tard dans l'année. Malgré ces annonces publiques, l'activité criminelle liée à Inferno s'est poursuivie en 2025, avec des connexions à plus de 9 millions de dollars de pertes sur six mois.
Pensées finales
Vanilla Drainer s'est rapidement imposé comme une menace significative dans le paysage de la criminalité en cryptomonnaies, démontrant que les entreprises criminelles continuent d'évoluer malgré l'amélioration des mesures de sécurité. La capacité du service à attirer des clients d'opérations disparues et à générer des millions de produits criminels en quelques semaines souligne les défis persistants de la sécurité des actifs numériques.