Un investigatore blockchain ha attribuito almeno 5,27 milioni di dollari in criptovaluta rubati in tre settimane a un servizio emergente di truffa noto come Vanilla Drainer, marking una minaccia significativa nel settore degli asset digitali nonostante una riduzione complessiva dei volumi in tali operazioni criminali.
Cosa sapere:
- Vanilla Drainer ha rubato 5,27 milioni di dollari in criptovalute alle vittime in un periodo di tre settimane, con perdite individuali che raggiungono fino a 3 milioni di dollari
- Il servizio opera prendendo una percentuale del 15-20% dai fondi rubati e utilizza tecniche avanzate per bypassare i sistemi di rilevamento delle frodi come Blockaid
- Mentre i volumi complessivi di drenaggio di criptovalute sono diminuiti dai picchi del 2024, nuovi servizi come Vanilla stanno attirando ex clienti da operazioni chiuse
Minaccia emergente nel crimine delle criptovalute
I drainer rappresentano imprese criminali specializzate che forniscono software di truffa a malfattori, combinando tipicamente i loro strumenti con tattiche di phishing per accedere ai portafogli digitali delle vittime. Vanilla Drainer si è posizionato come parte di una nuova generazione di questi servizi criminali, operando per la maggior parte sottotraccia fino a quando furti di alto valore recenti hanno richiamato l'attenzione da parte di esperti di sicurezza blockchain.
L'industria del drenaggio di criptovalute ha raggiunto il suo picco nel 2024, quando le vittime hanno perso quasi 500 milioni di dollari ai servizi principali, inclusi Angel, Inferno e Pink, secondo i dati di Scam Sniffer.
Nonostante l'implementazione di nuove tecnologie di sicurezza che hanno ridotto i volumi complessivi, l'investigatore blockchain Darkbit avverte che le organizzazioni criminali stanno adattando i loro metodi per mantenere la redditività.
"Vedo [Vanilla] prendere il posto di molti clienti di Inferno," ha detto Darkbit agli investigatori. "La maggior parte dei grandi drenaggi a sei e sette cifre di recente possono essere attribuiti a Vanilla Drainer."
Le prove suggeriscono che le operazioni precedenti di Vanilla possono essere fatte risalire a ottobre 2024, ma il primo annuncio pubblico noto del servizio è apparso l'8 dicembre 2024, prima di diventare inaccessibile. Il materiale promozionale affermava che Vanilla poteva aggirare Blockaid, una piattaforma di rilevamento delle frodi che gli operatori criminali citano frequentemente come un ostacolo importante per le loro operazioni.
Operazioni criminali e struttura finanziaria
Il servizio opera su un modello industriale standard, prendendo un taglio iniziale del 20% dei proventi rubati come compenso per la fornitura del software criminale. Secondo l'annuncio di dicembre, questa percentuale potrebbe diminuire per operazioni di furto più grandi, creando incentivi per attività criminali più ambiziose.
Il furto singolo più grande attribuito a Vanilla è avvenuto il 5 agosto, quando una vittima ha perso 3,09 milioni di dollari in stablecoin. In questo incidente, gli operatori di Vanilla hanno ricevuto approssimativamente 463.000 dollari come loro compenso, rappresentando circa il 17% del totale rubato.
Seguendo il modello operativo standard, Vanilla tipicamente converte i token rubati in criptovalute native della blockchain come Ether prima di trasferire i fondi a un portafoglio centrale di commissioni identificato come 0x9d3…E710d, dove si accumula la maggior parte dei proventi criminali. Analisi mostrano che circa 1,6 milioni di dollari in questo portafoglio sono stati convertiti in Dai, una stablecoin decentralizzata che mantiene un ancoraggio al dollaro USA ma non può essere congelata come le alternative centralizzate come USDT di Tether o USDC di Circle.
Al momento dell'indagine, il portafoglio identificato conteneva 2,23 milioni di dollari in vari token, prevalentemente in Dai ed Ether. Questa concentrazione rappresenta un accumulo significativo di proventi criminali in un periodo operativo relativamente breve.
Adattamento e rinascita dell'attività criminale
Molti servizi di drainer stabiliti hanno cessato le operazioni poiché le tecnologie di sicurezza hanno ridotto la redditività delle loro imprese criminali. Tuttavia, recenti dati indicano che gli operatori criminali stanno sviluppando nuove tattiche per aggirare le misure protettive.
Secondo l'analisi di Darkbit, Vanilla impiega una strategia di circolazione attraverso diversi domini internet senza mantenere una presenza estesa in un'unica posizione. "Sto iniziando a vedere nuovi contratti malevoli creati per ogni sito web e dominio malevolo per evitare di rimanere sotto il radar," ha notato l'investigatore.
I dati di luglio hanno rivelato un aumento sostanziale dei furti di criptovaluta legati al phishing, con le vittime che hanno perso 7,09 milioni di dollari, rappresentando un aumento del 153% rispetto ai dati di giugno. Anche il numero di vittime individuali è aumentato del 56% a 9.143 nello stesso periodo, secondo i dati di Scam Sniffer.
La perdita individuale più grande a luglio ammontava a 1,23 milioni di dollari, con analisi blockchain che mostrano che le commissioni di drenaggio da questo incidente ammontavano a 54 Ether, valutati 204.074 dollari al momento del furto. Questi proventi criminali sono stati infine trasferiti allo stesso sospetto portafoglio di commissioni di Vanilla collegato all'incidente da 3,09 milioni di dollari di agosto.
Comprendere i termini criminali delle criptovalute
I drainer di criptovalute operano come fornitori di servizi criminali che sviluppano e distribuiscono software progettato per rubare asset digitali dai portafogli delle vittime. Queste organizzazioni generalmente combinano i loro strumenti tecnici con tattiche di ingegneria sociale, in particolare schemi di phishing che ingannano gli utenti nel collegare i loro portafogli a siti web o applicazioni malevoli.
Gli stablecoin, come Dai, Tether e USD Coin, sono criptovalute progettate per mantenere un valore stabile ancorando il loro prezzo alle valute tradizionali come il dollaro USA.
Gli operatori criminali spesso preferiscono i stablecoin decentralizzati come Dai perché non possono essere congelati da autorità centralizzate, a differenza delle loro controparti centralizzate.
Ether serve come criptovaluta nativa della rete blockchain Ethereum, dove avvengono molte di queste operazioni criminali a causa dell'ampia adozione della piattaforma per varie applicazioni e servizi finanziari.
Impresa criminale persistente
Tra il 15 luglio e il 5 agosto, Vanilla ha facilitato almeno quattro importanti operazioni criminali per un totale di 5,27 milioni di dollari, con ogni incidente individuale che ha comportato perdite a sei o sette cifre per le vittime. L'analisi blockchain collega Vanilla a due ulteriori incidenti a sei cifre a luglio, portando la responsabilità stimata del servizio a 2,19 milioni di dollari, rappresentando oltre il 30% delle perdite totali per phishing di quel mese.
I modelli storici suggeriscono che gli annunci pubblici di chiusura dei servizi criminali raramente indicano una cessazione permanente delle operazioni. Inferno Drainer ha annunciato la sua chiusura a novembre 2023, solo per continuare le operazioni durante il 2024, prima di trasferire la sua base di clienti a Angel Drainer più tardi nello stesso anno. Nonostante questi annunci pubblici, l'attività criminale legata a Inferno è continuata nel 2025, con connessioni a perdite per oltre 9 milioni di dollari in sei mesi.
Riflessioni finali
Vanilla Drainer si è rapidamente affermato come una minaccia significativa nel panorama del crimine delle criptovalute, dimostrando che le imprese criminali continuano a evolversi nonostante le migliorate misure di sicurezza. La capacità del servizio di attrarre clienti da operazioni chiuse e generare milioni di proventi criminali in poche settimane evidenzia le sfide persistenti che affronta la sicurezza degli asset digitali.