Um investigador de blockchain atribuiu pelo menos $5,27 milhões em criptomoedas roubadas em três semanas a um serviço emergente de golpe conhecido como Vanilla Drainer, marcando uma ameaça significativa no espaço de ativos digitais, apesar do declínio geral nos volumes de tais operações criminosas.
O que Saber:
- Vanilla Drainer roubou $5,27 milhões em criptomoedas de vítimas em um período de três semanas, com perdas individuais chegando a $3 milhões
- O serviço opera tomando uma fatia de 15-20% dos fundos roubados e usa técnicas avançadas para burlar sistemas de detecção de fraude como Blockaid
- Enquanto os volumes gerais de drenagem de cripto caíram em relação aos picos de 2024, novos serviços como Vanilla estão atraindo antigos clientes de operações encerradas
Ameaça Emergente no Crime de Criptomoeda
Drainers representam empresas criminais especializadas que fornecem software de golpes a fraudadores, tipicamente combinando suas ferramentas com táticas de phishing para acessar carteiras digitais das vítimas. Vanilla Drainer posicionou-se como parte de uma nova geração desses serviços criminosos, operando amplamente fora do radar até que roubos recentes de alto valor chamaram a atenção de especialistas em segurança de blockchain.
A indústria de drenagem de criptomoeda atingiu seu pico em 2024, quando vítimas perderam quase $500 milhões para serviços importantes, incluindo Angel, Inferno e Pink, de acordo com dados da Scam Sniffer.
Apesar da implementação de novas tecnologias de segurança que reduziram os volumes gerais, o investigador de blockchain Darkbit alerta que organizações criminosas estão adaptando seus métodos para manter a lucratividade.
"Vejo [Vanilla] assumindo muitos clientes do Inferno", Darkbit contou aos investigadores. "A maioria das grandes drenagens de seis e sete dígitos recentemente pode ser atribuída ao Vanilla Drainer."
Evidências sugerem que operações anteriores do Vanilla podem ser rastreadas até outubro de 2024, mas o primeiro anúncio público conhecido do serviço apareceu em 8 de dezembro de 2024, antes de se tornar inacessível. O material promocional alegava que o Vanilla poderia contornar o Blockaid, uma plataforma de detecção de fraude que operadores criminosos frequentemente citam como um grande obstáculo para suas operações.
Operações Criminais e Estrutura Financeira
O serviço opera em um modelo padrão da indústria, tomando uma fatia inicial de 20% dos proventos roubados como compensação pelo fornecimento do software criminoso. De acordo com o anúncio de dezembro, essa porcentagem poderia diminuir para operações de furto maiores, criando incentivos para atividades criminosas mais ambiciosas.
O maior roubo único atribuído ao Vanilla ocorreu em 5 de agosto, quando uma vítima perdeu $3,09 milhões em stablecoins. Nesse incidente, os operadores do Vanilla receberam aproximadamente $463.000 como sua taxa, representando cerca de 17% da quantia total roubada.
Seguindo o padrão operacional padrão, Vanilla tipicamente converte tokens roubados em criptomoedas nativas de blockchain como Ether antes de transferir fundos para uma carteira central de taxas identificada como 0x9d3…E710d, onde a maioria dos proventos criminosos se acumulam. A análise mostra que cerca de $1,6 milhão nessa carteira foram convertidos para Dai, um stablecoin descentralizado que mantém um peg ao dólar americano, mas não pode ser congelado como alternativas centralizadas, tais como USDT da Tether ou USDC do Circle.
No momento da investigação, a carteira identificada continha $2,23 milhões em vários tokens, predominantemente em Dai e Ether. Essa concentração representa uma acumulação significativa de proventos criminosos em um período operacional relativamente curto.
Adaptação e Ressurgência da Atividade Criminosa
Vários serviços de drenagem estabelecidos cessaram operações à medida que as tecnologias de segurança reduziram a lucratividade de suas empreitadas criminosas. No entanto, dados recentes indicam que operadores criminosos estão desenvolvendo novas táticas para iludir medidas protetivas.
De acordo com a análise de Darkbit, Vanilla emprega uma estratégia de circular por diferentes domínios da internet sem manter presença prolongada em um único local. "Estou começando a ver novos contratos maliciosos criados para cada site malicioso e domínio para evitar ficar no radar," observou o investigador.
Dados de julho revelaram um aumento substancial nos roubos de criptomoedas relacionados a phishing, com vítimas perdendo $7,09 milhões, representando um aumento de 153% em relação aos números de junho. O número de vítimas individuais também aumentou 56% para 9.143 durante o mesmo período, de acordo com dados da Scam Sniffer.
A maior perda individual em julho totalizou $1,23 milhão, com análise do blockchain mostrando que as taxas de drenagem desse incidente somaram 54 Ether, valorado em $204.074 no momento do furto. Esses proventos criminosos foram transferidos para a mesma carteira de taxas do Vanilla conectada ao incidente de $3,09 milhões em agosto.
Compreendendo Termos Criminais da Criptomoeda
Drenadores de criptomoedas operam como provedores de serviços criminosos que desenvolvem e distribuem softwares projetados para roubar ativos digitais das carteiras das vítimas. Essas organizações tipicamente combinam suas ferramentas técnicas com táticas de engenharia social, particularmente esquemas de phishing que enganam usuários para conectar suas carteiras a sites ou aplicações maliciosas.
Stablecoins, como Dai, Tether, e USD Coin, são criptomoedas projetadas para manter valor estável ao atrelar seu preço a moedas tradicionais como o dólar americano.
Operadores criminosos frequentemente preferem stablecoins descentralizados como Dai porque não podem ser congelados por autoridades centralizadas, ao contrário de seus contrapartes centralizados.
Ether serve como a criptomoeda nativa da rede de blockchain Ethereum, onde muitas dessas operações criminosas ocorrem devido à adoção generalizada da plataforma para várias aplicações e serviços financeiros.
Empresa Criminosa Persistente
Entre 15 de julho e 5 de agosto, Vanilla facilitou pelo menos quatro operações criminosas importantes totalizando $5,27 milhões, com cada incidente individual resultando em perdas de seis a sete dígitos para as vítimas. Análise do blockchain conecta Vanilla a dois incidentes adicionais de seis dígitos em julho, levando a responsabilidade estimada do serviço para $2,19 milhões, representando mais de 30% das perdas totais por phishing daquele mês.
Padrões históricos sugerem que anúncios públicos de encerramento de serviços criminosos raramente indicam cessação permanente das operações. Inferno Drainer anunciou seu fechamento em novembro de 2023, apenas para continuar operações ao longo de 2024 antes de transferir sua base de clientes para Angel Drainer mais tarde naquele ano. Apesar desses anúncios públicos, a atividade criminosa ligada ao Inferno continuou em 2025, com conexões a mais de $9 milhões em perdas ao longo de seis meses.
Considerações Finais
Vanilla Drainer estabeleceu-se rapidamente como uma ameaça significativa no cenário de crimes de criptomoeda, demonstrando que empresas criminosas continuam a evoluir apesar das medidas de segurança melhoradas. A capacidade do serviço de atrair clientes de operações extintas e gerar milhões em proventos criminosos em semanas destaca os desafios persistentes enfrentando a segurança de ativos digitais.