Novo serviço de golpe Vanilla Drainer rouba US$5 milhões em três semanas

Um investigador de blockchain atribuiu pelo menos US$ 5,27 milhões em criptomoedas roubadas ao longo de três semanas a um serviço de golpe em ascensão conhecido como Vanilla Drainer.

Drainers são entidades que fornecem softwares de golpe para fraudadores, frequentemente combinados com táticas de phishing para acessar os fundos das vítimas. Vanilla faz parte de uma nova geração desses grupos e, em grande parte, passou despercebido, mas recentes roubos de alto valor chamaram a atenção de investigadores de blockchain.

Os golpes de draining atingiram o pico em 2024, quando as vítimas perderam quase US$ 500 milhões para os principais serviços, como Angel, Inferno e Pink, de acordo com o Scam Sniffer. O draining ainda ocorre com frequência, embora os volumes tenham diminuído devido a novas tecnologias de segurança. No entanto, o investigador de blockchain Darkbit alerta que os drainers estão se adaptando.

“Vejo [Vanilla] assumindo muitos clientes do Inferno”, disse Darkbit ao Cointelegraph. “A maioria dos grandes drainings de seis e sete dígitos recentemente pode ser atribuída ao Vanilla Drainer.”

Um exemplo simplificado do fluxo de fundos de um golpe Vanilla mostra uma comissão de 15%-20% para o provedor do drainer. Fonte: Darkbit

Uma vítima perdeu US$ 3 milhões em criptomoedas para o Vanilla Drainer

Roubos anteriores do Vanilla podem ser rastreados até outubro de 2024, mas seu primeiro anúncio público conhecido foi postado em 8 de dezembro de 2024, embora desde então tenha se tornado inacessível. O anúncio afirmava que o Vanilla poderia contornar o Blockaid, uma plataforma de detecção de fraudes frequentemente citada por drainers como um dos principais fatores por trás da queda nos lucros e, em alguns casos, do seu encerramento.

Um anúncio do Vanilla em dezembro promete um “algoritmo avançado” para evitar a detecção pelo Blockaid. Fonte: Vanilla Drainer/Carder Market

O serviço começa com uma comissão de 20% dos lucros do golpe para o provedor do drainer, considerada a divisão padrão no mundo do draining. De acordo com o anúncio do Vanilla, a porcentagem pode cair para valores maiores roubados.

O maior roubo atribuído ao Vanilla ocorreu em 5 de agosto, quando uma vítima perdeu US$ 3,09 milhões em stablecoins. Neste caso, os operadores do Vanilla parecem ter recebido uma taxa de US$ 463.000 por fornecer as ferramentas, ou cerca de 17% dos fundos roubados.

Os operadores do Vanilla receberam uma comissão de US$ 463.000 do seu maior roubo conhecido. Fonte: Darkbit

Após a divisão, o Vanilla normalmente converte os tokens na criptomoeda nativa da blockchain, como Ether, antes de transferi-los para uma carteira de taxas final (0x9d3…E710d), onde a maioria das taxas do golpe é armazenada, segundo Darkbit. Cerca de US$ 1,6 milhão nesta carteira foi convertido para DaiDAI$0.9998, uma stablecoin descentralizada atrelada ao dólar americano que não pode ser congelada como suas contrapartes centralizadas, USDtUSDT$0.9999 ou USDCUSDC$0.9998. No momento da redação, a carteira continha US$ 2,23 milhões em tokens, principalmente em DAI e ETH.

Drainers de cripto e golpes de phishing voltam a crescer

Vários drainers encerraram as atividades à medida que ferramentas de segurança enfraqueceram a indústria de draining, mas ultimamente, os drainers têm acompanhado com novas táticas próprias. 

De acordo com Darkbit, um método que o Vanilla usa para se manter à frente é alternar entre domínios sem permanecer muito tempo em um só lugar.

“Estou começando a ver contratos maliciosos novos criados para cada site e domínio malicioso, para evitar permanecer no radar”, disse Darkbit.

Relacionado:  Drainers de cripto estão se aposentando à medida que investigadores começam a se aproximar

Em julho, golpes de phishing roubaram US$ 7,09 milhões das vítimas, um aumento de 153% em relação a junho. O número de vítimas também subiu 56%, para 9.143, segundo dados do Scam Sniffer.

A maior perda individual em julho foi de US$ 1,23 milhão. Trilhas na blockchain mostram que as taxas de draining coletadas deste golpe totalizaram 54 ETH, avaliados em US$ 204.074 na época. As taxas foram transferidas, por fim, para a mesma carteira de taxas suspeita do Vanilla vinculada ao incidente de US$ 3,09 milhões em agosto.

O rastro dos fundos na maior perda de julho leva à carteira de taxas do Vanilla Drainer. Fonte:  Scam Sniffer

A análise da blockchain também vincula o Vanilla Drainer a outros dois incidentes de seis dígitos em julho, elevando a responsabilidade do drainer para cerca de US$ 2,19 milhões — mais de 30% do total de phishing do mês.

Drainers de cripto encerram atividades, mas não desaparecem

Entre 15 de julho e 5 de agosto, o Vanilla foi usado em pelo menos quatro grandes golpes totalizando US$ 5,27 milhões, cada um resultando em perdas de seis a sete dígitos.

O Vanilla rapidamente se estabeleceu em um canto cada vez menor, mas ainda perigoso, do crime cripto. Mesmo com a desaceleração dos volumes totais de draining desde 2024, o Vanilla está arrecadando milhões e atraindo antigos usuários do Inferno. Darkbit afirma que seus operadores permanecem ágeis, alternando entre domínios e contratos para se manterem à frente da detecção.

A história sugere que  mesmo um encerramento público  raramene significa o fim. O Inferno Drainer, por exemplo,  anunciou seu fechamento  em novembro de 2023, apenas para ressurgir ao longo de 2024 antes de passar as operações para o Angel Drainer mais tarde naquele ano. Apesar desses anúncios, a atividade ligada ao Inferno continuou em 2025 e já foi associada a mais de US$ 9 milhões em perdas ao longo de seis meses.

Especialistas em segurança continuam atribuindo golpes a serviços que anunciaram publicamente seu encerramento. Fonte:  Blockaid

O rápido crescimento do Vanilla ao lado da persistência do Inferno mostra que serviços de drainer raramente desaparecem — eles se adaptam, mudam de nome ou passam suas ferramentas para novos operadores. Para os investigadores, o desafio é acompanhar um ecossistema que se recusa a morrer.