Foto: BleepingComputer
U posljednjih nekoliko godina krađa kriptovaluta sve se manje oslanja na izolirane phishing-stranice i lažne NFT prijevare, a sve više na organizirane usluge tipa Drainer-as-a-Service (DaaS). Riječ je o modelu u kojem napadači ne moraju nužno kompromitirati uređaj žrtve: dovoljno je da korisnika navedu da poveže svoj kripto novčanik s lažnom stranicom i odobri zlonamjernu radnju ili potpis.
Analiza koju su proveli istraživači Flarea, na temelju približno 700 objava prikupljenih na podzemnim forumima, u chatovima i kanalima povezanima s platformom Lucifer DaaS između siječnja 2025. i početka 2026., daje uvid u to kako takve operacije funkcioniraju iznutra. Prema toj analizi, moderni draineri sve više nalikuju legitimnim SaaS poslovnim modelima: govori se o izdanjima softvera, ispravcima grešaka, provizijama za afilijate, korisničkoj podršci, preporukama za hosting, automatizaciji postavljanja, kloniranju web-stranica i referral sustavima.
Crypto drainer je alat osmišljen za krađu kriptovalutne imovine izravno iz novčanika žrtve, tako što zloupotrebljava dopuštenja i odobrenja transakcija. Umjesto probijanja samog novčanika, napadači najčešće vode žrtvu na lažne stranice za kripto, NFT, airdrop, DeFi ili preuzimanje tokena i nagovaraju je da poveže novčanik te odobri zahtjev ili potpis koji izgleda legitimno. Nakon što je dopuštenje dano, drainer može automatski prebaciti tokene, NFT-ove ili drugu digitalnu imovinu na adrese pod kontrolom napadača, često u svega nekoliko sekundi i na više blockchain mreža.
U tom modelu operater održava infrastrukturu za krađu, dok afilijati dovode žrtve. Njihov zadatak je generirati promet putem phishing poveznica, lažnih stranica, kompromitiranih računa na društvenim mrežama, oglasa, neželjene pošte ili izravnih poruka. Operater DaaS-a pritom upravlja interakcijom s novčanikom, logikom transakcija, upozorenjima i samim postupkom izvlačenja imovine. U jednoj promotivnoj objavi povezanoj s Luciferom navodi se da afilijati dovode promet kroz phishing poveznice, lažne stranice i slične metode, dok usluga upravlja potpisima, odobrenjima i prijenosom tokena.
Isti materijal opisuje Lucifer Drainer kao „profesionalno rješenje” s podrškom za ERC20, Permit2, off-chain potpise, zaobilaženje zaštite novčanika, multichain podršku i nastavak ažuriranja proizvoda. U Telegram kanalu se više puta navodi da softver nije na prodaju te da operateri uzimaju 20 posto provizije od uspješnih „pogodaka”. U jednoj objavi iz svibnja 2025. kanal je poručio da softver ne prodaje niti iznajmljuje, nego dijeli „20% po pogotku”.
Flareova analiza kaže i da se takvi DaaS sustavi regrutiraju preko podzemnih foruma i Telegram kanala, odnosno kroz mehanizme slične onima koje koriste druge ilegalne usluge. U praksi je najvažnije da se krađa ne oslanja na napad na uređaj, nego na trenutačno odobrenje koje korisnik može dati na lažnoj stranici. Upravo zato napadači sve češće ciljaju trenutak potpisa i odobravanja transakcije, a ne samu tehničku zaštitu novčanika.
Vezane vijesti
