Cos’è un "wallet drainer"? Come funzionano i "crypto drainer"?
Non è necessario fornire la propria frase di recupero per perdere tutto. Con un wallet drainer, si perde tutto cliccando su "approva". Immaginate un sito ben fatto che offre un airdrop gratuito. Collegate il vostro wallet, compare una finestra per la firma, toccate "conferma" perché è quello che ogni dApp richiede, e pochi secondi dopo le vostre criptovalute e i vostri NFT sono spariti. Nessuna password è stata rubata. Nessun dispositivo è stato hackerato. Avete autorizzato il furto voi stessi, di solito con una firma che non ha comportato costi di gas e sembrava del tutto innocua. Questo è il trucco, e ha funzionato abbastanza bene da rubare 494 milioni di dollari solo nel 2024.
Questa guida spiega cos'è un "wallet drainer", il momento esatto in cui avviene il furto, come i criminali lo hanno trasformato in un servizio a pagamento, quanto rubano e le due abitudini che ne impediscono la quasi totalità.
Cos'è un "svuota-portafoglio" e perché funziona
Un "drainer" non è un malware che si installa silenziosamente sul tuo computer. Si tratta di uno smart contract o script dannoso, una delle dApp malevole che ormai infestano il Web3, mascherato da applicazione innocua, che ti inganna inducendoti a concedergli l'accesso, per poi prosciugare i tuoi fondi nell'istante stesso in cui lo fai. I drainer sono presenti quasi esclusivamente nel settore della finanza decentralizzata, o DeFi, dove il denaro si trasferisce tramite una firma anziché un login, e le tue criptovalute e altri asset crittografici sono esattamente il loro obiettivo. Il drainer non indovina mai la tua chiave privata e non viola mai alcuna crittografia. Ti induce semplicemente a firmare una transazione o un'approvazione che concede a uno smart contract sconosciuto il permesso di accedere ai tuoi fondi.
Una volta concessa l'autorizzazione, il resto è automatico. Il malware legge il tuo portafoglio per trovare i tuoi token, NFT e altri asset digitali più preziosi, crea il trasferimento e sposta tutto a un indirizzo controllato dall'attaccante, spesso all'interno di un singolo blocco. Poiché la richiesta si presenta come una normale azione Web3, la maggior parte delle vittime non si accorge di nulla finché il portafoglio non è già vuoto. Il pericolo non è un virus. È un'autorizzazione che concedi senza leggerla.
Come un dispositivo per svuotare il portafoglio ti fa perdere tutto
Ogni truffa segue lo stesso schema: attrazione, firma, spazzata. Il passaggio intermedio è quello in cui si perdono i soldi, ed è il passaggio che quasi nessuno guarda attentamente.
L'esca
Prima di tutto, bisogna cadere nella trappola. I truffatori diffondono falsi airdrop, concessioni di NFT e richieste di token, per poi promuoverli con insistenza. Si impossessano di account verificati su piattaforme come X e pubblicano link da un account di social media rubato, inviano messaggi su Telegram e Discord e acquistano annunci sponsorizzati sui motori di ricerca in modo che il sito falso compaia prima di quello reale. L'obiettivo è sempre quello di creare un senso di urgenza, promettendo una concessione limitata o una scadenza imminente, perché l'ingegneria sociale funziona meglio quando non si ha tempo di pensare. A differenza del phishing tradizionale, che mira a carpire password o credenziali di accesso, un drainer non ha bisogno dei vostri segreti. Deve solo indurre gli utenti a compiere una sola azione: collegare i propri wallet al sito falso e approvare una singola richiesta. È proprio questa soglia minima di accesso che spiega la rapidità con cui i drainer si diffondono e perché anche le persone più attente cadono nella trappola. Cliccando sul link, si accede a un clone identico a un progetto di cui ci si fida, che chiede di collegare il proprio wallet.
La trappola è la firma
Questa è la parte cruciale. Quando approvi, non stai "accedendo" — stai firmando un'autorizzazione specifica, e alcune di queste sono devastanti. Un `approve()` ERC-20 può concedere un'autorizzazione illimitata, permettendo a un contratto di spendere quel token per sempre. `setApprovalForAll` cede tutti gli NFT di una collezione in una volta sola. La più insidiosa è la firma offline Permit o Permit2. Non costa gas. Si presenta come un semplice messaggio, non come una transazione. E autorizza comunque un trasferimento. Questa è la trappola in cui la maggior parte delle persone cade: secondo un'analisi di SlowMist , le firme in stile Permit rappresentavano il 56,7% delle approvazioni di phishing nel 2024, proprio perché sembrano insignificanti. Gli aggressori seguono anche gli aggiornamenti, abusando di chiamate poco conosciute come `setOwner` e, subito dopo il rilascio di Pectra di Ethereum, la nuovissima delega EIP-7702.
Lo scarico
Una volta firmato, il truffatore ha tutto ciò che gli serve e non c'è una seconda conferma a salvarti. L'obiettivo è semplice e brutale: rubare i fondi prima che tu possa reagire. Ha già mappato i tuoi asset, quindi avvia il trasferimento e i tuoi token vengono prelevati in un unico blocco. Le transazioni sulla blockchain sono definitive. Non c'è una banca da contattare, nessun costo da annullare. Nel momento in cui l'airdrop "non va a buon fine", il trasferimento non autorizzato è già stato registrato sulla blockchain.
| Ciò che ti viene chiesto di firmare | Che aspetto ha per te | Cosa concede effettivamente |
|---|---|---|
| ERC-20 `approva()` | Approvazione di routine del token | Spesa illimitata di quel token |
| `setApprovalForAll` | "Approva la raccolta" | Controllo di ogni NFT al suo interno |
| Permesso / Permesso2 | Un messaggio di firma senza gas | Trasferisci i diritti senza traccia sulla blockchain fino al momento dell'utilizzo. |
| `setOwner` / EIP-7702 | Un suggerimento sconosciuto | Proprietà o delega del tuo account |
Servizio di drenaggio come servizio (DaaS): il crimine con una dashboard
I sistemi di svuotamento del portafoglio non si sono diffusi perché gli aggressori sono diventati più astuti. Si sono diffusi perché qualcuno ha trasformato lo strumento in un prodotto e, con esso, ha trasformato il furto di portafogli in un crimine informatico organizzato con un listino prezzi pubblicato.
Come funziona il DaaS
Nel modello Drainer-as-a-Service, uno sviluppatore crea e gestisce il kit per il furto di fondi dai portafogli digitali e lo affitta a chiunque voglia condurre una campagna contro i portafogli di criptovalute. L'affiliato, spesso un malintenzionato con scarse competenze, si occupa del phishing. Il kit si occupa del furto. I profitti vengono divisi, e la ripartizione ricalca quasi esattamente quella dei ransomware: gli sviluppatori trattengono circa il 20% di tutto il denaro rubato, mentre gli affiliati si prendono il restante 80%. In cambio di questa percentuale, l'acquirente ottiene pagine di phishing già pronte, una dashboard di controllo, strumenti per l'anonimato e, sì, un vero servizio di assistenza clienti. Un adolescente che non sa scrivere una riga di codice può ritrovarsi a gestire un'operazione professionale entro l'ora di pranzo.
Inferno, Pink e la porta girevole
I dati principali mostrano la portata del fenomeno. Inferno Drainer è stato attivo dalla fine del 2022 alla fine del 2023, sottraendo circa 87 milioni di dollari a oltre 137.000 vittime, distribuite su oltre 16.000 domini di phishing che imitavano almeno 100 marchi di criptovalute. Pink Drainer ha incassato circa 85 milioni di dollari prima che i suoi operatori annunciassero il loro ritiro. Notate lo schema. Un gruppo si ritira, i criminali informatici passano al kit successivo e Inferno stesso ritorna in una forma "rinnovata". Eliminare un operatore non significa eliminare il mercato: il mercato è il servizio, non il truffatore.
Quanto rubano i truffatori che svuotano il portafoglio
Le cifre totali sono enormi, instabili e facili da interpretare erroneamente. Una singola campagna di svuotamento di portafogli di criptovalute può sottrarre in una sola transazione più denaro di un attacco hacker a un intero exchange, e i numeri annuali sono molto variabili.
La fonte più affidabile, Scam Sniffer , tiene il conto anno per anno. Le perdite hanno raggiunto circa 295 milioni di dollari nel 2023, con 324.000 vittime, sono aumentate del 67% a 494 milioni di dollari nel 2024, per poi calare drasticamente a circa 84 milioni di dollari nel 2025. Questo calo sembra un successo, ma non lo è. Riflette principalmente una minore attività on-chain e un minore ricambio di token, e i primi dati mostravano già un forte aumento mensile. Il furto più ingente mai registrato ha sottratto 55,47 milioni di dollari in DAI a una singola vittima nel 2024. Indipendentemente dal totale, le criptovalute rubate escono allo stesso modo: vengono trasferite tramite mixer e exchange decentralizzati in pochi minuti, motivo per cui quasi nessuna viene recuperata.
| Anno | Rubato dai ladri | Vittime |
|---|---|---|
| 2023 | 295,5 milioni di dollari | Oltre 324.000 |
| 2024 | 494 milioni di dollari | 332.000 |
| 2025 | 83,85 milioni di dollari | 106.106 |
E le vittime non sono tutte principianti. Mark Cuban ha perso circa 900.000 dollari a causa di un truffatore. Persino il co-fondatore di Ethereum, Vitalik Buterin, ha subito il dirottamento del suo account X per promuovere una finta zecca che ha sottratto circa 700.000 dollari ai suoi follower. Se la truffa li raggiunge, la soglia di tolleranza "Io non ci cascherei mai" è più sottile di quanto si pensi.
Segnali d'allarme di un sistema che svuota il portafoglio
I segnali d'allarme di una truffa che svuota il portafoglio ruotano quasi tutti attorno a una richiesta: firma questo, subito. Quando li vedi, rallenta.
Fai attenzione alle richieste di acquisto di token illimitati quando in realtà volevi solo un singolo acquisto. Sii ancora più cauto con le richieste di firma che non prevedono commissioni di gas e mostrano un messaggio illeggibile. Si tratta della classica mossa per estorcere denaro senza addebitare commissioni di gas. Considera le espressioni come "richiedi ora", "mint limitati" e i timer come tattiche di pressione, non come fortuna. Diffida di qualsiasi link ricevuto tramite messaggio privato o in un gruppo Telegram. Non raggiungere mai una dApp tramite un annuncio sponsorizzato nei risultati di ricerca, dove i truffatori si aggiudicano regolarmente la prima posizione superando le offerte del progetto reale. E controlla sempre il dominio esatto, perché un sito simile con una sola lettera diversa è la strategia più vecchia e ancora efficace dei siti fraudolenti.
Come proteggere il tuo portafoglio da chi ti svuota il portafoglio
Non è necessario monitorare ogni nuova vulnerabilità. Due abitudini banali bloccano da sole quasi ogni tipo di falla.
Utilizzare un portafoglio hardware e un dispositivo di archiviazione temporaneo
Conserva la maggior parte delle tue criptovalute su un hardware wallet. La chiave rimane offline e ogni transazione richiede un contatto fisico con il dispositivo, quindi un sito malevolo non può spostare nulla senza che tu abbia l'hardware in mano. Poi crea un secondo wallet "burner", quasi vuoto, per il mining, gli airdrop e qualsiasi dApp che non conosci. Se il wallet usa e getta viene svuotato, perderai solo i soldi per il pranzo, non i tuoi risparmi. Collegare il tuo wallet principale a un sito Web3 a caso è l'abitudine che rende redditizio tutto questo crimine.
Leggete ogni firma e revocate quelle vecchie.
La seconda abitudine è semplicemente leggere ciò che si firma. I moderni wallet e gli strumenti di simulazione specificano chiaramente cosa concede una firma prima della conferma. Usateli e non firmate mai alla cieca un messaggio che non potete comprendere. Dopodiché, fate pulizia e revocate le autorizzazioni che non vi servono più. Uno strumento di revoca mostra tutti i contratti che possono ancora spendere i vostri token e vi permette di annullare quelli che avete dimenticato, chiudendo le porte che un malintenzionato potrebbe sfruttare mesi dopo. Se un sito vi sembra sconosciuto, date prima un'occhiata al suo contratto su un block explorer, perché un contratto nuovo di zecca senza cronologia è una classica trappola. Quell'autorizzazione illimitata su cui avete cliccato nel 2021? È ancora attiva finché non la revocate.
Cosa fare se qualcuno ti svuota il portafoglio
Se dovesse succedere, la velocità è fondamentale. Procedete con ordine. Spostate immediatamente tutto ciò che l'attaccante non ha ancora sottratto in un nuovo portafoglio sicuro, perché spesso tornano a recuperare il resto. Quindi revocate tutte le autorizzazioni sull'indirizzo compromesso in modo che nessun permesso residuo possa essere riutilizzato. Considerate quel portafoglio come bruciato e smettete di usarlo definitivamente. Documentate gli hash delle transazioni e segnalate gli indirizzi a un servizio come Chainabuse o Scam Sniffer, che mappano questa infrastruttura. E siate onesti con voi stessi riguardo al recupero. I trasferimenti on-chain sono definitivi e i fondi rubati raramente vengono recuperati, quindi la vera vittoria è fermare l'emorragia rapidamente.
Un programma per svuotare il portafoglio richiede la tua firma, non le tue chiavi.
Eliminando dashboard e nomi di kit, un programma per svuotare il portafoglio ha una sola arma: la tua firma. Non può impossessarsi della tua chiave privata, non può interrompere la blockchain e non può spostare un centesimo finché non clicchi su "conferma". Questa è anche la buona notizia: il meccanismo di conteggio è altrettanto semplice. Conserva la maggior parte dei dati in un luogo sicuro, considera ogni richiesta di "collega il portafoglio" come uno sconosciuto che ti chiede le chiavi e leggi attentamente l'autorizzazione prima di firmarla. Se segui questi consigli, un'industria multimiliardaria si scontrerà contro il tuo schermo. Quindi, la prossima volta che un programma di monetine gratuite ti chiede di firmare, poniti l'unica domanda che conta: cosa sto autorizzando esattamente?
