Recepción de casos · Abierta 24/7
Traducción automática. Pendiente de revisión profesional.
Home / Scam Patterns / Drenaje de wallets y aprobaciones de phishing
§ — · Scam pattern

Wallet vaciada a partir de una firma,
la recuperación depende de adónde fueron los fondos después.

Los ataques de drenaje de wallets se diferencian del fraude de plataformas de inversión porque no hay ninguna plataforma de la cual recuperar: el atacante robó la aprobación para mover fondos directamente fuera de la wallet de la víctima, a menudo mediante una sola firma maliciosa en una página de minteo falsificada, una reclamación de airdrop falsa o la suplantación de una dApp legítima. La recuperación es posible cuando los fondos drenados llegan a un exchange regulado o a un clúster de wallets conocido; lo es menos cuando van directamente a una infraestructura de mixer.

§ 01 · How this scam works

The victim visits a site that appears to be a legitimate project: an airdrop claim page, an NFT minting site, a DeFi interface. The site asks the victim to connect their wallet and sign a transaction. The signature looks routine. In fact it grants the attacker's contract approval to transfer specific token balances out of the wallet at any time the attacker chooses.

Immediately or hours later, the attacker calls the contract and drains the approved tokens to a wallet they control. The victim's first warning is often the wallet balance dropping to zero in a single transaction, with no further interaction required.

The drained funds are usually moved through one or more bridging or swap protocols within minutes, both to obscure the trail and to convert to an asset (often ETH or stablecoins) easier to launder. From there the funds may go to a privacy mixer, a non-cooperative exchange, or — sometimes — to a regulated exchange where recovery becomes realistic.

Typical victim profile

Abarca todo el espectro, desde usuarios experimentados de DeFi hasta personas que mintean un NFT por primera vez. Los drenajes de wallets suelen afectar a quienes se consideran expertos en cripto: el ataque se apoya en la suposición de que "yo nunca caería en eso", lo que reduce el paso de verificación frente al sitio falsificado específico que logra pasar. Los montos de pérdida varían enormemente, desde unos pocos cientos de dólares en tokens de prueba hasta posiciones de DeFi de siete cifras.

§ 02 · Red flags to recognise

Signals victims and bystanders should know.

  • 01

    Wallet-connect request from a domain you didn't reach via the project's official channel

    Spoofed minting and airdrop sites are typically promoted through compromised Discord channels, fake Twitter accounts, or paid Google ads. Always reach the dApp through the project's verified official link.

  • 02

    Urgency framing — "claim within 24 hours" or "limited supply"

    Engineered to prevent you from verifying the URL. Legitimate projects have multi-day claim windows and don't pressure participants.

  • 03

    Signature request asks for a token approval, not a specific transaction

    A token "approve" or "setApprovalForAll" signature gives the contract ongoing permission to move your tokens. This is normal for legitimate DEX use, but malicious contracts also use it. Always inspect what the signature is approving and to which contract.

  • 04

    Asks for your seed phrase or private key

    No legitimate service ever needs your 12 or 24-word recovery phrase. Any prompt for these is an immediate drain attempt regardless of how legitimate the surrounding page looks.

§ 03 · What to do if you've been hit

The first 24 hours matter most.

  1. 01

    Move remaining funds to a new wallet immediately

    If your wallet was drained, the approval may still allow continued draining of other tokens you still hold. Generate a new wallet (with a fresh seed phrase) and move everything not yet drained.

  2. 02

    Revoke pending approvals on the old wallet

    Use Revoke.cash or similar to revoke any outstanding token approvals on the compromised wallet. Even if you're moving funds out, leaving the approval active risks future draining of any tokens that arrive back at that address.

  3. 03

    Document the transaction hashes

    The malicious approval transaction and the subsequent drain transaction are on-chain forever. Note the hashes; they are the evidence basis for any recovery action.

  4. 04

    Notify the relevant exchanges and chains

    If the drained funds landed at a known regulated exchange, contact their compliance team immediately. Some exchanges can freeze the receiving wallet within hours if action is initiated quickly.

  5. 05

    Open a CryptoLeek case review

    We trace the drain and tell you within 24 hours whether the destination is recoverable. Wallet drains have a particular pattern that benefits from fast professional escalation.

§ 04 · Documented cases in this category

189 platforms in our public registry match this pattern.

Estafa confirmada 2026-05-21

EtherWallet

ether-wallet.net

ether-wallet.net es un sitio fraudulento confirmado, incluido en la lista negra de CryptoScamDB, que opera como una imitación de una conocida marca de billeteras de Ethereum para robar credenciales o vaciar fondos.

Estafa confirmada 2026-05-21

EthereumWallet

ethereum-wallet.info

ethereum-wallet.info es un dominio incluido en lista negra y señalado por CryptoScamDB que imita infraestructura legítima de monederos de Ethereum, probablemente para recolectar claves privadas, frases semilla o vaciar wallets conectadas.

Estafa confirmada 2026-05-21

account-kigo.net

account-kigo.net

account-kigo.net es un dominio incluido en una lista negra por CryptoScamDB como una operación fraudulenta confirmada, coherente con esquemas de suplantación de cuentas o recolección de credenciales dirigidos a tenedores de criptomonedas.

Estafa confirmada 2026-05-21

aragonproject.io

aragonproject.io

aragonproject.io figura en la lista negra de CryptoScamDB como una operación fraudulenta confirmada; su dominio imita de cerca el nombre de un reconocido protocolo de gobernanza blockchain, lo que evidencia un patrón de suplantación de marca.

Estafa confirmada 2026-05-21

bitcoin-wallet.net

bitcoin-wallet.net

bitcoin-wallet.net es un dominio confirmado como fraudulento e incluido en la lista negra de CryptoScamDB; se presenta como un servicio legítimo de wallet de Bitcoin mientras opera como un esquema de robo de credenciales o de depósitos.

Estafa confirmada 2026-05-21

blocklichan.info

blocklichan.info

blocklichan.info es una plataforma de criptomonedas fraudulenta confirmada e incluida en la lista negra de CryptoScamDB, coherente con operaciones que solicitan depósitos y luego obstruyen o niegan los retiros.

Estafa confirmada 2026-05-21

bloclkicihan.info

bloclkicihan.info

bloclkicihan.info es un dominio confirmado como fraudulento e incluido en la lista negra de CryptoScamDB, que exhibe un patrón de nomenclatura por transposición de caracteres habitual en la infraestructura desechable del fraude cripto.

Estafa confirmada 2026-05-21

coin-wallet.info

coin-wallet.info

coin-wallet.info es una plataforma de billeteras de criptomonedas confirmada como fraudulenta e incluida en la lista negra de CryptoScamDB, coherente con operaciones de robo de credenciales o de falsa custodia dirigidas a tenedores minoristas de cripto.

Estafa confirmada 2026-05-21

coindash.ru

coindash.ru

coindash.ru es un dominio fraudulento confirmado e incluido en la lista negra de CryptoScamDB, que emplea la sustitución de TLD para suplantar a una plataforma de criptomonedas reconocida y recolectar credenciales o fondos de los usuarios.

Estafa confirmada 2026-05-21

contribute-status.im

contribute-status.im

contribute-status.im es un dominio incluido en listas negras que suplanta al ecosistema de Status Network, congruente con portales falsos de contribución o staking diseñados para capturar credenciales de wallets o desviar fondos.

Estafa confirmada 2026-05-21

district-0x.io

district-0x.io

district-0x.io es un sitio fraudulento confirmado, incluido en la lista negra de CryptoScamDB, que emplea un dominio imitador para suplantar a una marca consolidada de plataforma descentralizada y engañar a usuarios de criptomonedas.

Estafa confirmada 2026-05-21

district0x.net

district0x.net

district0x.net es un dominio confirmado en lista negra que imita la identidad de marca de un conocido proyecto de mercado descentralizado basado en Ethereum; CryptoScamDB lo registra como una operación fraudulenta dirigida a usuarios de criptomonedas que buscan el servicio legíti

Estafa confirmada 2026-05-21

eos-bonus.com

eos-bonus.com

eos-bonus.com es una plataforma fraudulenta confirmada, incluida en la lista negra de CryptoScamDB, que opera un esquema con temática de bonos o recompensas dirigido a usuarios de criptomonedas bajo la marca EOS.

Estafa confirmada 2026-05-21

eos-io.info

eos-io.info

eos-io.info es un dominio fraudulento confirmado y señalado por CryptoScamDB, estructurado para suplantar la identidad de marca de la blockchain EOS y engañar a los usuarios que buscan servicios legítimos relacionados con EOS.

Estafa confirmada 2026-05-21

ether-api.com

ether-api.com

ether-api.com figura en la lista negra de CryptoScamDB como una operación fraudulenta confirmada que se presenta como un servicio de API vinculado a Ethereum, sin evidencia de infraestructura legítima ni de respaldo regulatorio.

Estafa confirmada 2026-05-21

ether-wall.com

ether-wall.com

ether-wall.com es un sitio fraudulento confirmado, incluido en la lista negra de CryptoScamDB, que se presenta como un servicio de wallet de Ethereum mientras opera como una operación de robo de credenciales o de activos dirigida a tenedores de criptomonedas.

Estafa confirmada 2026-05-21

etherclassicwallet.com

etherclassicwallet.com

etherclassicwallet.com es un sitio fraudulento confirmado, incluido en la lista negra de CryptoScamDB, que opera como una interfaz falsa de wallet de Ethereum Classic diseñada para capturar claves privadas o frases semilla de los usuarios.

Estafa confirmada 2026-05-21

ethereum-wallet.net

ethereum-wallet.net

ethereum-wallet.net es un dominio incluido en lista negra y confirmado por CryptoScamDB que suplanta infraestructura legítima de wallets de Ethereum para robar credenciales o interceptar fondos de usuarios de criptomonedas.

Estafa confirmada 2026-05-21

ethereumchamber.com

ethereumchamber.com

ethereumchamber.com figura en la lista negra de CryptoScamDB como una operación fraudulenta confirmada que se vale de la marca Ethereum para captar depósitos en criptomonedas de usuarios desprevenidos.

Estafa confirmada 2026-05-21

ethereumchamber.net

ethereumchamber.net

ethereumchamber.net figura en la lista negra de CryptoScamDB como una operación fraudulenta confirmada que se presenta como una plataforma afiliada a Ethereum para captar a depositantes de criptomonedas.

Estafa confirmada 2026-05-21

ethereumchest.com

ethereumchest.com

ethereumchest.com figura en la lista negra de CryptoScamDB como una operación fraudulenta confirmada; parece diseñada para explotar la marca Ethereum y atraer a tenedores de criptomonedas con el fin de extraer fondos.

Estafa confirmada 2026-05-21

ethereumchest.net

ethereumchest.net

ethereumchest.net es una operación fraudulenta confirmada, incluida en la lista negra de CryptoScamDB, que se presenta como un servicio de activos vinculado a Ethereum mientras funciona como un vehículo para el robo de fondos de los usuarios.

Estafa confirmada 2026-05-21

etherswap.org

etherswap.org

etherswap.org es una plataforma fraudulenta confirmada, incluida en la lista negra comunitaria de CryptoScamDB, que se presenta como un servicio de intercambio de tokens basado en Ethereum mientras opera como un mecanismo de robo dirigido a tenedores de criptomonedas.

Estafa confirmada 2026-05-21

etherwallet.co.za

etherwallet.co.za

etherwallet.co.za es un dominio fraudulento confirmado, incluido en la lista negra de CryptoScamDB, estructurado para suplantar la interfaz de una conocida wallet de Ethereum y capturar credenciales o claves privadas de los usuarios.

§ 05 · Frequently asked

Questions victims of this pattern ask us most.

Can I get drained crypto back? +
Sometimes. If the drained funds reached a regulated exchange before being laundered through mixers, recovery is realistic through compliance escalation. If they went directly to a privacy mixer like Tornado Cash, recovery is much harder. CryptoLeek's free 24-hour review traces the post-drain path and tells you which category your case is in.
I revoked the approval but my tokens are already gone. What now? +
Revoking the approval stops further draining but doesn't undo the original transfer. Recovery focuses on the destination wallet and whether the funds reached an identifiable counterparty (an exchange, a known cluster). Document the transaction hashes; those are the starting point for the on-chain trace.
How fast do I need to act after a wallet drain? +
Within the first 24 hours, the receiving exchange may still hold the funds in a freezable account. After that window, the operator typically moves them onward through mixers and bridges. Recovery is still possible after the window but harder. Move remaining funds to a new wallet immediately, document the hashes, and contact us within the first day.

Lost crypto to this pattern?
We can help you recover it.

We trace the funds on-chain, identify the recovery choke points, and coordinate action with exchanges, payment processors, and counsel across 40+ jurisdictions. Free assessment within 24 hours, with an honest yes/no on whether the funds are realistically recoverable.

Free 24h review · No upfront fees
Start Free Recovery Review → Or email us
§ 06 · Related glossary terms

The vocabulary this pattern uses.

Definitions of the terms that come up across this guide. Each links to the full glossary.

Wallet drain

Un ataque en el que un operador obtiene el derecho de mover tokens fuera de la wallet de una víctima, por lo general mediante una aprobación de tokens maliciosa o una clave privada robada, y transfiere el saldo de la wallet a una dirección que él controla.

Read full definition →
Approval phishing

Un ataque a la wallet en el que la víctima firma una transacción `setApprovalForAll` o un `approve` ilimitado en una dApp falsificada, otorgando al contrato del atacante permiso para mover tokens específicos fuera de la wallet en cualquier momento posterior.

Read full definition →
Drainer-as-a-service (DaaS)

Un modelo de suscripción en el que un equipo de desarrollo crea y mantiene un contrato inteligente de vaciado de wallets y un panel de administración, y luego lo arrienda a afiliados que operan los sitios de phishing de front-end y reparten las ganancias con los desarrolladores.

Read full definition →
Permit2 phishing

Una variante de phishing que explota el estándar de firmas `Permit2` de Uniswap, en la que la víctima firma un mensaje fuera de la cadena que el atacante luego envía a la cadena para vaciar los tokens aprobados, sin gas ni rastro en la cadena hasta que ocurre el vaciado real.

Read full definition →
Sweeper bot

Un programa automatizado que vigila una wallet comprometida (aquella cuya clave privada el operador ya conoce) y envía de inmediato cualquier fondo entrante a una dirección controlada por el atacante, dejando la wallet permanentemente inutilizable para la víctima.

Read full definition →
Address poisoning

Una estafa dirigida a wallets que siembra el historial de transacciones de la víctima con una dirección falsa que imita los primeros y últimos caracteres de una dirección que esta usó recientemente, con la esperanza de que copie y pegue la incorrecta en un envío futuro.

Read full definition →
Cold wallet vs hot wallet

Una cold wallet almacena la clave privada sin conexión (en un dispositivo de hardware o en papel); una hot wallet la guarda en software conectado a internet: la cold es notablemente más segura frente a la mayoría de los ataques de vaciado de wallets y de phishing.

Read full definition →
Multi-sig wallet

Una wallet que requiere firmas de múltiples claves privadas (por ejemplo, 2 de 3 o 3 de 5) para autorizar cualquier transacción saliente, lo que significa que una sola clave comprometida no puede vaciar la wallet.

Read full definition →
Mezclador (criptomonedas)

Un servicio o contrato inteligente que agrupa criptomonedas de muchos depositantes y paga importes equivalentes a direcciones nuevas, rompiendo el vínculo en cadena entre las wallets de origen y de destino.

Read full definition →