Wallet vaciada a partir de una firma,
la recuperación depende de adónde fueron los fondos después.
Los ataques de drenaje de wallets se diferencian del fraude de plataformas de inversión porque no hay ninguna plataforma de la cual recuperar: el atacante robó la aprobación para mover fondos directamente fuera de la wallet de la víctima, a menudo mediante una sola firma maliciosa en una página de minteo falsificada, una reclamación de airdrop falsa o la suplantación de una dApp legítima. La recuperación es posible cuando los fondos drenados llegan a un exchange regulado o a un clúster de wallets conocido; lo es menos cuando van directamente a una infraestructura de mixer.
The victim visits a site that appears to be a legitimate project: an airdrop claim page, an NFT minting site, a DeFi interface. The site asks the victim to connect their wallet and sign a transaction. The signature looks routine. In fact it grants the attacker's contract approval to transfer specific token balances out of the wallet at any time the attacker chooses.
Immediately or hours later, the attacker calls the contract and drains the approved tokens to a wallet they control. The victim's first warning is often the wallet balance dropping to zero in a single transaction, with no further interaction required.
The drained funds are usually moved through one or more bridging or swap protocols within minutes, both to obscure the trail and to convert to an asset (often ETH or stablecoins) easier to launder. From there the funds may go to a privacy mixer, a non-cooperative exchange, or — sometimes — to a regulated exchange where recovery becomes realistic.
Abarca todo el espectro, desde usuarios experimentados de DeFi hasta personas que mintean un NFT por primera vez. Los drenajes de wallets suelen afectar a quienes se consideran expertos en cripto: el ataque se apoya en la suposición de que "yo nunca caería en eso", lo que reduce el paso de verificación frente al sitio falsificado específico que logra pasar. Los montos de pérdida varían enormemente, desde unos pocos cientos de dólares en tokens de prueba hasta posiciones de DeFi de siete cifras.
Signals victims and bystanders should know.
- 01
Wallet-connect request from a domain you didn't reach via the project's official channel
Spoofed minting and airdrop sites are typically promoted through compromised Discord channels, fake Twitter accounts, or paid Google ads. Always reach the dApp through the project's verified official link.
- 02
Urgency framing — "claim within 24 hours" or "limited supply"
Engineered to prevent you from verifying the URL. Legitimate projects have multi-day claim windows and don't pressure participants.
- 03
Signature request asks for a token approval, not a specific transaction
A token "approve" or "setApprovalForAll" signature gives the contract ongoing permission to move your tokens. This is normal for legitimate DEX use, but malicious contracts also use it. Always inspect what the signature is approving and to which contract.
- 04
Asks for your seed phrase or private key
No legitimate service ever needs your 12 or 24-word recovery phrase. Any prompt for these is an immediate drain attempt regardless of how legitimate the surrounding page looks.
The first 24 hours matter most.
- 01
Move remaining funds to a new wallet immediately
If your wallet was drained, the approval may still allow continued draining of other tokens you still hold. Generate a new wallet (with a fresh seed phrase) and move everything not yet drained.
- 02
Revoke pending approvals on the old wallet
Use Revoke.cash or similar to revoke any outstanding token approvals on the compromised wallet. Even if you're moving funds out, leaving the approval active risks future draining of any tokens that arrive back at that address.
- 03
Document the transaction hashes
The malicious approval transaction and the subsequent drain transaction are on-chain forever. Note the hashes; they are the evidence basis for any recovery action.
- 04
Notify the relevant exchanges and chains
If the drained funds landed at a known regulated exchange, contact their compliance team immediately. Some exchanges can freeze the receiving wallet within hours if action is initiated quickly.
- 05
Open a CryptoLeek case review
We trace the drain and tell you within 24 hours whether the destination is recoverable. Wallet drains have a particular pattern that benefits from fast professional escalation.
189 platforms in our public registry match this pattern.
EtherWallet
ether-wallet.net es un sitio fraudulento confirmado, incluido en la lista negra de CryptoScamDB, que opera como una imitación de una conocida marca de billeteras de Ethereum para robar credenciales o vaciar fondos.
EthereumWallet
ethereum-wallet.info es un dominio incluido en lista negra y señalado por CryptoScamDB que imita infraestructura legítima de monederos de Ethereum, probablemente para recolectar claves privadas, frases semilla o vaciar wallets conectadas.
account-kigo.net
account-kigo.net es un dominio incluido en una lista negra por CryptoScamDB como una operación fraudulenta confirmada, coherente con esquemas de suplantación de cuentas o recolección de credenciales dirigidos a tenedores de criptomonedas.
aragonproject.io
aragonproject.io figura en la lista negra de CryptoScamDB como una operación fraudulenta confirmada; su dominio imita de cerca el nombre de un reconocido protocolo de gobernanza blockchain, lo que evidencia un patrón de suplantación de marca.
bitcoin-wallet.net
bitcoin-wallet.net es un dominio confirmado como fraudulento e incluido en la lista negra de CryptoScamDB; se presenta como un servicio legítimo de wallet de Bitcoin mientras opera como un esquema de robo de credenciales o de depósitos.
blocklichan.info
blocklichan.info es una plataforma de criptomonedas fraudulenta confirmada e incluida en la lista negra de CryptoScamDB, coherente con operaciones que solicitan depósitos y luego obstruyen o niegan los retiros.
bloclkicihan.info
bloclkicihan.info es un dominio confirmado como fraudulento e incluido en la lista negra de CryptoScamDB, que exhibe un patrón de nomenclatura por transposición de caracteres habitual en la infraestructura desechable del fraude cripto.
coin-wallet.info
coin-wallet.info es una plataforma de billeteras de criptomonedas confirmada como fraudulenta e incluida en la lista negra de CryptoScamDB, coherente con operaciones de robo de credenciales o de falsa custodia dirigidas a tenedores minoristas de cripto.
coindash.ru
coindash.ru es un dominio fraudulento confirmado e incluido en la lista negra de CryptoScamDB, que emplea la sustitución de TLD para suplantar a una plataforma de criptomonedas reconocida y recolectar credenciales o fondos de los usuarios.
contribute-status.im
contribute-status.im es un dominio incluido en listas negras que suplanta al ecosistema de Status Network, congruente con portales falsos de contribución o staking diseñados para capturar credenciales de wallets o desviar fondos.
district-0x.io
district-0x.io es un sitio fraudulento confirmado, incluido en la lista negra de CryptoScamDB, que emplea un dominio imitador para suplantar a una marca consolidada de plataforma descentralizada y engañar a usuarios de criptomonedas.
district0x.net
district0x.net es un dominio confirmado en lista negra que imita la identidad de marca de un conocido proyecto de mercado descentralizado basado en Ethereum; CryptoScamDB lo registra como una operación fraudulenta dirigida a usuarios de criptomonedas que buscan el servicio legíti
eos-bonus.com
eos-bonus.com es una plataforma fraudulenta confirmada, incluida en la lista negra de CryptoScamDB, que opera un esquema con temática de bonos o recompensas dirigido a usuarios de criptomonedas bajo la marca EOS.
eos-io.info
eos-io.info es un dominio fraudulento confirmado y señalado por CryptoScamDB, estructurado para suplantar la identidad de marca de la blockchain EOS y engañar a los usuarios que buscan servicios legítimos relacionados con EOS.
ether-api.com
ether-api.com figura en la lista negra de CryptoScamDB como una operación fraudulenta confirmada que se presenta como un servicio de API vinculado a Ethereum, sin evidencia de infraestructura legítima ni de respaldo regulatorio.
ether-wall.com
ether-wall.com es un sitio fraudulento confirmado, incluido en la lista negra de CryptoScamDB, que se presenta como un servicio de wallet de Ethereum mientras opera como una operación de robo de credenciales o de activos dirigida a tenedores de criptomonedas.
etherclassicwallet.com
etherclassicwallet.com es un sitio fraudulento confirmado, incluido en la lista negra de CryptoScamDB, que opera como una interfaz falsa de wallet de Ethereum Classic diseñada para capturar claves privadas o frases semilla de los usuarios.
ethereum-wallet.net
ethereum-wallet.net es un dominio incluido en lista negra y confirmado por CryptoScamDB que suplanta infraestructura legítima de wallets de Ethereum para robar credenciales o interceptar fondos de usuarios de criptomonedas.
ethereumchamber.com
ethereumchamber.com figura en la lista negra de CryptoScamDB como una operación fraudulenta confirmada que se vale de la marca Ethereum para captar depósitos en criptomonedas de usuarios desprevenidos.
ethereumchamber.net
ethereumchamber.net figura en la lista negra de CryptoScamDB como una operación fraudulenta confirmada que se presenta como una plataforma afiliada a Ethereum para captar a depositantes de criptomonedas.
ethereumchest.com
ethereumchest.com figura en la lista negra de CryptoScamDB como una operación fraudulenta confirmada; parece diseñada para explotar la marca Ethereum y atraer a tenedores de criptomonedas con el fin de extraer fondos.
ethereumchest.net
ethereumchest.net es una operación fraudulenta confirmada, incluida en la lista negra de CryptoScamDB, que se presenta como un servicio de activos vinculado a Ethereum mientras funciona como un vehículo para el robo de fondos de los usuarios.
etherswap.org
etherswap.org es una plataforma fraudulenta confirmada, incluida en la lista negra comunitaria de CryptoScamDB, que se presenta como un servicio de intercambio de tokens basado en Ethereum mientras opera como un mecanismo de robo dirigido a tenedores de criptomonedas.
etherwallet.co.za
etherwallet.co.za es un dominio fraudulento confirmado, incluido en la lista negra de CryptoScamDB, estructurado para suplantar la interfaz de una conocida wallet de Ethereum y capturar credenciales o claves privadas de los usuarios.
Questions victims of this pattern ask us most.
Can I get drained crypto back? +
I revoked the approval but my tokens are already gone. What now? +
How fast do I need to act after a wallet drain? +
Lost crypto to this pattern?
We can help you recover it.
We trace the funds on-chain, identify the recovery choke points, and coordinate action with exchanges, payment processors, and counsel across 40+ jurisdictions. Free assessment within 24 hours, with an honest yes/no on whether the funds are realistically recoverable.
The vocabulary this pattern uses.
Definitions of the terms that come up across this guide. Each links to the full glossary.
Un ataque en el que un operador obtiene el derecho de mover tokens fuera de la wallet de una víctima, por lo general mediante una aprobación de tokens maliciosa o una clave privada robada, y transfiere el saldo de la wallet a una dirección que él controla.
Un ataque a la wallet en el que la víctima firma una transacción `setApprovalForAll` o un `approve` ilimitado en una dApp falsificada, otorgando al contrato del atacante permiso para mover tokens específicos fuera de la wallet en cualquier momento posterior.
Un modelo de suscripción en el que un equipo de desarrollo crea y mantiene un contrato inteligente de vaciado de wallets y un panel de administración, y luego lo arrienda a afiliados que operan los sitios de phishing de front-end y reparten las ganancias con los desarrolladores.
Una variante de phishing que explota el estándar de firmas `Permit2` de Uniswap, en la que la víctima firma un mensaje fuera de la cadena que el atacante luego envía a la cadena para vaciar los tokens aprobados, sin gas ni rastro en la cadena hasta que ocurre el vaciado real.
Un programa automatizado que vigila una wallet comprometida (aquella cuya clave privada el operador ya conoce) y envía de inmediato cualquier fondo entrante a una dirección controlada por el atacante, dejando la wallet permanentemente inutilizable para la víctima.
Una estafa dirigida a wallets que siembra el historial de transacciones de la víctima con una dirección falsa que imita los primeros y últimos caracteres de una dirección que esta usó recientemente, con la esperanza de que copie y pegue la incorrecta en un envío futuro.
Una cold wallet almacena la clave privada sin conexión (en un dispositivo de hardware o en papel); una hot wallet la guarda en software conectado a internet: la cold es notablemente más segura frente a la mayoría de los ataques de vaciado de wallets y de phishing.
Una wallet que requiere firmas de múltiples claves privadas (por ejemplo, 2 de 3 o 3 de 5) para autorizar cualquier transacción saliente, lo que significa que una sola clave comprometida no puede vaciar la wallet.
Un servicio o contrato inteligente que agrupa criptomonedas de muchos depositantes y paga importes equivalentes a direcciones nuevas, rompiendo el vínculo en cadena entre las wallets de origen y de destino.