How the scam operates.
etherwallet.co.za は、セルフサービス型の Ethereum ウォレットインターフェースを装っています。このドメイン名は、広く認知された Ethereum ウォレットサービスのブランドに酷似するよう構築されており、視覚的および音声的な類似性を利用して、正規のアドレスを検索する、あるいは急いで入力するユーザーを取り込もうとします。当該サイトは、Ethereum を保有している、または保有しようとしており、資産管理のためにブラウザからアクセスできるウォレットインターフェースを必要とするユーザーを標的としています。
この種の手口は通常、本物のウォレットプラットフォームの視覚的なレイアウトを、ざっと見ただけでは見破れない程度の精度で複製します。訪問者は、これが標準的なログイン手段であるという前提のもと、シードフレーズ、秘密鍵、またはキーストアファイルを送信して認証するよう促されます。実際には、入力されたあらゆる認証情報は、ローカルのウォレットセッションを解除するために使われるのではなく、運営者へ直接送信されます。被害者がただちにエラーに気づくことはありません。インターフェースは、疑念が生じるまでの時間を引き延ばすために、もっともらしいウォレット残高を表示することさえあります。
破綻が明らかになるのは、ユーザーが出金または送金を試み、取引が何のエラー表示もなく失敗するか、あるいは資金がユーザーの管理下にないアドレスへ移動されたときです。その時点で、サイトは応答しなくなる、エラーページにリダイレクトする、または単に消失することがあります。認証情報の窃取は入力の時点で完了しているため、運営者は、被害者がサイトに再訪するか否かにかかわらず、任意のタイミングで関連するウォレットから資金を抜き取ることができます。
Red flags we documented.
- 01Name-mimicry targeting a recognised wallet brandThe domain is constructed to closely echo the name of a widely used Ethereum wallet platform. This is a deliberate typographical or phonetic proximity play designed to intercept users who intend to reach a legitimate service. No affiliation with any established wallet provider exists.
- 02Private-key submission as the authentication modelLegitimate non-custodial wallet interfaces derive session access from locally held keys and do not transmit seed phrases or private keys to a remote server. Any platform that requests these credentials via a web form is, by design, capturing them for the operator rather than authenticating the user.
- 03Country-code domain misaligned with claimed global serviceThe .co.za top-level domain is the South African country-code registry. Genuine global Ethereum wallet interfaces do not typically operate primary user-facing services under a single national country-code domain. The registration choice may reflect an attempt to exploit local trust signals or to complicate jurisdictional tracing.
- 04Independent blacklist listing with no rebuttal on recordThe domain appears on the CryptoScamDB community blacklist, an independent registry that aggregates verified fraudulent crypto addresses and domains. Inclusion indicates the domain has been flagged and reviewed by the contributor community. No counter-evidence or delisting request is documented in the public record.
- 05Absence of verifiable operator identity or regulatory registrationPlatforms handling cryptocurrency on behalf of users in most jurisdictions are required to register with a financial regulator or at minimum disclose an operating entity. Sites built for credential harvesting characteristically omit these disclosures because a traceable legal identity would undermine the operation.
What you can do now.
Open a free 24-hour case assessment with CryptoLeek +
Tell us what happened. A senior analyst reads your file within 24 hours and replies with an honest yes/no/conditional on recovery. The assessment is free. If we cannot recover the funds we say so plainly, including which (free) regulator channel you should use instead. If we accept the case, we open a numbered case file and issue a written quote for a flat investigation retainer before any work begins, scoped to case complexity, the jurisdictions involved, and the on-chain trail.
Trace your funds on-chain with our analysts +
We trace stolen crypto across BTC, ETH, EVM L2s, Solana, Tron, and major stablecoins using the same toolchain as regulators and tier-1 exchange compliance teams. The output is a forensic report anchored to specific transaction hashes and block heights, the evidence that exchanges, payment processors, and counsel actually act on. Recovery starts here.
Recover with counsel where civil action makes sense +
Where the trace lands in a jurisdiction with cooperative banks and courts, we coordinate with bar-licensed counsel in our 40+ jurisdiction network for civil action and asset-freezing orders (Mareva-style). Counsel bill you directly; the CryptoLeek investigation retainer is independent of counsel fees. The outcome is funds released back to your nominated wallet or bank account.