Case Intake · Open 24/7
Machine translation. Professional review pending.
Home / Scam Patterns / ウォレットの資金流出とフィッシングによる承認
§ — · Scam pattern

署名一つでウォレットから資金が流出し、
回収の可否は、その後に資金がどこへ移動したかに左右されます。

ウォレットからの資金流出攻撃は、投資プラットフォーム型の詐欺とは性質が異なります。回収すべき対象となるプラットフォームが存在しないためです。攻撃者は、被害者のウォレットから直接資金を移動させるための承認を盗み取っており、その多くは偽装されたミントページ、偽のエアドロップ請求ページ、あるいは正規のdAppを装ったページ上での、たった一度の悪意ある署名を通じて行われます。流出した資金が規制対象の取引所や既知のウォレットクラスターに到達した場合には回収の可能性がありますが、ミキサーのインフラに直接送られた場合には回収は難しくなります。

§ 01 · How this scam works

The victim visits a site that appears to be a legitimate project: an airdrop claim page, an NFT minting site, a DeFi interface. The site asks the victim to connect their wallet and sign a transaction. The signature looks routine. In fact it grants the attacker's contract approval to transfer specific token balances out of the wallet at any time the attacker chooses.

Immediately or hours later, the attacker calls the contract and drains the approved tokens to a wallet they control. The victim's first warning is often the wallet balance dropping to zero in a single transaction, with no further interaction required.

The drained funds are usually moved through one or more bridging or swap protocols within minutes, both to obscure the trail and to convert to an asset (often ETH or stablecoins) easier to launder. From there the funds may go to a privacy mixer, a non-cooperative exchange, or — sometimes — to a regulated exchange where recovery becomes realistic.

Typical victim profile

被害者層は、経験豊富なDeFi利用者から、初めてNFTをミントする人まで幅広く分布しています。ウォレットの資金流出は、自らを暗号資産に精通していると考えている人を狙うことが多くあります。この攻撃は、「自分がそんな手口に引っかかるはずがない」という思い込みを利用しており、その思い込みが、たまたますり抜けてしまった特定の偽装サイトに対する確認の手順を緩めてしまうのです。被害額は、テスト用トークンの数百ドル程度から、7桁規模のDeFiポジションまで、極めて大きな幅があります。

§ 02 · Red flags to recognise

Signals victims and bystanders should know.

  • 01

    Wallet-connect request from a domain you didn't reach via the project's official channel

    Spoofed minting and airdrop sites are typically promoted through compromised Discord channels, fake Twitter accounts, or paid Google ads. Always reach the dApp through the project's verified official link.

  • 02

    Urgency framing — "claim within 24 hours" or "limited supply"

    Engineered to prevent you from verifying the URL. Legitimate projects have multi-day claim windows and don't pressure participants.

  • 03

    Signature request asks for a token approval, not a specific transaction

    A token "approve" or "setApprovalForAll" signature gives the contract ongoing permission to move your tokens. This is normal for legitimate DEX use, but malicious contracts also use it. Always inspect what the signature is approving and to which contract.

  • 04

    Asks for your seed phrase or private key

    No legitimate service ever needs your 12 or 24-word recovery phrase. Any prompt for these is an immediate drain attempt regardless of how legitimate the surrounding page looks.

§ 03 · What to do if you've been hit

The first 24 hours matter most.

  1. 01

    Move remaining funds to a new wallet immediately

    If your wallet was drained, the approval may still allow continued draining of other tokens you still hold. Generate a new wallet (with a fresh seed phrase) and move everything not yet drained.

  2. 02

    Revoke pending approvals on the old wallet

    Use Revoke.cash or similar to revoke any outstanding token approvals on the compromised wallet. Even if you're moving funds out, leaving the approval active risks future draining of any tokens that arrive back at that address.

  3. 03

    Document the transaction hashes

    The malicious approval transaction and the subsequent drain transaction are on-chain forever. Note the hashes; they are the evidence basis for any recovery action.

  4. 04

    Notify the relevant exchanges and chains

    If the drained funds landed at a known regulated exchange, contact their compliance team immediately. Some exchanges can freeze the receiving wallet within hours if action is initiated quickly.

  5. 05

    Open a CryptoLeek case review

    We trace the drain and tell you within 24 hours whether the destination is recoverable. Wallet drains have a particular pattern that benefits from fast professional escalation.

§ 04 · Documented cases in this category

189 platforms in our public registry match this pattern.

Confirmed Scam 2026-05-21

EtherWallet

ether-wallet.net

ether-wallet.net は CryptoScamDB のブラックリストに掲載された詐欺確認済みのサイトであり、著名なEthereumウォレットブランドを模倣して認証情報の窃取または資金の流出を行っています。

Confirmed Scam 2026-05-21

EthereumWallet

ethereum-wallet.info

ethereum-wallet.infoは、CryptoScamDBによってブラックリストに登録されたドメインであり、正規のEthereumウォレットインフラを模倣し、秘密鍵やシードフレーズの窃取、または接続されたウォレットの資産流出を狙っているとみられる。

Confirmed Scam 2026-05-21

account-kigo.net

account-kigo.net

account-kigo.netは、CryptoScamDBにより詐欺行為が確認されたブラックリスト掲載ドメインであり、暗号資産保有者を標的としたアカウントなりすましまたは認証情報窃取の手口と一致しています。

Confirmed Scam 2026-05-21

aragonproject.io

aragonproject.io

aragonproject.ioは、詐欺と確認された事業としてCryptoScamDBのブラックリストに登録されており、そのドメイン名は著名なブロックチェーン・ガバナンス・プロトコルの名称に酷似しており、ブランドなりすましの手口を示している。

Confirmed Scam 2026-05-21

bitcoin-wallet.net

bitcoin-wallet.net

bitcoin-wallet.netは、CryptoScamDBによってブラックリストに登録された詐欺確定のドメインであり、正規のBitcoinウォレットサービスを装いながら、認証情報の窃取または入金の着服を狙う仕組みとして運営されています。

Confirmed Scam 2026-05-21

blocklichan.info

blocklichan.info

blocklichan.infoはCryptoScamDBのブラックリストに掲載された詐欺的な暗号資産プラットフォームであることが確認されており、入金を募ったうえで出金を妨害または拒否する手口と一致しています。

Confirmed Scam 2026-05-21

bloclkicihan.info

bloclkicihan.info

bloclkicihan.info は CryptoScamDB のブラックリストに掲載された詐欺確認済みのドメインであり、使い捨て型の暗号資産詐欺インフラに共通する文字入れ替え型の命名パターンを示しています。

Confirmed Scam 2026-05-21

coin-wallet.info

coin-wallet.info

coin-wallet.infoは、CryptoScamDBのブラックリストに登録された詐欺と確認済みの暗号資産ウォレットプラットフォームであり、個人投資家を標的とした認証情報の窃取または偽の保管型ウォレットの手口と一致しています。

Confirmed Scam 2026-05-21

coindash.ru

coindash.ru

coindash.ru は CryptoScamDB のブラックリストに掲載された詐欺確認済みのドメインであり、TLD の置き換えによって既知の暗号資産プラットフォームになりすまし、利用者の認証情報や資金を窃取しています。

Confirmed Scam 2026-05-21

contribute-status.im

contribute-status.im

contribute-status.imは、Status Networkのエコシステムを装うブラックリスト登録済みのドメインであり、ウォレットの認証情報を窃取し、または資金を流用する目的で設計された偽の寄付・ステーキングポータルと一致しています。

Confirmed Scam 2026-05-21

district-0x.io

district-0x.io

district-0x.ioは、CryptoScamDBのブラックリストに掲載された詐欺確認済みのサイトであり、類似ドメインを用いて確立された分散型プラットフォームのブランドになりすまし、暗号資産利用者を欺いている。

Confirmed Scam 2026-05-21

district0x.net

district0x.net

district0x.netは、イーサリアム基盤の著名な分散型マーケットプレイス・プロジェクトのブランドを模倣する、ブラックリスト登録が確認されたドメインであり、CryptoScamDBは正規サービスを求める暗号資産利用者を標的とした詐欺行為として記載している。

Confirmed Scam 2026-05-21

eos-bonus.com

eos-bonus.com

eos-bonus.comは、CryptoScamDBのブラックリストに掲載された詐欺確定プラットフォームであり、EOSブランドを利用してボーナスや報酬を装った手口で暗号資産の利用者を標的としています。

Confirmed Scam 2026-05-21

eos-io.info

eos-io.info

eos-io.infoは、CryptoScamDBによって詐欺と確認されたドメインであり、EOSブロックチェーンのブランドアイデンティティを模倣し、正規のEOS関連サービスを求める利用者を誤誘導するよう構築されています。

Confirmed Scam 2026-05-21

ether-api.com

ether-api.com

ether-api.comは、Ethereum関連のAPIサービスを装う詐欺的な事業として、正規のインフラや規制上の地位を示す証拠が一切ないまま、CryptoScamDBのブラックリストに確認済みとして掲載されています。

Confirmed Scam 2026-05-21

ether-wall.com

ether-wall.com

ether-wall.comは、CryptoScamDBのブラックリストに掲載された詐欺確定サイトであり、Ethereumのウォレットサービスを装いながら、暗号資産保有者を標的に認証情報の窃取または資産の盗難を行っています。

Confirmed Scam 2026-05-21

etherclassicwallet.com

etherclassicwallet.com

etherclassicwallet.comは、CryptoScamDBのブラックリストに掲載された詐欺確認済みのサイトであり、偽のEthereum Classicウォレットインターフェースとして機能し、利用者の秘密鍵やシードフレーズを窃取することを目的としています。

Confirmed Scam 2026-05-21

ethereum-wallet.net

ethereum-wallet.net

ethereum-wallet.netは、正規のイーサリアムウォレットインフラを装い、暗号資産利用者の認証情報を窃取し、または資金を傍受する、CryptoScamDBが確認したブラックリスト登録ドメインです。

Confirmed Scam 2026-05-21

ethereumchamber.com

ethereumchamber.com

ethereumchamber.comは、Ethereumのブランドを利用して何も知らない利用者から暗号資産の預け入れを募る、確認済みの詐欺行為としてCryptoScamDBのブラックリストに掲載されています。

Confirmed Scam 2026-05-21

ethereumchamber.net

ethereumchamber.net

ethereumchamber.netは、CryptoScamDBのブラックリストに詐欺行為が確認された事業者として掲載されており、Ethereumに関連するプラットフォームを装って暗号資産の入金者を勧誘しています。

Confirmed Scam 2026-05-21

ethereumchest.com

ethereumchest.com

ethereumchest.comはCryptoScamDBのブラックリストに詐欺が確認された業者として掲載されており、Ethereumのブランドを悪用して暗号資産保有者を引き寄せ、資金を抜き取ることを目的に設計されているとみられます。

Confirmed Scam 2026-05-21

ethereumchest.net

ethereumchest.net

ethereumchest.netはCryptoScamDBのブラックリストに掲載された詐欺的な事業であり、イーサリアム関連の資産サービスを装いながら、実際には利用者の資金を窃取する手段として機能しています。

Confirmed Scam 2026-05-21

etherswap.org

etherswap.org

etherswap.orgは、CryptoScamDBのコミュニティ・ブラックリストに掲載された詐欺確認済みのプラットフォームであり、イーサリアムベースのトークンスワップサービスを装いながら、暗号資産保有者を狙う窃取の仕組みとして機能している。

Confirmed Scam 2026-05-21

etherwallet.co.za

etherwallet.co.za

etherwallet.co.za は CryptoScamDB のブラックリストに掲載された詐欺確定ドメインであり、著名な Ethereum ウォレットのインターフェースを偽装してユーザーの認証情報や秘密鍵を窃取するよう構築されています。

§ 05 · Frequently asked

Questions victims of this pattern ask us most.

Can I get drained crypto back? +
Sometimes. If the drained funds reached a regulated exchange before being laundered through mixers, recovery is realistic through compliance escalation. If they went directly to a privacy mixer like Tornado Cash, recovery is much harder. CryptoLeek's free 24-hour review traces the post-drain path and tells you which category your case is in.
I revoked the approval but my tokens are already gone. What now? +
Revoking the approval stops further draining but doesn't undo the original transfer. Recovery focuses on the destination wallet and whether the funds reached an identifiable counterparty (an exchange, a known cluster). Document the transaction hashes; those are the starting point for the on-chain trace.
How fast do I need to act after a wallet drain? +
Within the first 24 hours, the receiving exchange may still hold the funds in a freezable account. After that window, the operator typically moves them onward through mixers and bridges. Recovery is still possible after the window but harder. Move remaining funds to a new wallet immediately, document the hashes, and contact us within the first day.

Lost crypto to this pattern?
We can help you recover it.

We trace the funds on-chain, identify the recovery choke points, and coordinate action with exchanges, payment processors, and counsel across 40+ jurisdictions. Free assessment within 24 hours, with an honest yes/no on whether the funds are realistically recoverable.

Free 24h review · No upfront fees
Start Free Recovery Review → Or email us
§ 06 · Related glossary terms

The vocabulary this pattern uses.

Definitions of the terms that come up across this guide. Each links to the full glossary.

Wallet drain

攻撃者が被害者のウォレットからトークンを移動させる権限を取得し、通常は不正なトークン承認や窃取した秘密鍵を介して、ウォレットの残高を自身が管理するアドレスへ送金する攻撃。

Read full definition →
Approval phishing

被害者が偽装されたdApp上で`setApprovalForAll`または無制限の`approve`トランザクションに署名し、攻撃者のコントラクトに対して、後日いつでも特定のトークンをウォレットから移動させる権限を付与してしまうウォレット攻撃です。

Read full definition →
Drainer-as-a-service (DaaS)

開発チームがウォレットを資金流出させるスマートコントラクトと管理パネルを構築・保守し、フロントエンドのフィッシングサイトを運営するアフィリエイトにそれを貸し出して、収益を開発者と分配するサブスクリプション型のモデルです。

Read full definition →
Permit2 フィッシング

Uniswap の `Permit2` 署名標準を悪用したフィッシングの一種で、被害者がオフチェーンのメッセージに署名すると、攻撃者がそれをオンチェーンに送信し、承認済みのトークンを抜き取るものです。実際の抜き取りが発生するまで、ガス代もオンチェーン上の痕跡も残りません。

Read full definition →
Sweeper bot

侵害されたウォレット(秘密鍵が攻撃者の手に渡ったウォレット)を監視し、入金された資金を即座に攻撃者の管理するアドレスへ送金する自動プログラムです。これにより、そのウォレットは被害者にとって恒久的に使用不能となります。

Read full definition →
アドレスポイズニング

被害者が最近使用したアドレスの最初と最後の文字を模倣した偽のアドレスを、被害者の取引履歴に紛れ込ませるウォレット標的型の詐欺手口です。被害者が将来の送金時に誤って偽アドレスをコピー&ペーストすることを狙います。

Read full definition →
Cold wallet vs hot wallet

コールドウォレットは秘密鍵をオフライン(ハードウェア機器や紙)で保管し、ホットウォレットはインターネットに接続されたソフトウェア内で保管します。コールドウォレットの方が、大半のウォレットからの資産流出やフィッシング攻撃に対して格段に安全です。

Read full definition →
マルチシグウォレット

送金トランザクションを承認するために、複数の秘密鍵による署名(例: 2-of-3 や 3-of-5)を必要とするウォレット。鍵が1つ漏洩しただけではウォレットの資金を引き出せないことを意味します。

Read full definition →
ミキサー(暗号資産)

多数の預入者から暗号資産を集約し、同等の金額を新しいアドレスへ払い出すことで、送金元ウォレットと送金先ウォレットの間のオンチェーン上のつながりを断ち切るサービスまたはスマートコントラクト。

Read full definition →