Carteira drenada a partir de uma assinatura,
a recuperação depende de para onde os fundos foram em seguida.
Os ataques de drenagem de carteira diferem da fraude de plataformas de investimento porque não há plataforma da qual recuperar os recursos: o atacante roubou a aprovação para mover fundos diretamente para fora da carteira da vítima, muitas vezes por meio de uma única assinatura maliciosa em uma página de minting falsa, em uma reivindicação de airdrop fraudulenta ou na personificação de um dApp legítimo. A recuperação é possível quando os fundos drenados chegam a uma exchange regulada ou a um cluster de carteiras conhecido; é menos provável quando seguem diretamente para infraestrutura de mixers.
The victim visits a site that appears to be a legitimate project: an airdrop claim page, an NFT minting site, a DeFi interface. The site asks the victim to connect their wallet and sign a transaction. The signature looks routine. In fact it grants the attacker's contract approval to transfer specific token balances out of the wallet at any time the attacker chooses.
Immediately or hours later, the attacker calls the contract and drains the approved tokens to a wallet they control. The victim's first warning is often the wallet balance dropping to zero in a single transaction, with no further interaction required.
The drained funds are usually moved through one or more bridging or swap protocols within minutes, both to obscure the trail and to convert to an asset (often ETH or stablecoins) easier to launder. From there the funds may go to a privacy mixer, a non-cooperative exchange, or — sometimes — to a regulated exchange where recovery becomes realistic.
Abrange todo o espectro, de usuários experientes de DeFi a pessoas fazendo seu primeiro minting de NFT. A drenagem de carteiras costuma atingir quem se considera conhecedor de cripto: o ataque se apoia na premissa de que "eu nunca cairia nisso", o que reduz a etapa de verificação justamente no site falso específico que consegue passar. Os valores das perdas variam enormemente, de algumas centenas de dólares em tokens de teste a posições de DeFi de sete dígitos.
Signals victims and bystanders should know.
- 01
Wallet-connect request from a domain you didn't reach via the project's official channel
Spoofed minting and airdrop sites are typically promoted through compromised Discord channels, fake Twitter accounts, or paid Google ads. Always reach the dApp through the project's verified official link.
- 02
Urgency framing — "claim within 24 hours" or "limited supply"
Engineered to prevent you from verifying the URL. Legitimate projects have multi-day claim windows and don't pressure participants.
- 03
Signature request asks for a token approval, not a specific transaction
A token "approve" or "setApprovalForAll" signature gives the contract ongoing permission to move your tokens. This is normal for legitimate DEX use, but malicious contracts also use it. Always inspect what the signature is approving and to which contract.
- 04
Asks for your seed phrase or private key
No legitimate service ever needs your 12 or 24-word recovery phrase. Any prompt for these is an immediate drain attempt regardless of how legitimate the surrounding page looks.
The first 24 hours matter most.
- 01
Move remaining funds to a new wallet immediately
If your wallet was drained, the approval may still allow continued draining of other tokens you still hold. Generate a new wallet (with a fresh seed phrase) and move everything not yet drained.
- 02
Revoke pending approvals on the old wallet
Use Revoke.cash or similar to revoke any outstanding token approvals on the compromised wallet. Even if you're moving funds out, leaving the approval active risks future draining of any tokens that arrive back at that address.
- 03
Document the transaction hashes
The malicious approval transaction and the subsequent drain transaction are on-chain forever. Note the hashes; they are the evidence basis for any recovery action.
- 04
Notify the relevant exchanges and chains
If the drained funds landed at a known regulated exchange, contact their compliance team immediately. Some exchanges can freeze the receiving wallet within hours if action is initiated quickly.
- 05
Open a CryptoLeek case review
We trace the drain and tell you within 24 hours whether the destination is recoverable. Wallet drains have a particular pattern that benefits from fast professional escalation.
189 platforms in our public registry match this pattern.
EtherWallet
ether-wallet.net é um site comprovadamente fraudulento listado na blacklist do CryptoScamDB, operando como uma imitação de uma marca conhecida de carteira Ethereum para roubar credenciais ou drenar fundos.
EthereumWallet
ethereum-wallet.info é um domínio incluído em lista negra e sinalizado pelo CryptoScamDB que imita a infraestrutura legítima de carteiras Ethereum, provavelmente para coletar chaves privadas, frases-semente ou esvaziar carteiras conectadas.
account-kigo.net
account-kigo.net é um domínio incluído em lista negra pelo CryptoScamDB como operação fraudulenta confirmada, condizente com esquemas de falsificação de contas ou coleta de credenciais voltados a detentores de criptomoedas.
aragonproject.io
aragonproject.io está na lista negra do CryptoScamDB como operação fraudulenta confirmada; seu domínio imita de perto o nome de um conhecido protocolo de governança blockchain, sinalizando um padrão de falsificação de marca.
bitcoin-wallet.net
bitcoin-wallet.net é um domínio comprovadamente fraudulento, incluído na lista negra do CryptoScamDB; apresenta-se como um serviço legítimo de wallet de Bitcoin enquanto opera como um esquema de coleta de credenciais ou roubo de depósitos.
blocklichan.info
blocklichan.info é uma plataforma de criptomoedas comprovadamente fraudulenta, incluída na lista negra do CryptoScamDB, condizente com operações que captam depósitos e depois obstruem ou negam saques.
bloclkicihan.info
bloclkicihan.info é um domínio comprovadamente fraudulento, listado na blacklist do CryptoScamDB, que exibe um padrão de nomenclatura por transposição de caracteres comum a infraestruturas descartáveis de fraude com criptomoedas.
coin-wallet.info
coin-wallet.info é uma plataforma de carteira de criptomoedas comprovadamente fraudulenta listada na blacklist do CryptoScamDB, condizente com operações de coleta de credenciais ou de carteiras de falsa custódia que visam detentores de cripto do varejo.
coindash.ru
coindash.ru é um domínio fraudulento confirmado e listado na blacklist do CryptoScamDB, que usa substituição de TLD para se passar por uma plataforma de criptomoedas reconhecida e coletar credenciais ou fundos de usuários.
contribute-status.im
contribute-status.im é um domínio incluído em listas de bloqueio que se faz passar pelo ecossistema da Status Network, condizente com falsos portais de contribuição ou staking criados para capturar credenciais de wallets ou desviar fundos.
district-0x.io
district-0x.io é um site comprovadamente fraudulento listado na blacklist do CryptoScamDB, que usa um domínio parecido para se passar por uma marca consolidada de plataforma descentralizada e enganar usuários de criptomoedas.
district0x.net
district0x.net é um domínio confirmadamente incluído em lista de bloqueio que imita a marca de um conhecido projeto de marketplace descentralizado baseado em Ethereum; o CryptoScamDB o classifica como operação fraudulenta voltada a usuários de cripto que procuram o serviço legíti
eos-bonus.com
eos-bonus.com é uma plataforma comprovadamente fraudulenta incluída na lista negra do CryptoScamDB, que opera um esquema temático de bônus ou recompensas voltado a usuários de criptomoedas sob a marca EOS.
eos-io.info
eos-io.info é um domínio comprovadamente fraudulento, sinalizado pelo CryptoScamDB, estruturado para se passar pela identidade de marca do blockchain EOS e enganar usuários que buscam serviços legítimos relacionados ao EOS.
ether-api.com
O ether-api.com consta na lista negra do CryptoScamDB como operação fraudulenta confirmada que se apresenta como serviço de API ligado ao Ethereum, sem indícios de infraestrutura legítima ou respaldo regulatório.
ether-wall.com
ether-wall.com é um site comprovadamente fraudulento, incluído na lista negra do CryptoScamDB, que se apresenta como serviço de wallet Ethereum enquanto opera como operação de roubo de credenciais ou de ativos contra detentores de criptomoedas.
etherclassicwallet.com
etherclassicwallet.com é um site comprovadamente fraudulento incluído na lista negra do CryptoScamDB, operando como uma interface falsa de wallet de Ethereum Classic projetada para capturar chaves privadas ou seed phrases dos usuários.
ethereum-wallet.net
ethereum-wallet.net é um domínio incluído em lista negra e confirmado pelo CryptoScamDB que se passa por uma infraestrutura legítima de wallet Ethereum para coletar credenciais ou interceptar fundos de usuários de criptomoedas.
ethereumchamber.com
A ethereumchamber.com consta na lista negra do CryptoScamDB como uma operação fraudulenta confirmada que explora a marca Ethereum para solicitar depósitos de criptomoedas de usuários desavisados.
ethereumchamber.net
O ethereumchamber.net consta na lista negra do CryptoScamDB como operação fraudulenta confirmada, apresentando-se como uma plataforma afiliada à Ethereum para atrair depositantes de criptomoedas.
ethereumchest.com
O ethereumchest.com está listado na blacklist do CryptoScamDB como uma operação fraudulenta confirmada; parece ter sido criado para explorar a marca Ethereum e atrair detentores de criptomoedas com o objetivo de extrair recursos.
ethereumchest.net
O ethereumchest.net é uma operação fraudulenta confirmada, listada na blacklist do CryptoScamDB, que se apresenta como um serviço de ativos ligado ao Ethereum enquanto funciona como veículo para o roubo de fundos dos usuários.
etherswap.org
etherswap.org é uma plataforma comprovadamente fraudulenta, listada na blacklist comunitária do CryptoScamDB, que se apresenta como um serviço de troca de tokens baseado em Ethereum enquanto opera como um mecanismo de roubo voltado a detentores de criptomoedas.
etherwallet.co.za
etherwallet.co.za é um domínio comprovadamente fraudulento incluído na lista negra do CryptoScamDB, estruturado para se passar por uma interface de wallet Ethereum conhecida e coletar credenciais ou chaves privadas dos usuários.
Questions victims of this pattern ask us most.
Can I get drained crypto back? +
I revoked the approval but my tokens are already gone. What now? +
How fast do I need to act after a wallet drain? +
Lost crypto to this pattern?
We can help you recover it.
We trace the funds on-chain, identify the recovery choke points, and coordinate action with exchanges, payment processors, and counsel across 40+ jurisdictions. Free assessment within 24 hours, with an honest yes/no on whether the funds are realistically recoverable.
The vocabulary this pattern uses.
Definitions of the terms that come up across this guide. Each links to the full glossary.
Um ataque no qual um operador obtém o direito de mover tokens para fora da wallet de uma vítima, geralmente por meio de uma aprovação de token maliciosa ou de uma chave privada roubada, e transfere o saldo da wallet para um endereço sob seu controle.
Um ataque de wallet em que a vítima assina uma transação `setApprovalForAll` ou um `approve` ilimitado em um dApp falsificado, concedendo ao contrato do atacante permissão para mover tokens específicos para fora da wallet a qualquer momento futuro.
Um modelo de assinatura em que uma equipe de desenvolvimento cria e mantém um contrato inteligente de drenagem de wallet e um painel administrativo, e então o aluga para afiliados que operam os sites de phishing de front-end e dividem os lucros com os desenvolvedores.
Uma variante de phishing que explora o padrão de assinatura `Permit2` da Uniswap, na qual a vítima assina uma mensagem off-chain que o atacante depois submete on-chain para drenar tokens aprovados, sem gas nem rastro on-chain até que o roubo de fato aconteça.
Um programa automatizado que monitora uma wallet comprometida (aquela cuja chave privada o operador agora conhece) e envia instantaneamente quaisquer fundos recebidos para um endereço controlado pelo atacante, tornando a wallet permanentemente inutilizável para a vítima.
Um golpe direcionado a carteiras que insere no histórico de transações da vítima um endereço falso, que imita os primeiros e os últimos caracteres de um endereço usado recentemente por ela, na expectativa de que ela copie e cole o endereço errado em um envio futuro.
Uma cold wallet armazena a chave privada offline (dispositivo de hardware ou papel); uma hot wallet a armazena em software conectado à internet. A cold wallet é materialmente mais segura contra a maioria dos ataques de drenagem de wallet e de phishing.
Uma carteira que exige assinaturas de várias chaves privadas (por exemplo, 2 de 3 ou 3 de 5) para autorizar qualquer transação de saída, o que significa que uma única chave comprometida não consegue esvaziar a carteira.
Serviço ou contrato inteligente que agrupa criptomoedas de muitos depositantes e paga quantias equivalentes para endereços novos, rompendo o vínculo on-chain entre as wallets de origem e de destino.