Cryptocurrency-diefstal is de afgelopen jaren sterk veranderd. Waar aanvallen vroeger vooral bestonden uit phishingpagina's en nep-NFT-munten, zien onderzoekers nu een professionele ondergrondse economie ontstaan rondom zogenaamde "Drainer-as-a-Service" (DaaS) platforms. In plaats van traditionele malware maken deze crypto drainers vooral gebruik van social engineering om slachtoffers te verleiden hun wallets te verbinden aan frauduleuze websites. Zodra een slachtoffer een kwaadaardige transactie of handtekening goedkeurt, kan de drainer binnen enkele seconden digitale assets overboeken naar de aanvallers.

Onderzoekers van Flare analyseerden ongeveer 700 berichten uit underground forums, chats en kanalen over het "Lucifer DaaS" platform tussen januari 2025 en begin 2026. Deze analyse geeft inzicht in de interne werking van moderne drainer-operaties, die steeds meer lijken op legitieme SaaS-bedrijven. De exploitanten bespreken software-updates, bugfixes, commissies voor affiliates, klantenservice, hosting, automatisering en referral-systemen. Dit toont een professionele en schaalbare aanpak gericht op groei, automatisering en het omzeilen van wallet-beveiligingen.

Een crypto drainer is een tool die digitale assets steelt door misbruik te maken van wallet-permissies en transactiegoedkeuringen. In plaats van wallets te hacken, lokken aanvallers slachtoffers naar nepwebsites voor crypto, NFT's, airdrops of DeFi, waar zij hun wallet verbinden en kwaadaardige handtekeningen goedkeuren. Met deze toestemming kunnen tokens, NFT's en andere digitale bezittingen automatisch en vaak multichain worden overgeheveld naar de aanvallers.

Het DaaS-model werkt met een scheiding tussen exploitanten en affiliates. De exploitanten beheren de technische infrastructuur en transactielogica, terwijl affiliates verantwoordelijk zijn voor het genereren van verkeer via phishing links, nepwebsites, gehackte socialmediaprofielen, advertenties, spam of directe berichten. De exploitanten ontvangen een commissie van ongeveer 20% per succesvolle aanval, terwijl affiliates het overige deel krijgen. Dit model lijkt sterk op de aanpak van ransomware-affiliates en wijkt af van traditionele phishing kits.