Di Dalam Crypto Drainer: Cara Menemukannya Sebelum Mengosongkan Dompet Anda

Dalam beberapa tahun terakhir, operasi pencurian mata uang kripto telah berkembang jauh melampaui halaman phishing terisolasi dan penipuan pencetakan NFT palsu. Apa yang dulunya hanya terdiri dari aktor individu yang menjalankan halaman koneksi dompet berbahaya kini semakin berkembang menjadi ekonomi layanan bawah tanah terstruktur yang dibangun di sekitar platform “Drainer-as-a-Service” (DaaS).

Tidak seperti operasi malware tradisional, penguras kripto biasanya mengandalkan rekayasa sosial dibandingkan kompromi perangkat. Korban dibujuk ke situs web kripto, NFT, airdrop, atau DeFi palsu dan diminta untuk menghubungkan dompet mereka. Setelah transaksi berbahaya atau tanda tangan dompet disetujui, drainer dapat mentransfer aset mata uang kripto langsung dari dompet korban, seringkali dalam hitungan detik.

Analisis yang dilakukan oleh Suar peneliti dari sekitar 700 postingan yang dikumpulkan dari forum bawah tanah, obrolan, dan saluran yang terkait dengan “Lucifer DaaS” antara Januari 2025 dan awal 2026 memberikan gambaran langka tentang bagaimana operasi drainer modern berfungsi secara internal.

Temuan ini mengungkapkan ekosistem yang semakin profesional yang berfokus pada pertumbuhan afiliasi, otomatisasi, skalabilitas phishing, bypass keamanan dompet, dan ketahanan operasional.

Data yang dianalisis menunjukkan bahwa fungsi operasi drainer modern semakin mirip dengan bisnis SaaS yang sah. Pelaku di balik Lucifer membahas rilis perangkat lunak, perbaikan bug, komisi afiliasi, dukungan pelanggan, rekomendasi hosting, otomatisasi penerapan, kloning situs web, dan sistem rujukan, yang menawarkan penjelasan mendalam tentang bagaimana ekosistem DaaS berkembang di dalam komunitas bawah tanah.

Apa itu Drainer dan Bagaimana Cara Kerjanya

Crypto drainer adalah alat yang dirancang untuk mencuri aset mata uang kripto langsung dari dompet korban dengan menyalahgunakan izin dompet dan persetujuan transaksi. Alih-alih meretas dompet itu sendiri, penyerang biasanya memikat korban ke situs web kripto, NFT, airdrop, DeFi, atau klaim token palsu dan mengelabui mereka agar menghubungkan dompet mereka dan menyetujui permintaan atau tanda tangan jahat.

Setelah izin diberikan, drainer dapat secara otomatis mentransfer token, NFT, atau aset digital lainnya dari dompet korban ke dompet yang dikendalikan penyerang, seringkali dalam hitungan detik dan melintasi beberapa blockchain.

Tiriskan sebagai Layanan

Dalam model ini, operator mengembangkan dan memelihara infrastruktur pengurasan, sementara afiliasi membawa korban. Tugas afiliasi adalah menghasilkan lalu lintas tautan phishingsitus web palsu, akun media sosial yang disusupi, iklan, spam, atau pesan langsung. Operator DaaS menangani interaksi dompet, logika transaksi, peringatan, dan aliran pengurasan aset.

Dataset Lucifer menunjukkan model ini dengan jelas. Dalam salah satu postingan promosi, aktor tersebut menjelaskan bahwa afiliasi menyediakan “lalu lintas melalui tautan phishing, situs web palsu, dan metode serupa,” sementara layanan tersebut mengelola “tanda tangan, persetujuan, dan transfer token.” Postingan yang sama menggambarkan layanan ini berbasis komisi dan menghadirkan Lucifer Drainer sebagai “solusi profesional” dengan dukungan ERC20, Izin2, tanda tangan off-chain, bypass keamanan dompet, dukungan multichain, dan pembaruan produk berkelanjutan.

Bahasa itu penting. Operator tidak menjual perangkat malware satu kali saja. Mereka menjual partisipasi dalam sebuah platform.

Milik mereka Telegram saluran memperkuat titik yang sama. Lucifer berulang kali menyatakan bahwa perangkat lunak tersebut “tidak untuk dijual”, dan bahwa operator mengambil komisi 20% dari “hasil” yang berhasil. Pada bulan Mei 2025, saluran tersebut menulis bahwa mereka tidak menjual atau menyewakan perangkat lunak dan hanya membagi “20% per hit.”

Ini lebih dekat ke ransomware model afiliasi daripada jadul kit phishing. Sementara pengembang mempertahankan produknya, afiliasi mendatangkan lalu lintas untuk memonetisasi operasi dan keuntungan dibagikan.

Lucifer sebagai Studi Kasus

Saluran Lucifer menunjukkan operasi drainer yang berkembang secara publik menjadi platform DaaS terstruktur.

Pada bulan Maret 2025, grup ini mengumumkan versi 6.6.6, mengiklankan dukungan ERC20, penyalahgunaan Izin2, tanda tangan off-chain, notifikasi Telegram, bypass keamanan dompet, dan fungsionalitas multichain. Pengumuman yang sama sekali lagi menekankan bahwa perangkat lunak tersebut tidak untuk dijual dan bahwa operator mengambil komisi 20% dari “hit” yang berhasil.

Sejak saat itu, saluran tersebut semakin menyerupai umpan pengembangan perangkat lunak dibandingkan operasi malware pada umumnya. Operator mengumumkan perbaikan bug, pembaruan kompatibilitas dompet, dukungan browser Telegram, peningkatan penerapan, dan fitur hosting.

Salah satu tambahan yang paling menonjol adalah fitur kloning situs web yang memungkinkan afiliasi mengkloning halaman phishing dan menerima file ZIP yang dimuat sebelumnya dengan kode Lucifer terbaru.

Seiring berjalannya waktu, operasi tersebut beralih ke otomatisasi. Pembaruan selanjutnya memperkenalkan alur kerja penerapan “Zero Config”, yang memungkinkan afiliasi mengunggah file statis, secara otomatis membuat paket siap phishing, dan menerapkan infrastruktur dengan sedikit pekerjaan manual. Hal ini secara signifikan menurunkan hambatan teknis bagi afiliasi.

Kumpulan data yang lebih luas juga menunjukkan Lucifer secara aktif merekrut komunitas underground di mana merek drainer lainnya seperti Inferno, Angel, Venom, Nova, Ghost, Medusa, Vega, dan Monkey juga dibahas. Tema yang berulang di seluruh postingan adalah “lalu lintas”. Operator berulang kali menekankan bahwa afiliasi membutuhkan korban dan kemampuan distribusi phishing lebih dari keterampilan teknis tingkat lanjut.

Namun, kelompok tersebut juga memperingatkan bahwa pemula tidak diterima, dan menyarankan agar operator memprioritaskan afiliasi berpengalaman yang mampu menghasilkan lalu lintas phishing yang andal dengan biaya operasional terbatas.

Ketahanan Setelah Penghapusan

Seperti layanan bawah tanah lainnya, Lucifer juga menunjukkan tanda-tanda ketahanan operasional.

Pada bulan Agustus 2025, bot Telegram mereka dilarang, sehingga mereka menginstruksikan pengguna di saluran mereka untuk membuat bot baru dan memberi mereka hak istimewa admin. Grup tersebut juga memberikan instruksi untuk menyelesaikan masalah konfigurasi setelah migrasi.

Pada November 2025, Lucifer mengatakan domain dokumentasi yang dihosting di Google Firebase telah ditangguhkan setelah adanya laporan penelitian. Kelompok ini menanggapinya dengan memindahkan dokumentasi ke InterPlanetary File System (IPFS adalah protokol berbagi file peer-to-peer terdesentralisasi yang digunakan untuk menyimpan dan mendistribusikan data), menghadirkan desentralisasi sebagai cara untuk menjaga operasi tetap berjalan setelah penghapusan.

Hal ini mencerminkan perilaku yang terlihat di ekosistem saluran pembuangan yang lebih luas. Penelitian Check Point di “Inferno Drainer” menjelaskan bagaimana operasi terus beradaptasi meskipun ada peringatan dompet, daftar hitam, dan pertahanan anti-phishing.

Mengapa Drainer Menjadi Sangat Menarik bagi Penjahat Dunia Maya

Drainer menjadi populer karena cocok dengan struktur kejahatan kripto modern.

Aset kripto bersifat likuid, bergerak cepat, dan seringkali tidak dapat diubah setelah ditransfer. Penyerang tidak perlu menyusupi portal bank atau menunggu akun mule. Persetujuan dompet yang berhasil dapat segera “menguras” aset.

Mereka juga mendapat manfaat dari kebingungan pengguna. Permintaan dompet, persetujuan, tanda tangan, izin, dan tunjangan token masih sulit dipahami oleh banyak pengguna. Penyerang mengeksploitasi kompleksitas tersebut dengan membuat perintah berbahaya tampak seperti interaksi rutin Web3.

Penyalahgunaan mekanisme otorisasi Izin dan Izin2 menjadi sangat menarik karena mekanisme ini memungkinkan transfer token melalui izin yang ditandatangani daripada transfer langsung yang jelas. Hal ini membuat interaksi pengguna tidak terlalu mengkhawatirkan, namun tetap memberikan jalan bagi penyerang untuk mendapatkan aset.

Melampaui Lucifer

Temuan ini menunjukkan bahwa Lucifer adalah bagian dari ekosistem bawah tanah yang lebih luas yang mencakup operasi dan layanan menguras dompet lainnya yang bersaing untuk mendapatkan afiliasi, lalu lintas, dan visibilitas di seluruh komunitas bawah tanah.

Kumpulan data Lucifer yang dianalisis memberikan pandangan publik yang langka tentang bagaimana operasi DaaS modern berfungsi di balik layar. Postingan yang dikumpulkan mengungkapkan ekosistem yang berfokus pada pengembangan berkelanjutan, retensi afiliasi, ketahanan infrastruktur, otomatisasi, dan skalabilitas operasional.

Temuan ini juga menyoroti bagaimana operasi crypto-drainer modern semakin menyerupai bisnis SaaS yang sah. Daripada menjual perangkat phishing statis, operator DaaS kini mempertahankan platform aktif yang dirancang untuk menyederhanakan penerapan, mengurangi hambatan teknis, dan memaksimalkan efisiensi afiliasi.

Fitur-fitur seperti kloning situs web, penerapan ZIP otomatis, alur kerja “Zero Config”, komisi afiliasi, dan saluran dukungan menunjukkan bagaimana kematangan operasional telah menjadi keunggulan kompetitif dalam ekosistem.

Pengurang kripto tidak lagi merupakan halaman phishing terisolasi yang dioperasikan oleh masing-masing pelaku, namun merupakan platform layanan yang semakin terstruktur yang dibangun berdasarkan skalabilitas dan pengulangan. Ketika ekosistem ini terus menurunkan hambatan teknis bagi afiliasi, operasi pencurian dompet mungkin menjadi lebih mudah diakses, lebih otomatis, dan lebih sulit untuk diganggu dalam skala besar.

Cara Menemukan Penguras Kripto Sebelum Mengosongkan Dompet Anda

Platform DaaS dirancang untuk membuat interaksi dompet berbahaya terlihat rutin. Mengetahui apa yang harus dicari adalah garis pertahanan pertama. Perhatikan tanda-tanda peringatan berikut sebelum menghubungkan dompet Anda ke situs kripto mana pun:

• Koneksi dompet segera diminta di situs crypto/NFT/airdrop.

• Tanda tangan tak terduga atau permintaan “Setujui” sebelum menerima apa pun.

• Permintaan persetujuan token tanpa batas atau izin Izin/Izin2.

• Perintah “Klaim tanpa gas” atau “tanda tangan off-chain” yang masih memerlukan persetujuan dompet.

• Urgensi palsu: “klaim sekarang”, “verifikasi dompet”, “pencetakan terbatas”, “hadiah yang habis masa berlakunya”.

• Tautan diterima melalui Telegram, Discord, DM X/Twitter, atau akun dukungan palsu.

• Domain kripto yang baru dibuat atau tampak mencurigakan.

• Situs web dikloning dari DeFi, NFT, atau platform pertukaran yang sah.

• Beberapa pengalihan sebelum mencapai permintaan dompet.

• Peringatan dompet diabaikan atau dilewati.

• Menggunakan dompet utama dengan kepemilikan besar untuk situs Web3 yang tidak dikenal.

• Perintah berulang untuk menghubungkan kembali atau menandatangani ulang transaksi.

• Influencer atau akun proyek tiba-tiba mendorong tautan pembuatan/klaim yang tidak terduga.

• Tab browser membuka jendela persetujuan dompet baru secara otomatis.

• Detail transaksi yang tidak jelas, kosong, atau sulit dipahami.

• Kampanye “NFT gratis” atau “token gratis” memerlukan persetujuan terlebih dahulu.

• Admin Discord atau Telegram mengirim pesan pribadi kepada pengguna terlebih dahulu.

• Situs web yang meminta pengguna untuk menonaktifkan perlindungan keamanan dompet.

• Dompet langsung terkuras setelah menandatangani pesan alih-alih mengirim dana secara manual.

• Platform apa pun yang menekan pengguna untuk bertindak cepat sebelum memverifikasi keabsahannya.

Bagaimana Flare Dapat Membantu

Flare memberikan visibilitas awal terhadap operasi penipuan sebelum mencapai korban. Dengan memantau forum bawah tanah, saluran Telegram, dan pasar, Flare mendeteksi kebocoran data, daftar korban, dan aktivitas rekrutmen yang terkait dengan kampanye Caller-as-a-Service.

Hal ini memungkinkan organisasi untuk merespons secara proaktif (menyetel ulang kredensial, memperingatkan pengguna, dan memperkuat pertahanan) sebelum penyerang menyerang, sehingga mengurangi risiko dan dampak.

Pelajari lebih lanjut dengan mendaftar uji coba gratis kami.

Disponsori dan ditulis oleh Suar.