Mengenal Drainer-as-a-Service (DaaS)

Mengenal Drainer-as-a-Service (DaaS) – Lanskap kejahatan aset kripto global telah mengalami pergeseran paradigma yang sangat masif.

Era di mana peretasan dompet digital hanya dilakukan oleh individu amatir lewat halaman phising statis yang terisolasi kini telah usai.

Memasuki tahun 2026, ekosistem bawah tanah siber telah menjelma menjadi industri berbasis layanan yang terstruktur rapi melalui kemunculan platform Drainer-as-a-Service (DaaS).

Berdasarkan investigasi mendalam terhadap ratusan pos, ruang obrolan, dan kanal komunitas gelap, para peneliti keamanan siber berhasil membongkar operasi internal dari salah satu platform DaaS paling agresif saat ini yang bernama “Lucifer DaaS”.

Temuan ini menunjukkan bahwa tata kelola operasional kelompok kriminal siber kini sudah menyerupai perusahaan teknologi legal berbasis Software-as-a-Service (SaaS) lengkap dengan:

• Sistem bagi hasil.
• Otomatisasi produk.
• Pembaruan fitur berkala demi memaksimalisasi efisiensi pencurian aset Web3.

Apa Itu Crypto Drainer

Berbeda dengan malware konvensional yang berfokus pada pembobolan sistem enkripsi atau infiltrasi perangkat keras, sebuah crypto drainer bekerja dengan memanfaatkan manipulasi psikologis (social engineering).

Alat berbahaya ini dirancang khusus untuk menguras seluruh isi dompet digital korban dengan cara menyalahgunakan izin akses (wallet permissions) dan persetujuan transaksi (transaction approvals).

Alur kerja serangan ini umumnya berjalan dalam hitungan detik melalui skema berikut:

• Penyebaran Tautan Umpan: Korban digiring menuju situs web palsu yang menduplikasi platform Keuangan Terdesentralisasi (DeFi), bursa penukaran (exchanges), klaim hadiah gratis (airdrop), atau pencetakan aset NFT (NFT minting).
• Koneksi Dompet Eksternal: Korban diminta untuk menautkan dompet digital mereka (seperti MetaMask atau Trust Wallet) ke situs web palsu tersebut agar bisa mengklaim hadiah atau melakukan transaksi.
• Penyalahgunaan Fitur Otorisasi: Saat dompet terhubung, malware akan memicu jendela sembul (pop-up) permintaan tanda tangan digital. Penyerang memanfaatkan kompleksitas protokol otorisasi modern seperti Permit dan Permit2. Fitur ini sengaja disalahgunakan karena memungkinkan transfer token terjadi melalui persetujuan tanda tangan off-chain tanpa memerlukan transfer langsung yang mencolok, membuat transaksi terlihat seperti interaksi Web3 rutin yang aman.
• Pengurasan Aset Otonom: Sesaat setelah korban memberikan tanda tangan atau menyetujui izin akses tersebut, drainer secara otomatis akan memindahkan seluruh saldo token, aset kripto, dan NFT dari dompet korban menuju dompet yang dikendalikan peretas lintas beberapa rantai blok (multichain) secara instan.

Model Bisnis Layanan Komersial DaaS

Di dalam ekosistem Drainer-as-a-Service, terdapat pembagian kerja yang sangat rapi antara Operator Utama dan Afiliasi (Mitra Kerja).

Operator bertugas penuh untuk membangun, memelihara, dan memperbarui infrastruktur penguras dompet, logika transaksi, serta sistem bypass keamanan.

Di sisi lain, para afiliasi bertanggung jawab penuh untuk membawa trafik dan mencari korban melalui taktik:

• Penyebaran tautan phising.
• Iklan berbayar palsu.
• Pembajakan akun media sosial tokoh publik.
• Pengiriman pesan spam massal di Discord dan Telegram.

Model bisnis ini digerakkan melalui sistem komisi yang ketat. Berdasarkan rekam jejak dari kanal komunikasi Lucifer, pengembang menegaskan bahwa perangkat lunak mereka “tidak untuk dijual atau disewakan”.

Sebagai gantinya, mereka menerapkan sistem bagi hasil di mana operator akan memotong komisi sebesar 20% dari setiap hasil jarahan (hit) yang sukses dilakukan oleh jaringan afiliasi mereka.

Pola kerja sama komersial ini mengadopsi model kemitraan yang sukses digunakan dalam industri Ransomware-as-a-Service (RaaS).

Evolusi Otomatisasi Platform Lucifer

Analisis terhadap rekam jejak pengembangan Lucifer memperlihatkan bagaimana platform ini berevolusi secara publik untuk menarik perhatian para pelaku kejahatan siber profesional di berbagai forum bawah tanah:

Pembaruan Fitur Agresif.

Sejak merilis versi 6.6.6, operator Lucifer terus memperbarui kemampuan sistem mereka untuk mendukung pemintas keamanan dompet terbaru (wallet-security bypasses).

• Integrasi notifikasi real-time via Telegram.
• Optimasi tampilan peramban internal bawaan aplikasi.

Fitur Duplikasi Situs Otomatis (Website-Cloning).

Untuk mempermudah kerja afiliasi, pengembang meluncurkan fitur kloning situs web. Afiliasi cukup memilih platform DeFi atau NFT sah yang ingin mereka tiru.

Dan sistem Lucifer akan otomatis menghasilkan paket file ZIP siap pakai yang sudah tertanam kode malware terbaru.

Alur Kerja Tanpa Konfigurasi (Zero Config).

Guna memperluas skala serangan, platform ini memperkenalkan alur kerja Zero Config. Afiliasi tanpa keahlian pemrograman tingkat tinggi pun kini bisa langsung mengunggah file statis dan meluncurkan infrastruktur phishing siap tempur dengan intervensi manual yangsangat minimal.

Tingginya komisi dan kemudahan operasional ini membuat Lucifer bersaing ketat dengan merek-merek drainer besar lainnya di jaringan terlarang, seperti:

• Inferno.
• Angel.
• Venom.
• Nova.
• Ghost.
• Medusa.
• Vega.
• Monkey.

Resiliensi Infrastruktur Terhadap Pemblokiran

Sama seperti kelompok penjahat siber papan atas lainnya, operator DaaS memiliki ketahanan operasional yang sangat tinggi terhadap upaya pelumpuhan oleh aparat hukum atau firma keamanan.

Ketika bot Telegram utama milik Lucifer diblokir secara massal, mereka langsung menginstruksikan jaringan afiliasinya untuk membuat bot baru secara mandiri dan memberikan hak akses administrator untuk pemulihan instan.

Begitu pula ketika domain dokumentasi teknis mereka yang menumpang di Google Firebase ditangguhkan akibat laporan investigasi siber, kelompok ini langsung memindahkan seluruh basis data operasional mereka ke IPFS (InterPlanetary File System).

Pemanfaatan protokol berbagi file terdesentralisasi secara peer-to-peer ini membuat dokumentasi serangan mereka tetap aktif, kebal terhadap sensor, dan mustahil untuk diturunkan secara sepihak oleh otoritas pusat.

Cara Melindungi Dompet Kripto

Karena platform DaaS dirancang khusus untuk membaurkan permintaan berbahaya agar terlihat mirip dengan transaksi Web3 yang sah, pengguna harus ekstra hati-hati.

Berikut adalah tanda-tanda peringatan kritis yang harus diwaspadai sebelum memberikan izin akses dompet:

1. Situs Meminta Koneksi Dompet Instan.

Waspadai jika sebuah situs DeFi atau NFT langsung memaksa Anda menautkan dompet digital sesaat setelah halaman web terbuka, tanpa memberikan kejelasan informasi produk terlebih dahulu.

2. Desakan Berkedok Urgensi.

Adanya kalimat-kalimat yang memicu kepanikan atau rasa takut kehilangan kesempatan (FOMO), seperti “klaim sekarang sebelum hangus”, “verifikasi dompet darurat”, atau “pencetakan hadiah terbatas”.

3. Permintaan Izin Tanpa Batas (Unlimited Token Approval).

Berhati-hatilah jika jendela dompet Anda menampilkan permintaan persetujuan untuk mengizinkan platform mengakses token dalam jumlah tidak terbatas atau meminta persetujuan otorisasi Permit2.

4. Tautan dari Pesan Privat (DM).

Hindari mengklik tautan klaim hadiah yang dikirimkan secara langsung melalui pesan privat di Discord, Telegram, atau media sosial X, meskipun pengirimnya menggunakan foto profil atau nama yang mirip dengan admin proyek resmi.

Bahaya Komersialisasi Drainer

Komersialisasi crypto drainer menjadi bukti bahwa industri kejahatan siber terus mengeksploitasi kompleksitas teknologi Web3 untuk menjebak pengguna yang tidak memiliki pemahaman mendalam mengenai alur otorisasi tanda tangan digital.

Di pertengahan tahun 2026 ini, mengandalkan perlindungan bawaan dompet saja tidak lagi cukup. Membatasi penempatan aset utama pada dompet aktif (hot wallet), melatih kewaspadaan tingkat tinggi terhadap setiap permintaan tanda tangan off-chain.

Serta memperkuat keamanan perimeter menggunakan sistem proteksi proaktif adalah langkah mutlak untuk memastikan aset digital Anda tidak terkuras habis dalam hitungan detik.

Sumber berita:

WeLiveSecurity