Nieuwe crypto-drainer doet zich voor als DexScreener en glipt nog langs beveiliging

Er is een nieuw nepdomein opgedoken dat leunt op de naam van DexScreener. Threat-intelplatform PhishDestroy markeerde earns-dexscreener.com op 10 mei als een actieve, vermoedelijke crypto-drainer. Volgens het rapport draait de site live onder de paginatitel “Dexscreener Votes”, is het domein pas op 9 mei geregistreerd en wordt het nog bijna nergens automatisch geblokkeerd.

Dat is precies waarom dit soort sites gevaarlijk zijn. PhishDestroy zegt dat 0 van de 95 VirusTotal-engines het domein op het moment van controle als kwaadaardig markeerden. Daarnaast stond het maar op één publieke blocklist en blokkeerden slechts 1 van de 14 gecontroleerde DNS-beveiligingsproviders de site. Het domein gebruikte volgens hetzelfde rapport ook een geldig SSL-certificaat van Google Trust Services en gaf een live 200-status terug.

De naamkeuze is geen toeval. Het echte platform draait op dexscreener.com en is voor veel traders een vaste ingang voor realtime koers- en handelsdata van decentrale exchanges. Een lookalike rond zo’n merknaam kan daardoor sneller vertrouwen wekken dan een willekeurig scamdomein.

DexScreener waarschuwt zelf in zijn FAQ bovendien dat tokens of presales die zich onterecht aan het merk koppelen waarschijnlijk scams zijn. Dat is niet exact hetzelfde als dit domein, maar het onderstreept wel dat misbruik van de merknaam een bekend risicopatroon is.

Hier past wel één belangrijke nuance. De waarschuwing rust voorlopig vooral op één concreet threat-intelrapport van PhishDestroy. Dat is genoeg om alert te zijn, maar nog niet hetzelfde als brede bevestiging door grote beveiligingsnetwerken. Juist daar zit de pijn: een vers domein kan in de eerste uren of dagen nog door veel filters heen glippen.

Dat maakt dit geen verhaal over massapaniek, maar over timing. Als een lookalike-site live staat, een bekend merk gebruikt, HTTPS heeft en nog amper wordt gedetecteerd, dan is dat precies het moment waarop de eerste slachtoffers vallen.

Wie op zo’n site is beland, moet vooral één fout niet maken: denken dat een wallet disconnect voldoende is. MetaMask zegt expliciet dat het verbreken van een walletverbinding niet hetzelfde is als het intrekken van token approvals. Een dapp kan na disconnect nog steeds toegang houden tot tokens als er eerder een allowance is gegeven.

Dat is precies waarom drainers zo effectief blijven. De aanval hoeft niet altijd te draaien om een seed phrase. Soms is een misleidende approval of handtekening al genoeg om een kwaadwillend contract ruimte te geven om tokens te verplaatsen.

MetaMask raadt gebruikers aan om allowances apart te controleren en te revoken, onder meer via MetaMask Portfolio. Het noemt daarnaast ook approval checkers van block explorers en externe tools als opties.

Wie earns-dexscreener.com heeft bezocht, moet eerst nagaan wat er precies is gebeurd. Alleen een pagina openen is iets anders dan een wallet koppelen. En een wallet koppelen is weer iets anders dan een approval of transactie ondertekenen. Die laatste stap is de gevaarlijke.

De praktische regel blijft hard en simpel. Voer nooit een seed phrase in op een onbekende site. Teken geen verzoek dat je niet volledig begrijpt. En gebruik voor DexScreener alleen het officiële domein dexscreener.com, niet varianten met lokwoorden als “earn”, “vote” of andere toevoegingen.