تحليل ثلاث عمليات «تصريف البيانات كخدمة» على مستوى الكود البرمجي. مجموعات أدوات التصيد الاحتيالي التي تم إنشاؤها بواسطة الذكاء الاصطناعي، والتي لا تزال تحتوي على عبارات تصحيح الأخطاء، قيد الإنتاج. نموذج شراكة ترويجية بعمولة تبلغ 80٪، يُغذي التوسع السريع. وشبكة واحدة مُحفَظة تثبت أن التخريب المنسق يؤتي ثماره. هذه هي البنية التحتية الكامنة وراء المحفظة الإلكترونية التالية التي كدت تتصل بها.
~10 دقائق للقراءة· تم التحديث مارس 2026· معلومات «PhishDestroy»
3 شبكات تصريف عاملة أكثر من 15 نطاقًا للتصيد الاحتيالي 80% عمولة الشراكة 1 شبكة مؤرشفة
0
نطاقات التصيد الاحتيالي
0
عمليات التصريف
0
الأعضاء الذين تم تتبعهم
0
المحافظ التي تم تحديدها
0
إعادة المحاولة القسرية لإرسال الإشارات
0
% عمولة الشراكة
سلسلة الهجوم المكونة من 9 خطوات: من التوزيع الجوي المزيف إلى المحفظة الفارغة
يتبع كل هجوم لسرقة العملات المشفرة تسلسلاً يمكن التنبؤ به. وما يجعل عمليات «السرقة كخدمة» خطيرة ليس الابتكار، بل الحجم. فسلسلة الهجوم نفسها تتكرر عبر عشرات النطاقات، ويشكل كل منها فخاً جديداً للضحايا غير المرتابين. وفيما يلي التسلسل الدقيق المستخرج من الكود المصدري لـ TRXDrop، خطوة بخطوة.
مسار هجوم «دراينر» الكامل
تم إعادة بناء هذه السلسلة المكونة من 9 خطوات استنادًا إلى كود مصدر TRXDrop الذي تم فك ترميزه. وقد تم توثيق كل خطوة مع الإشارات المرجعية للكود المقابل في مستودع ScamIntelLogs.
سلسلة هجوم التصيد الاحتيالي في عالم العملات المشفرة المكونة من 9 خطوات — بدءًا من إعلان مزيف عن توزيع مجاني للعملات المشفرة، مرورًا باستنزاف رصيد المحفظة، وصولاً إلى غسل الأموال.
1
إعلان مزيف عن توزيع هدايا مجانية يرى الضحية منشورًا ترويجيًا أو رسالة على Telegram تعلن عن توزيع مجاني لـ TRX/SOL. أمثلة على النطاقات: trx-drop.com، tronrefund.com، trxairdrop.io.
2
الصفحة المقصودة صفحة ذات مظهر احترافي تحاكي عملية توزيع مجاني (أيردروب) حقيقية من مؤسسة TRON. وتُخلق أجهزة العد التنازلي وعدادات المطالبات المزيفة إحساسًا بالاستعجال.
3
مطالبة WalletConnect الموقع يبدأ عملية WalletConnect باستخدام معرّف مشروع مسروق fbf5b42d9006502246e73447f5d50e33. يقوم الضحية بربط محفظته اعتقادًا منه أن ذلك ضروري
للحصول على التعويض.
4
طلب إذن يطلب برنامج «Drainer» أذونات عامة للرموز الرقمية. وقد صيغت
مطالبة التوقيع بشكل غامض عن قصد لإخفاء ما يتم
الموافقة عليه.
5
الموافقة على الرمز الرمزي توقع الضحية على
approve()
معاملة تمنح صاحب عقد «drainer» سلطة إنفاق غير محدودة
على توكنات محددة.
6
تعيين الموافقة للجميع تستدعي معاملة ثانية
setApprovalForAll()، مما يمنح المهاجم السيطرة على الرموز غير القابلة للاستبدال (NFT) وجميع أنواع الرموز
الموجودة في المحفظة.
7
رموز التحويل اتصل فورًا بشركة «دراينر»
transferFrom()
لنقل جميع التوكنات المعتمدة إلى محفظة
مجموعة المهاجم.
8
محفظة «دراين» يتم تحويل الرموز المميزة الخاصة بالسلسلة الأصلية (TRX، SOL) في النهاية. ويتم
إفراغ المحفظة تمامًا. وإذا رفضت الضحية، فإن
المستنزف يعيد المحاولة حتى 50 مرة قبل
السماح بالهروب.
9
الأموال المودعة لدى المشغل يتم تحويل الأموال المسروقة إلى محفظة المشغل. وتفرض TRXDrop
عمولة قدرها 30 TRX عن كل عملية سحب. أما المبلغ المتبقي فيذهب إلى
الشريك التابع الذي أنشأ صفحة التصيد الاحتيالي.
50 محاولة إعادة قسرية
إذا نقر الضحية على زر «رفض» في نافذة طلب التوقيع، فإن كود TRXDrop
يعيد تشغيل الطلب على الفور. وتتكرر هذه الحلقة
50 مرة قبل أن يُسمح للضحية بإغلاق
النافذة المنبثقة. يستسلم معظم المستخدمين ويقومون بالتسجيل بعد 3-5 محاولات،
اعتقادًا منهم أن الموقع يعاني من خلل فني وليس أنه خبيث. وهذا ليس
خطأً برمجيًّا. بل هو أمر مقصود.
تحليل متعمق لـ TRXDrop: كود مُنشأ بواسطة الذكاء الاصطناعي
يحتوي على أكثر من 30 عبارة تصحيح أخطاء في بيئة الإنتاج
تم الكشف عن API TRXDrop دون مصادقة — يمكن لأي شخص لديه عنوان URL
قراءة سجلات المحفظة وبيانات الدفع ومعرّفات المشغلين.
TRXDrop هو موزع لبرنامج «Angel Drainer» يستهدف محافظ TRON وSolana
. وما يميز هذه العملية ليس مدى تعقيدها — بل
العكس تمامًا. يكشف كود المصدر عن علامات لا لبس فيها
تشير إلى تطوير بمساعدة الذكاء الاصطناعي: بنية متكررة، وتعليقات مطولة،
والأكثر دلالة من ذلك، أكثر من 30 console.log عبارات التصحيح التي تُركت في كود الإنتاج.
هذه ليست علامات تشير إلى مطور متمرس. إنها علامات تشير إلى شخص طلب من نموذج لغوي كبير (LLM) كتابة برنامج مستنزف للموارد، ثم قام بنشر الناتج دون مراجعته.
علامات الكود المُولَّد بواسطة الذكاء الاصطناعي
تحتوي قاعدة كود TRXDrop على أكثر من 30 console.log عبارات التصحيح في إصدار الإنتاج. رسائل مثل console.log("Attempting wallet connection...") و console.log("Approval transaction sent") تظهر في جميع الأنحاء. لا يوجد مطور محترف — ولا مجرم متمرس — يقوم بنقل سجلات التصحيح إلى بيئة الإنتاج. هذا ناتج خام من نموذج اللغة الكبير (LLM)، تم نشره كما هو.
مفتاح تشفير XOR
يتم تشفير جميع الاتصالات بين الواجهة الأمامية لـ «drainer» ولوحة التحكم الخلفية باستخدام مفتاح XOR مبرمج بشكل ثابت: TRX_SECURE_2024_PANEL_KEY. عملية XOR باستخدام مفتاح ثابت قابلة للعكس بسهولة — وهو مؤشر آخر على اتباع أسلوب «النسخ واللصق» في التطوير.
لوحة إدارة برنامج «Crypto Drainer» الإصدار 1.2 تُظهر 1,337 ضحية، و12,450 دولارًا مسروقة، والمحافظ المتصلة، وسجل عمليات السرقة في الوقت الفعلي - تم الكشف عنها
إساءة استخدام WalletConnect
معرّف مشروع WalletConnect fbf5b42d9006502246e73447f5d50e33 وهو مدمج في جميع المجالات التي يزيد عددها عن 15 مجالًا. ومن شأن أي عملية إلغاء واحدة لمعرف هذا المشروع أن تؤدي إلى تعطيل اتصال المحافظ عبر شبكة TRXDrop بأكملها في آن واحد.
50 محاولة إعادة قسرية
تقوم حلقة المطالبة بالتوقيع بإعادة المحاولة 50 مرة قبل أن تسمح للضحية بالخروج. هذه التكتيكات الرامية إلى ممارسة الضغط النفسي مبرمجة بشكل ثابت، ولا يمكن للشركاء التابعين تعديلها — فهي ميزة أساسية في مجموعة أدوات «Angel Drainer».
30 عمولة TRX
يُرسَل مقابل كل عملية سحب ناجحة عمولة قدرها 30 TRX إلى محفظة المشغل. وبالأسعار الحالية، يبلغ هذا المبلغ حوالي 7-8 دولارات أمريكية لكل ضحية — وهو هامش ربح منخفض يشير إلى أن العملية تعتمد على الحجم أكثر من القيمة.
توزيع عائدات خدمة «Drainer-as-a-Service»: 80% للمشغل التابع، و20% رسوم للمطور — من محفظة الضحية عبر العقد الذكي وصولاً إلى عملية غسل الأموال.
تعمل NiceCrypto وفقًا لمبدأ بسيط: منح الشركاء التابعين أعلى عائد في سوق عمليات الاستنزاف، وبذلك سيقومون بجلب الضحايا. وبعمولة تبلغ 80٪، تقدم NiceCrypto أفضل حصة توزيع أرباح للشركاء التابعين قمنا بتوثيقها في أي عملية من عمليات «الاستنزاف كخدمة». ويحتفظ المشغل بنسبة 20٪ فقط — وهو هامش ضئيل للغاية لا ينجح إلا على نطاق واسع.
الحسابات بسيطة. إذا قام أحد الشركاء التابعين بتفريغ محفظة تحتوي على 1,000 دولار من التوكنات، فإنه يحتفظ بـ 800 دولار. تأخذ NiceCrypto مبلغ 200 دولار. وبوجود أكثر من 8,454 دولارًا من المدفوعات الموثقة للشركاء التابعين، فإن العملية قد عالجت ما لا يقل عن 42,270 دولارًا من الأموال المسروقة — وهذا الرقم لا يمثل سوى المدفوعات التي يمكننا رصدها مباشرةً على السلسلة.
نموذج الإيرادات: تقسيم بنسبة 80/20
$8,454+ في المدفوعات الموثقة إلى الشركاء التابعين يمثل الحد الأدنى، وليس الحد الأقصى. وبمعدل 80٪ للشركاء التابعين، يتجاوز إجمالي الأموال المسروقة التي عالجتها NiceCrypto $42,000 الحد الأدنى. ومن المرجح أن يكون الرقم الفعلي أعلى من ذلك بكثير، حيث إن نطاق الرصد الذي نستخدمه لا يشمل جميع المعاملات.
التوسع متعدد السلاسل
انطلقت NiceCrypto على شبكة TRON، لكن ملفات التكوين التي تم استردادها من بنيتها التحتية تكشف عن توسع نشط نحو سولانا, السلاسل المتوافقة مع EVM (إيثريوم، BSC، بوليجون)، و TON. أربعة أنظمة بيئية للبلوك تشين تحت لوحة تحكم واحدة.
التواجد في المنتدى
تقوم NiceCrypto بتجنيد الشركاء التابعين من خلال wwh2club.to، وهو منتدى معروف متخصص في الجرائم الإلكترونية. روبوتهم على Telegram @NCsetup_bot يتولى عملية التسجيل — حيث يتلقى الشركاء الجدد «مجموعة أدوات» معدة مسبقًا في غضون دقائق من الاتصال بهم.
اتصال WasabiSquad
نطاق موقع NiceCrypto الإلكتروني wasabihub.one يثير ذلك تساؤلات حول احتمال وجود صلة بعملية «WasabiSquad». وما إذا كان الأمر يتعلق ببنية تحتية مشتركة، أو تغيير للعلامة التجارية، أو مجرد مصادفة، فهذا يتطلب مزيدًا من التحقيق.
أتمتة Telegram
روبوت @NCsetup_bot تعمل على أتمتة إدارة الشركاء التابعين: نشر مجموعات أجهزة التصريف، وتتبع العمولات، وتوزيع المدفوعات. ونادرًا ما يحتاج المشغل إلى التفاعل مع الشركاء التابعين بشكل مباشر.
مؤشرات التهديد (IOCs) الخاصة بـ NiceCrypto
روبوت Telegram:@NCsetup_bot الموقع الإلكتروني:wasabihub.one المنتدى:wwh2club.to عمولة الشركاء: 80% المدفوعات الموثقة: $8,454+ السلاسل: TRON (قيد التشغيل)، Solana (قيد التوسع)، EVM (قيد التوسع)، TON (قيد التوسع)
80% للشركاء التابعين. ونحتفظ نحن بـ 20%. أنت تجلب الزوار، ونحن نتولى أمر الكود. يستغرق الإعداد 5 دقائق.
-- إعلان NiceCrypto على موقع wwh2club.to
717Team: مؤرشف = Disruption Works
تُعد «717Team» دليلاً على أنه يمكن وقف هذه العمليات. وبفضل 125 عضوًا و85 محفظة تم تعقبها، كانت «717Team» عملية استنزاف متوسطة الحجم تدير أكثر من 12 نطاقًا للتصيد الاحتيالي. قد يبدو إجمالي الأموال المسروقة المؤكد، البالغ 2,946.25 دولارًا، متواضعًا مقارنةً بالعمليات الأكبر حجمًا، لكن القصة الحقيقية تكمن في النتيجة: محفوظ.
في نظام التتبع الخاص بنا، تعني كلمة «مؤرشفة» أن العملية قد تعرضت لعرقلة شديدة لدرجة توقفها تمامًا. تم إزالة النطاقات. وتم تدمير البنية التحتية. وتم الكشف عن هوية المسؤول. لم يقم فريق 717Team بإغلاق العمليات طواعيةً، بل تم إغلاقها من خلال الإبلاغ المنسق، وعمليات إزالة النطاقات، وتبادل المعلومات الاستخباراتية مع شركاء أمن البلوك تشين.
تم تأكيد حدوث انقطاع
إن تصنيف «ARCHIVED» الذي تمنحه 717Team ليس تصنيفًا نمنحه باستخفاف. فهو يعني تعطيلًا مستمرًا عبر عدة محاور: عمليات إزالة النطاقات، والبلاغات المقدمة من مزودي خدمات الاستضافة، ووضع علامات تحذيرية على المحافظ الرقمية، وكشف هوية المسؤول. وقد تجاوزت تكلفة استمرار العملية إيراداتها. وهذا هو الشكل الذي يتخذه التعطيل الناجح.
المسؤول: @imdebank
حساب Telegram الخاص بالإدارة @imdebank (رقم المستخدم: 7149807602) وقد تم ربطه بـ فريق روبليفكا، وهي شبكة احتيال منفصلة تعمل باللغة الروسية سبق توثيقها في تحقيقنا المتعلق بشبكة TON. ويُعد تقاسم المسؤولين بين العمليات المختلفة نمطًا متكررًا.
نطاق الشبكة
125 عضوًا تم تتبعها عبر مجموعات Telegram. 85 محفظة تم تحديدها من خلال التحليل على السلسلة. $2,946.25 تم التأكد من استنفاد الموارد. تم تجنيد فريق 717 من خلال lolz.live، وهو منتدى باللغة الروسية مخصص للجرائم الإلكترونية.
البنية التحتية للنطاق
12 نطاقًا أو أكثر، بما في ذلك checkscore.cc, cryptomus-payment.com, check-score.ru، وغيرها. تم استخدام العديد من شركات تسجيل النطاقات في محاولة لمقاومة عمليات الإزالة المنسقة.
عمليات الروبوتات
روبوت Telegram @team717_bot تولى تنسيق الشركاء التابعين، وتتبع الضحايا، وتوزيع المدفوعات. وتم تعطيل الروبوت في إطار جهود تعطيل نشاطه.
717 فريقًا من لجان IOC
المسؤول:@imdebank (رقم التعريف: 7149807602) المجموعة المرتبطة: فريق روبليفكا الروبوت:@team717_bot المنتدى:lolz.live الأعضاء: 125 مركبة مجنزرة المحافظ: تم تحديد 85 تم التأكيد على استنزافه: $2,946.25 الحالة:محفوظ (تم إلغاؤه)
التحليل المضاد: موجود لكن من السهل تجاوزه
يستخدم TRXDrop تقنيتين لمكافحة التحليل تُعدان من الأساليب المعتادة في مجموعة أدوات «drainer». وقد صُممت كلتا التقنيتين لإحباط عمليات الفحص السطحية. ولا تشكل أي منهما عائقًا حقيقيًّا أمام المحلل المتمرس.
مصائد مصحح الأخطاء
A setInterval يتم تشغيل الحلقة كل 1,000 مللي ثانية، حيث تقوم بتنفيذ debugger بيان. عند فتح DevTools، يؤدي هذا إلى إيقاف التنفيذ بشكل مستمر، مما يجعل الصفحة تبدو وكأنها متجمدة. التجاوز: تعطيل نقاط التوقف في DevTools (Ctrl+F8) أو استخدم خيار قائمة السياق «عدم التوقف هنا أبدًا». إجمالي وقت التجاوز: ثانيتان.
اختطاف وحدة التحكم
يقوم الكود بالكتابة فوق console.log, console.warn، و console.error باستخدام دوال فارغة لإخفاء المخرجات. ومن المفارقات أن المطور ترك أكثر من 30 عبارة تصحيح أخطاء، وهي بالضبط ما صُممت هذه الاستبدالات لإخفائه. التجاوز: قم بتخزين مرجع إلى طرق وحدة التحكم الأصلية قبل تحميل الصفحة، أو استخدم API وحدة التحكم الأصلية للمتصفح. إجمالي وقت التجاوز: 5 ثوانٍ.
ساعة الهواة
إن الجمع بين الكود الذي تم إنشاؤه بواسطة الذكاء الاصطناعي، وعبارات التصحيح في بيئة الإنتاج، وتشفير XOR الثابت، ووسائل منع التحليل التي يمكن تجاوزها بسهولة، يرسم صورة واضحة: مشغل TRXDrop ليس مطورًا ماهرًا. إنه محتال اشترى «مجموعة أدوات استنزاف» وطلب من نموذج لغوي كبير (LLM) تخصيصها. الخطر لا يكمن في درجة التعقيد، بل في سهولة الوصول. فعندما يكون حاجز الدخول هو «هل يمكنك كتابة أمر»، فإن عدد المشغلين ينمو بشكل أسي.
هذا النمط متسق في جميع أنحاء منظومة «المُستنزف كخدمة». يمتلك مطورو حزم الأدوات (في هذه الحالة، «Angel Drainer») قدرات تقنية حقيقية. أما الموزعون والشركاء التابعون الذين يقومون بنشر هذه الحزم، فغالبًا ما يفتقرون إلى هذه القدرات. ولا توجد طبقة مقاومة التحليل لأن المشغلين يفهمون الأبحاث الأمنية، بل لأنها تأتي مفعَّلة بشكل افتراضي مع الحزمة.
الأدلة والمعلومات الاستخباراتية من المصادر
يتم حفظ جميع الأدلة المشار إليها في هذا التحقيق في مستودع PhishDestroy ScamIntelLogs. ولكل عملية دليل خاص بها يحتوي على ملفات التكوين، ومقتطفات من الكود المصدري، وقوائم النطاقات، وعناوين المحافظ، والمعلومات الاستخباراتية المستقاة من Telegram.
تمت مشاركة جميع عناوين المحافظ وقوائم النطاقات ومعرّفات المشغلين المنشورة في هذا التقرير مع فرق أمن البلوكشين المعنية ومسجلي النطاقات قبل نشره. وقد تم الإبلاغ عن معرّف مشروع WalletConnect لإلغائه. إذا كنت تدير بنية تحتية متأثرة بهذه المؤشرات (IOCs)، فيرجى الاتصال بنا عبر @PhishDestroy_bot.
احمِ محفظتك
تتوسع خدمة «Drainer-as-a-service». ولا يتطلب الدخول إلى هذا المجال سوى رسالة على Telegram وبضع مئات من الدولارات. وتبدأ دفاعاتك بالوعي.
لا توقع أبدًا دون الاطلاع على المحتوى
إذا كان أحد المواقع يُفرض عليك فيه طلبات توقيع متكررة، فقم بإغلاقه على الفور. فعمليات التوزيع المجاني الشرعية لا تتطلب أبدًا موافقات غير محدودة على التوكنات.
التحقق قبل التوصيل
تحقق من عمر النطاق، وتأكد من صحة المعلومات عبر القنوات الرسمية للمشروع، واستخدم محفظة مؤقتة لأي مطالبات تتعلق بالتوزيع المجاني.
استخدام المحافظ المادية
احتفظ بالمبالغ الكبيرة في المحافظ المادية. لا تقم أبدًا بتوصيل محفظتك الرئيسية بمواقع غير موثوقة.
إشعار بشأن الشفافية. PhishDestroy هو مشروع مستقل وغير تجاري. قد تعكس أبحاثنا تحيزًا متأصلًا ضد البنية التحتية للاحتيال والخدمات التي تتيحها. ونشجع القراء على تقييم جميع المواد تقييمًا نقديًا ومستقلًا. اقرأ بيان الشفافية الكامل الخاص بنا →