Drei „Drainer-as-a-Service“-Operationen, auf Code-Ebene analysiert. KI-generierte Phishing-Kits, in denen Debug-Anweisungen noch immer im Produktionscode enthalten sind. Ein Affiliate-Modell mit 80 % Provision, das die rasante Expansion vorantreibt. Und ein archiviertes Netzwerk, das beweist, dass koordinierte Störungen funktionieren. Das ist die Infrastruktur hinter der nächsten Wallet, mit der Sie sich beinahe verbunden hätten.
~10 Minuten Lesezeit· Aktualisiert März 2026· PhishDestroy Intelligence
Die 9-stufige Angriffskette: Vom gefälschten Airdrop bis zur leeren Wallet
Jeder Krypto-Drainer folgt einer vorhersehbaren Abfolge. Was „Drainer-as-a-Service“-Operationen so gefährlich macht, ist nicht die Innovation – sondern das Ausmaß. Dieselbe Angriffskette wird auf Dutzende von Domains repliziert, von denen jede eine neue Falle für ahnungslose Opfer darstellt. Hier ist die genaue Abfolge, die Schritt für Schritt aus dem Quellcode von TRXDrop extrahiert wurde.
Vollständiger Ablauf des „Drainer Attack“-Angriffs
Diese 9-stufige Kette wurde anhand des dekompilierten TRXDrop-Quellcodes rekonstruiert. Jeder Schritt ist im Repository „ScamIntelLogs“ mit entsprechenden Code-Verweisen dokumentiert.
Eine 9-stufige Kette von Krypto-Phishing-Angriffen – von gefälschten Airdrop-Anzeigen über die Plünderung von Wallets bis hin zur Geldwäsche.
1
Gefälschte Airdrop-Anzeige Das Opfer sieht einen gesponserten Beitrag oder eine Telegram-Nachricht, in der für einen TRX/SOL-Airdrop geworben wird. Beispiele für Domains: trx-drop.com, tronrefund.com, trxairdrop.io.
2
Landingpage Die professionell gestaltete Seite ahmt einen echten Airdrop der TRON Foundation nach. Countdown-Timer und gefälschte Zählerstände für die Ansprüche erzeugen ein Gefühl der Dringlichkeit.
3
WalletConnect-Aufforderung Die Website initiiert WalletConnect unter Verwendung einer gestohlenen Projekt-ID fbf5b42d9006502246e73447f5d50e33. Das Opfer verbindet seine Wallet, da es glaubt, dies sei für die
Inanspruchnahme erforderlich.
4
Berechtigungsanfrage Drainer fordert umfassende Token-Berechtigungen an. Die Aufforderung zur Signatur
ist absichtlich vage gehalten, um zu verschleiern, was genau
genehmigt wird.
5
Token-Genehmigung Das Opfer unterzeichnet ein
approve()
Transaktion, die dem Drainer-Vertrag uneingeschränkte
Ausgabebefugnis für bestimmte Token gewährt.
6
setApprovalForAll Eine zweite Transaktion ruft
setApprovalForAll(), wodurch der Angreifer die Kontrolle über NFTs und alle Token-Typen
in der Wallet erhält.
7
Übertragungs-Token Der Vertrag mit dem Entwässerungsunternehmen tritt sofort in Kraft
transferFrom()
um alle genehmigten Token in die Sammlung
des Angreifers zu verschieben.
8
Geldbeutel leeren Native Chain-Token (TRX, SOL) werden zuletzt übertragen. Die
Wallet wird vollständig geleert. Wenn das Opfer dies ablehnt, versucht der
Drainer es erneut bis zu 50 Mal bevor
die Flucht zugelassen wird.
9
Zahlungen an den Betreiber Die gestohlenen Gelder werden an die Wallet des Betreibers weitergeleitet. TRXDrop
erhebt eine Provision von 30 TRX pro Abzug. Der Rest geht an den
Partner, der die Phishing-Seite eingerichtet hat.
50 erzwungene Wiederholungsversuche
Wenn ein Opfer bei der Signaufforderung auf „Ablehnen“ klickt, löst der TRXDrop-
Code die Anfrage sofort erneut aus. Diese Schleife wiederholt sich
50 Mal bevor das Opfer das
Modalfenster schließen darf. Die meisten Nutzer geben nach 3–5 Versuchen auf und melden sich an,
da sie glauben, die Website weise einen Fehler auf und sei nicht böswillig. Dies ist kein
Fehler. Es ist beabsichtigt.
TRXDrop im Detail: KI-generierter Code
mit über 30 Debug-Anweisungen in der Produktion
TRXDrop-API ohne Authentifizierung zugänglich – jeder, der die URL kennt,
kann Wallet-Protokolle, Zahlungsdaten und Betreiber-IDs einsehen.
TRXDrop ist ein Reseller von „Angel Drainer“, der es auf TRON- und Solana-
Wallets abgesehen hat. Was diese Operation auszeichnet, ist nicht ihre Raffinesse – ganz
im Gegenteil. Der Quellcode weist unverkennbare Merkmale einer
KI-gestützten Entwicklung auf: sich wiederholende Strukturen, ausführliche Kommentare
und – am aussagekräftigsten – über 30 console.log Debug-Anweisungen, die im Produktionscode verblieben sind.
Das sind nicht die Merkmale eines erfahrenen Entwicklers. Es sind die Merkmale von jemandem, der ein LLM dazu veranlasst hat, einen Drainer zu schreiben, und die Ausgabe ohne Überprüfung bereitgestellt hat.
Markierungen für KI-generierten Code
Der TRXDrop-Quellcode umfasst mehr als 30 console.log Debug-Anweisungen in der Produktionsversion. Meldungen wie console.log("Attempting wallet connection...") und console.log("Approval transaction sent") tauchen überall auf. Kein professioneller Entwickler – und kein erfahrener Krimineller – würde Debug-Protokolle in die Produktionsumgebung übernehmen. Dies ist eine unbearbeitete LLM-Ausgabe, die unverändert bereitgestellt wurde.
XOR-Verschlüsselungsschlüssel
Die gesamte Kommunikation zwischen dem Drainer-Frontend und dem Backend-Panel wird mit einem fest codierten XOR-Schlüssel verschlüsselt: TRX_SECURE_2024_PANEL_KEY. Eine XOR-Verschlüsselung mit einem statischen Schlüssel ist trivialerweise umkehrbar – ein weiteres Anzeichen für eine „Copy-and-Paste“-Entwicklung.
Crypto-Drainer-Admin-Panel v1.2 zeigt 1.337 Opfer, gestohlene 12.450 US-Dollar, verbundene Wallets und ein Echtzeit-Abflussprotokoll – ENTHÜLLT
Missbrauch von WalletConnect
WalletConnect-Projekt-ID fbf5b42d9006502246e73447f5d50e33 ist in allen über 15 Domänen eingebettet. Eine einzige Sperrung dieser Projekt-ID würde die Wallet-Konnektivität im gesamten TRXDrop-Netzwerk gleichzeitig unterbrechen.
50 erzwungene Wiederholungsversuche
Die Signaturabfrage-Schleife wird 50 Mal wiederholt, bevor dem Opfer das Beenden gestattet wird. Diese Taktik zur Ausübung psychologischen Drucks ist fest programmiert und kann von den Partnern nicht konfiguriert werden – sie ist ein Kernmerkmal des „Angel Drainer“-Kits.
30 TRX Provision
Bei jedem erfolgreichen Abzug wird eine Provision in Höhe von 30 TRX an die Wallet des Betreibers überwiesen. Bei den aktuellen Kursen entspricht dies etwa 7 bis 8 US-Dollar pro Opfer – eine geringe Marge, die darauf hindeutet, dass der Betrieb eher auf Volumen als auf Wert ausgerichtet ist.
Provisionsablauf bei „Drainer-as-a-Service“: 80 % gehen an den Partnerbetreiber, 20 % sind Entwicklergebühr – vom Wallet des Opfers über den Smart Contract bis hin zur Geldwäsche.
NiceCrypto basiert auf einem einfachen Prinzip: Man bietet den Partnern die höchste Provision auf dem Drainer-Markt, und sie bringen die Opfer. Mit einer Provision von 80 % bietet NiceCrypto die großzügigste Partnervergütung, die wir bei einem „Drainer-as-a-Service“-Anbieter je dokumentiert haben. Der Betreiber behält lediglich 20 % – eine hauchdünne Marge, die sich nur bei großem Umfang rechnet.
Die Rechnung ist ganz einfach: Wenn ein Partner eine Wallet mit Token im Wert von 1.000 Dollar leerräumt, behält er 800 Dollar. NiceCrypto behält 200 Dollar ein. Bei dokumentierten Affiliate-Auszahlungen in Höhe von über 8.454 Dollar hat der Betrieb mindestens 42.270 Dollar an gestohlenen Geldern abgewickelt – und diese Zahl umfasst nur die Zahlungen, die wir direkt in der Blockchain nachverfolgen können.
Umsatzmodell: 80/20-Aufteilung
$8,454+ Der in den dokumentierten Zahlungen an Partner ausgewiesene Betrag stellt die Untergrenze dar, nicht die Obergrenze. Bei einer Partnerprovision von 80 % übersteigt der Gesamtbetrag der von NiceCrypto abgewickelten gestohlenen Gelder $42,000 Minimum. Die tatsächliche Zahl dürfte deutlich höher liegen, da nicht alle Transaktionen in unserem Überwachungszeitraum erfasst werden.
Erweiterung auf mehrere Blockchains
NiceCrypto startete auf TRON, doch aus der Infrastruktur des Unternehmens wiederhergestellte Konfigurationsdateien lassen auf eine aktive Expansion hin zu Solana, EVM-kompatible Blockchains (Ethereum, BSC, Polygon) und TON. Vier Blockchain-Ökosysteme unter einem einzigen Bedienfeld.
Präsenz im Forum
NiceCrypto wirbt Partner über wwh2club.to, ein bekanntes Forum für Cyberkriminalität. Ihr Telegram-Bot @NCsetup_bot kümmert sich um die Einarbeitung – neue Partner erhalten innerhalb weniger Minuten nach der Kontaktaufnahme ein vorkonfiguriertes Drainer-Kit.
WasabiSquad-Verbindung
Die Website-Domain von NiceCrypto wasabihub.one wirft Fragen hinsichtlich eines möglichen Zusammenhangs mit der Operation „WasabiSquad“ auf. Ob es sich dabei um eine gemeinsam genutzte Infrastruktur, eine Umbenennung oder einen Zufall handelt, muss noch genauer untersucht werden.
Telegram-Automatisierung
Bot @NCsetup_bot automatisiert das Partnermanagement: Bereitstellung von Drainer-Kits, Provisionsverfolgung und Auszahlung der Provisionen. Der Betreiber muss nur selten direkt mit den Partnern interagieren.
NiceCrypto-IOCs
Telegram-Bot:@NCsetup_bot Website:wasabihub.one Forum:wwh2club.to Partnerprovision: 80% Dokumentierte Auszahlungen: $8,454+ Ketten: TRON (aktiv), Solana (im Ausbau), EVM (im Ausbau), TON (im Ausbau)
80 % gehen an die Partner. Wir behalten 20 %. Sie sorgen für die Besucher, wir kümmern uns um den Code. Die Einrichtung dauert 5 Minuten.
-- NiceCrypto-Anzeige auf wwh2club.to
717Team: Archiviert = Disruption Works
Das 717Team ist der Beweis dafür, dass solche Operationen gestoppt werden können. Mit 125 Mitgliedern und 85 nachverfolgten Wallets war das 717Team eine mittelgroße „Drainer“-Operation, die mehr als 12 Phishing-Domains betrieb. Die bestätigte Gesamtbeute von 2.946,25 US-Dollar mag im Vergleich zu größeren Operationen bescheiden erscheinen, doch entscheidend ist das Ergebnis: archiviert.
In unserem Tracking-System bedeutet „archiviert“, dass der Betrieb so weit gestört wurde, dass er eingestellt wurde. Domains wurden abgeschaltet. Die Infrastruktur wurde zerstört. Der Administrator wurde entlarvt. Das 717Team hat seinen Betrieb nicht freiwillig eingestellt. Es wurde durch koordinierte Meldungen, Abschaltungen von Domains und den Austausch von Informationen mit Partnern im Bereich der Blockchain-Sicherheit stillgelegt.
Störung bestätigt
Den Status „ARCHIVIERT“ von 717Team vergeben wir nicht leichtfertig. Er bedeutet anhaltende Störungen auf mehreren Ebenen: Abschaltungen von Domains, Meldungen bei Hosting-Anbietern, Kennzeichnung von Wallets und Aufdeckung der Identität des Administrators. Die Kosten für die Fortführung des Betriebs überstiegen die Einnahmen. So sieht eine erfolgreiche Störung aus.
Admin: @imdebank
Telegram-Benutzername des Administrators @imdebank (Benutzername: 7149807602) wurde mit RublevkaTeam, ein eigenständiges russischsprachiges Betrugsnetzwerk, das bereits in unserer TON-Untersuchung dokumentiert wurde. Die gemeinsame Nutzung von Administratoren zwischen verschiedenen Operationen ist ein wiederkehrendes Muster.
Netzwerkumfang
125 Mitglieder in Telegram-Gruppen nachverfolgt. 85 Geldbörsen die durch eine On-Chain-Analyse identifiziert wurden. $2,946.25 Bestätigt: leer. 717Team rekrutiert über lolz.live, ein russischsprachiges Forum für Cyberkriminalität.
Domäneninfrastruktur
12+ Domains, darunter checkscore.cc, cryptomus-payment.com, check-score.ru, und andere. Es wurden mehrere Domain-Registrare genutzt, um koordinierten Abschaltungen entgegenzuwirken.
Bot-Betrieb
Telegram-Bot @team717_bot Er war für die Koordination der Partner, die Nachverfolgung der Opfer und die Auszahlung der Gelder zuständig. Der Bot wurde im Rahmen der Maßnahmen zur Unterbindung dieser Aktivitäten deaktiviert.
TRXDrop setzt zwei Anti-Analyse-Techniken ein, die zum Standardrepertoire von Drainer-Toolkits gehören. Beide zielen darauf ab, eine oberflächliche Überprüfung zu erschweren. Für einen erfahrenen Analysten stellen sie jedoch kein nennenswertes Hindernis dar.
Debugger-Traps
A setInterval Die Schleife wird alle 1.000 Millisekunden ausgelöst und führt dabei eine debugger Anweisung. Wenn DevTools geöffnet ist, wird die Ausführung dadurch ständig unterbrochen, sodass es so aussieht, als wäre die Seite eingefroren. Bypass: Haltepunkte in DevTools deaktivieren (Ctrl+F8) oder nutzen Sie die Kontextmenüoption „Hier niemals anhalten“. Gesamtdauer der Umgehung: 2 Sekunden.
Konsolen-Hijacking
Der Code überschreibt console.log, console.warn, und console.error mit leeren Funktionen, um die Ausgabe zu unterdrücken. Das ist schon ironisch, wenn man bedenkt, dass der Entwickler über 30 Debug-Anweisungen hinterlassen hat, die durch diese Überschreibungen eigentlich verborgen werden sollen. Bypass: Speichern Sie vor dem Laden der Seite einen Verweis auf die ursprünglichen Konsolenmethoden oder nutzen Sie die native Konsolen-API des Browsers. Gesamtdauer der Umgehung: 5 Sekunden.
Amateurstunde
Die Kombination aus KI-generiertem Code, Debug-Anweisungen in der Produktionsumgebung, statischer XOR-Verschlüsselung und leicht zu umgehenden Anti-Analyse-Maßnahmen zeichnet ein klares Bild: Der Betreiber von TRXDrop ist kein erfahrener Entwickler. Es handelt sich um einen Betrüger, der ein „Drainer-Kit“ gekauft und ein LLM dazu veranlasst hat, dieses anzupassen. Die Gefahr liegt nicht in der Raffinesse – sondern in der Zugänglichkeit. Wenn die Einstiegshürde darin besteht, „eine Eingabeaufforderung tippen zu können“, wächst die Zahl der Betreiber exponentiell.
Dieses Muster lässt sich im gesamten „Drainer-as-a-Service“-Ökosystem beobachten. Die Entwickler der Kits (in diesem Fall Angel Drainer) verfügen über echte technische Kompetenz. Die Wiederverkäufer und Partner, die diese Kits einsetzen, tun dies oft nicht. Die Anti-Analyse-Schicht existiert nicht, weil die Betreiber sich mit Sicherheitsforschung auskennen – sie existiert, weil das Kit standardmäßig mit aktivierter Anti-Analyse-Schicht ausgeliefert wird.
Beweismittel und Quellenanalyse
Alle in dieser Untersuchung genannten Beweismittel werden im Repository „PhishDestroy ScamIntelLogs“ aufbewahrt. Jede Operation verfügt über ein eigenes Verzeichnis, das Konfigurationsdateien, Auszüge aus dem Quellcode, Domain-Listen, Wallet-Adressen und Telegram-Informationen enthält.
TRXDrop-Beweismaterial
15 Domains, Quellcode, XOR-Schlüssel, WalletConnect-ID, Telegram-Kanal des Betreibers, Wallet-Adresse.
Alle in diesem Bericht veröffentlichten Wallet-Adressen, Domain-Listen und Betreiber-Identifikatoren wurden vor der Veröffentlichung an die zuständigen Blockchain-Sicherheitsteams und Domain-Registrare weitergeleitet. Die WalletConnect-Projekt-ID wurde zur Sperrung gemeldet. Falls Sie Infrastruktur betreiben, die von diesen IOCs betroffen ist, kontaktieren Sie uns bitte über @PhishDestroy_bot.
Schützen Sie Ihren Geldbeutel
„Drainer-as-a-Service“ breitet sich aus. Die Eintrittsbarriere besteht aus einer Telegram-Nachricht und ein paar hundert Dollar. Ihre Abwehr beginnt mit Wachsamkeit.
Unterschreiben Sie niemals blindlings
Wenn eine Website wiederholt Anmeldeaufforderungen anzeigt, schließen Sie sie sofort. Seriöse Airdrops erfordern niemals unbegrenzte Token-Genehmigungen.
Vor dem Anschließen überprüfen
Überprüfen Sie das Alter der Domain, verifizieren Sie die Informationen über die offiziellen Projektkanäle und verwenden Sie für die Inanspruchnahme von Airdrops ein Einweg-Wallet.
Verwenden Sie Hardware-Wallets
Bewahren Sie größere Bestände in Hardware-Wallets auf. Verbinden Sie Ihre Haupt-Wallet niemals mit nicht verifizierten Websites.
Hinweis zur Transparenz. PhishDestroy ist ein nichtkommerzielles, unabhängiges Projekt. Unsere Recherchen spiegeln möglicherweise eine gewisse Voreingenommenheit gegenüber Betrugsinfrastrukturen und den Diensten wider, die diese ermöglichen. Wir empfehlen unseren Lesern, alle Inhalte kritisch und eigenständig zu bewerten. Lesen Sie unsere vollständige Transparenzerklärung →