Zurück zu den Nachrichten

Untersuchung von ScamIntelLogs

Crypto Drainer Toolkit: Ein Blick hinter die Kulissen der „Angel Drainer“-Wiederverkäufer, die es auf Ihre Wallet abgesehen haben

Drei „Drainer-as-a-Service“-Operationen, auf Code-Ebene analysiert. KI-generierte Phishing-Kits, in denen Debug-Anweisungen noch immer im Produktionscode enthalten sind. Ein Affiliate-Modell mit 80 % Provision, das die rasante Expansion vorantreibt. Und ein archiviertes Netzwerk, das beweist, dass koordinierte Störungen funktionieren. Das ist die Infrastruktur hinter der nächsten Wallet, mit der Sie sich beinahe verbunden hätten.

3 aktive Drainer-Netzwerke Über 15 Phishing-Domains 80 % Affiliate-Provision 1 Netzwerk archiviert
Analyse von Krypto-Drainer-Netzwerken
0
Phishing-Domains
0
Betrieb der Entwässerungsanlagen
0
Verfolgte Mitglieder
0
Identifizierte Geldbörsen
0
Erzwungene Wiederholungsversuche bei Signalen
0
% Partnerprovision

Die 9-stufige Angriffskette: Vom gefälschten Airdrop bis zur leeren Wallet

Jeder Krypto-Drainer folgt einer vorhersehbaren Abfolge. Was „Drainer-as-a-Service“-Operationen so gefährlich macht, ist nicht die Innovation – sondern das Ausmaß. Dieselbe Angriffskette wird auf Dutzende von Domains repliziert, von denen jede eine neue Falle für ahnungslose Opfer darstellt. Hier ist die genaue Abfolge, die Schritt für Schritt aus dem Quellcode von TRXDrop extrahiert wurde.

Vollständiger Ablauf des „Drainer Attack“-Angriffs

Diese 9-stufige Kette wurde anhand des dekompilierten TRXDrop-Quellcodes rekonstruiert. Jeder Schritt ist im Repository „ScamIntelLogs“ mit entsprechenden Code-Verweisen dokumentiert.

Die 9-stufige Kette eines Krypto-Phishing-Angriffs: gefälschte Airdrop-Anzeige, gezielte Klicks, Phishing-Landingpage, Wallet verbinden, böswillige Berechtigung, Transaktion genehmigen, Token abziehen, Gelder vermischen, Auszahlung
Eine 9-stufige Kette von Krypto-Phishing-Angriffen – von gefälschten Airdrop-Anzeigen über die Plünderung von Wallets bis hin zur Geldwäsche.
1
Gefälschte Airdrop-Anzeige
Das Opfer sieht einen gesponserten Beitrag oder eine Telegram-Nachricht, in der für einen TRX/SOL-Airdrop geworben wird. Beispiele für Domains: trx-drop.com, tronrefund.com, trxairdrop.io.
2
Landingpage
Die professionell gestaltete Seite ahmt einen echten Airdrop der TRON Foundation nach. Countdown-Timer und gefälschte Zählerstände für die Ansprüche erzeugen ein Gefühl der Dringlichkeit.
3
WalletConnect-Aufforderung
Die Website initiiert WalletConnect unter Verwendung einer gestohlenen Projekt-ID fbf5b42d9006502246e73447f5d50e33. Das Opfer verbindet seine Wallet, da es glaubt, dies sei für die Inanspruchnahme erforderlich.
4
Berechtigungsanfrage
Drainer fordert umfassende Token-Berechtigungen an. Die Aufforderung zur Signatur ist absichtlich vage gehalten, um zu verschleiern, was genau genehmigt wird.
5
Token-Genehmigung
Das Opfer unterzeichnet ein approve() Transaktion, die dem Drainer-Vertrag uneingeschränkte Ausgabebefugnis für bestimmte Token gewährt.
6
setApprovalForAll
Eine zweite Transaktion ruft setApprovalForAll(), wodurch der Angreifer die Kontrolle über NFTs und alle Token-Typen in der Wallet erhält.
7
Übertragungs-Token
Der Vertrag mit dem Entwässerungsunternehmen tritt sofort in Kraft transferFrom() um alle genehmigten Token in die Sammlung des Angreifers zu verschieben.
8
Geldbeutel leeren
Native Chain-Token (TRX, SOL) werden zuletzt übertragen. Die Wallet wird vollständig geleert. Wenn das Opfer dies ablehnt, versucht der Drainer es erneut bis zu 50 Mal bevor die Flucht zugelassen wird.
9
Zahlungen an den Betreiber
Die gestohlenen Gelder werden an die Wallet des Betreibers weitergeleitet. TRXDrop erhebt eine Provision von 30 TRX pro Abzug. Der Rest geht an den Partner, der die Phishing-Seite eingerichtet hat.

50 erzwungene Wiederholungsversuche

Wenn ein Opfer bei der Signaufforderung auf „Ablehnen“ klickt, löst der TRXDrop- Code die Anfrage sofort erneut aus. Diese Schleife wiederholt sich 50 Mal bevor das Opfer das Modalfenster schließen darf. Die meisten Nutzer geben nach 3–5 Versuchen auf und melden sich an, da sie glauben, die Website weise einen Fehler auf und sei nicht böswillig. Dies ist kein Fehler. Es ist beabsichtigt.

TRXDrop im Detail: KI-generierter Code mit über 30 Debug-Anweisungen in der Produktion

Sicherheitsvergleich: Authentifizierung erforderlich (grünes Schloss) vs. Keine Authentifizierung – völlig offen (rotes, aufgebrochenes Schloss)
TRXDrop-API ohne Authentifizierung zugänglich – jeder, der die URL kennt, kann Wallet-Protokolle, Zahlungsdaten und Betreiber-IDs einsehen.

TRXDrop ist ein Reseller von „Angel Drainer“, der es auf TRON- und Solana- Wallets abgesehen hat. Was diese Operation auszeichnet, ist nicht ihre Raffinesse – ganz im Gegenteil. Der Quellcode weist unverkennbare Merkmale einer KI-gestützten Entwicklung auf: sich wiederholende Strukturen, ausführliche Kommentare und – am aussagekräftigsten – über 30 console.log Debug-Anweisungen, die im Produktionscode verblieben sind.

Das sind nicht die Merkmale eines erfahrenen Entwicklers. Es sind die Merkmale von jemandem, der ein LLM dazu veranlasst hat, einen Drainer zu schreiben, und die Ausgabe ohne Überprüfung bereitgestellt hat.

Markierungen für KI-generierten Code

Der TRXDrop-Quellcode umfasst mehr als 30 console.log Debug-Anweisungen in der Produktionsversion. Meldungen wie console.log("Attempting wallet connection...") und console.log("Approval transaction sent") tauchen überall auf. Kein professioneller Entwickler – und kein erfahrener Krimineller – würde Debug-Protokolle in die Produktionsumgebung übernehmen. Dies ist eine unbearbeitete LLM-Ausgabe, die unverändert bereitgestellt wurde.

XOR-Verschlüsselungsschlüssel

Die gesamte Kommunikation zwischen dem Drainer-Frontend und dem Backend-Panel wird mit einem fest codierten XOR-Schlüssel verschlüsselt: TRX_SECURE_2024_PANEL_KEY. Eine XOR-Verschlüsselung mit einem statischen Schlüssel ist trivialerweise umkehrbar – ein weiteres Anzeichen für eine „Copy-and-Paste“-Entwicklung.

Crypto-Drainer-Admin-Panel v1.2 zeigt 1.337 Opfer, gestohlene 12.450 US-Dollar, verbundene Wallets und ein Echtzeit-Abflussprotokoll – ENTHÜLLT
Crypto-Drainer-Admin-Panel v1.2 zeigt 1.337 Opfer, gestohlene 12.450 US-Dollar, verbundene Wallets und ein Echtzeit-Abflussprotokoll – ENTHÜLLT

Missbrauch von WalletConnect

WalletConnect-Projekt-ID fbf5b42d9006502246e73447f5d50e33 ist in allen über 15 Domänen eingebettet. Eine einzige Sperrung dieser Projekt-ID würde die Wallet-Konnektivität im gesamten TRXDrop-Netzwerk gleichzeitig unterbrechen.

50 erzwungene Wiederholungsversuche

Die Signaturabfrage-Schleife wird 50 Mal wiederholt, bevor dem Opfer das Beenden gestattet wird. Diese Taktik zur Ausübung psychologischen Drucks ist fest programmiert und kann von den Partnern nicht konfiguriert werden – sie ist ein Kernmerkmal des „Angel Drainer“-Kits.

30 TRX Provision

Bei jedem erfolgreichen Abzug wird eine Provision in Höhe von 30 TRX an die Wallet des Betreibers überwiesen. Bei den aktuellen Kursen entspricht dies etwa 7 bis 8 US-Dollar pro Opfer – eine geringe Marge, die darauf hindeutet, dass der Betrieb eher auf Volumen als auf Wert ausgerichtet ist.

Betreiberintelligenz

Telegram: @STNlRAWbIaFLiH (Benutzername: 6823931109)
Geldbörse „Collection“: TRAGn9E6hbTiQrYG5V4sk1gNv3JaWHSxak
Betroffene Ketten: TRON, Solana
Ablaufset: Angel Drainer (aus zweiter Hand/angepasst)

TRXDrop-Domain-Infrastruktur (15+ Domains)

DomäneTypStatus
trx-drop.comPrimäre LandungAktiv
tronrefund.comKöder mit RückerstattungAktiv
tronfund.netFonds-LockangebotAktiv
trxfund.proFonds-LockangebotAktiv
trxairdrop.ioAirdrop-KöderAktiv
trondrop.orgAirdrop-KöderAktiv
tronreward.comBelohnungsköderAktiv
tronreward.netBelohnungsköderAktiv
tronrefund.netKöder mit RückerstattungAktiv
trxfund.orgFonds-LockangebotAktiv
trxdrop.comAirdrop-KöderAktiv
trxdrop.orgAirdrop-KöderAktiv
trongiving.comWerbegeschenk-KöderAktiv
tronclaims.comWerbeversprechenAktiv
trondrop.proAirdrop-KöderAktiv

NiceCrypto: Die 80-Prozent-Provisionsmaschine

Ablauf der Betriebsprovision bei „Drainer-as-a-Service“: 80 % gehen an den Betreiber, 20 % als Entwicklergebühr, vom Wallet des Opfers über einen Smart Contract
Provisionsablauf bei „Drainer-as-a-Service“: 80 % gehen an den Partnerbetreiber, 20 % sind Entwicklergebühr – vom Wallet des Opfers über den Smart Contract bis hin zur Geldwäsche.

NiceCrypto basiert auf einem einfachen Prinzip: Man bietet den Partnern die höchste Provision auf dem Drainer-Markt, und sie bringen die Opfer. Mit einer Provision von 80 % bietet NiceCrypto die großzügigste Partnervergütung, die wir bei einem „Drainer-as-a-Service“-Anbieter je dokumentiert haben. Der Betreiber behält lediglich 20 % – eine hauchdünne Marge, die sich nur bei großem Umfang rechnet.

Die Rechnung ist ganz einfach: Wenn ein Partner eine Wallet mit Token im Wert von 1.000 Dollar leerräumt, behält er 800 Dollar. NiceCrypto behält 200 Dollar ein. Bei dokumentierten Affiliate-Auszahlungen in Höhe von über 8.454 Dollar hat der Betrieb mindestens 42.270 Dollar an gestohlenen Geldern abgewickelt – und diese Zahl umfasst nur die Zahlungen, die wir direkt in der Blockchain nachverfolgen können.

Umsatzmodell: 80/20-Aufteilung

$8,454+ Der in den dokumentierten Zahlungen an Partner ausgewiesene Betrag stellt die Untergrenze dar, nicht die Obergrenze. Bei einer Partnerprovision von 80 % übersteigt der Gesamtbetrag der von NiceCrypto abgewickelten gestohlenen Gelder $42,000 Minimum. Die tatsächliche Zahl dürfte deutlich höher liegen, da nicht alle Transaktionen in unserem Überwachungszeitraum erfasst werden.

Erweiterung auf mehrere Blockchains

NiceCrypto startete auf TRON, doch aus der Infrastruktur des Unternehmens wiederhergestellte Konfigurationsdateien lassen auf eine aktive Expansion hin zu Solana, EVM-kompatible Blockchains (Ethereum, BSC, Polygon) und TON. Vier Blockchain-Ökosysteme unter einem einzigen Bedienfeld.

Präsenz im Forum

NiceCrypto wirbt Partner über wwh2club.to, ein bekanntes Forum für Cyberkriminalität. Ihr Telegram-Bot @NCsetup_bot kümmert sich um die Einarbeitung – neue Partner erhalten innerhalb weniger Minuten nach der Kontaktaufnahme ein vorkonfiguriertes Drainer-Kit.

WasabiSquad-Verbindung

Die Website-Domain von NiceCrypto wasabihub.one wirft Fragen hinsichtlich eines möglichen Zusammenhangs mit der Operation „WasabiSquad“ auf. Ob es sich dabei um eine gemeinsam genutzte Infrastruktur, eine Umbenennung oder einen Zufall handelt, muss noch genauer untersucht werden.

Telegram-Automatisierung

Bot @NCsetup_bot automatisiert das Partnermanagement: Bereitstellung von Drainer-Kits, Provisionsverfolgung und Auszahlung der Provisionen. Der Betreiber muss nur selten direkt mit den Partnern interagieren.

NiceCrypto-IOCs

Telegram-Bot: @NCsetup_bot
Website: wasabihub.one
Forum: wwh2club.to
Partnerprovision: 80%
Dokumentierte Auszahlungen: $8,454+
Ketten: TRON (aktiv), Solana (im Ausbau), EVM (im Ausbau), TON (im Ausbau)

80 % gehen an die Partner. Wir behalten 20 %. Sie sorgen für die Besucher, wir kümmern uns um den Code. Die Einrichtung dauert 5 Minuten.
-- NiceCrypto-Anzeige auf wwh2club.to

717Team: Archiviert = Disruption Works

Das 717Team ist der Beweis dafür, dass solche Operationen gestoppt werden können. Mit 125 Mitgliedern und 85 nachverfolgten Wallets war das 717Team eine mittelgroße „Drainer“-Operation, die mehr als 12 Phishing-Domains betrieb. Die bestätigte Gesamtbeute von 2.946,25 US-Dollar mag im Vergleich zu größeren Operationen bescheiden erscheinen, doch entscheidend ist das Ergebnis: archiviert.

In unserem Tracking-System bedeutet „archiviert“, dass der Betrieb so weit gestört wurde, dass er eingestellt wurde. Domains wurden abgeschaltet. Die Infrastruktur wurde zerstört. Der Administrator wurde entlarvt. Das 717Team hat seinen Betrieb nicht freiwillig eingestellt. Es wurde durch koordinierte Meldungen, Abschaltungen von Domains und den Austausch von Informationen mit Partnern im Bereich der Blockchain-Sicherheit stillgelegt.

Störung bestätigt

Den Status „ARCHIVIERT“ von 717Team vergeben wir nicht leichtfertig. Er bedeutet anhaltende Störungen auf mehreren Ebenen: Abschaltungen von Domains, Meldungen bei Hosting-Anbietern, Kennzeichnung von Wallets und Aufdeckung der Identität des Administrators. Die Kosten für die Fortführung des Betriebs überstiegen die Einnahmen. So sieht eine erfolgreiche Störung aus.

Admin: @imdebank

Telegram-Benutzername des Administrators @imdebank (Benutzername: 7149807602) wurde mit RublevkaTeam, ein eigenständiges russischsprachiges Betrugsnetzwerk, das bereits in unserer TON-Untersuchung dokumentiert wurde. Die gemeinsame Nutzung von Administratoren zwischen verschiedenen Operationen ist ein wiederkehrendes Muster.

Netzwerkumfang

125 Mitglieder in Telegram-Gruppen nachverfolgt. 85 Geldbörsen die durch eine On-Chain-Analyse identifiziert wurden. $2,946.25 Bestätigt: leer. 717Team rekrutiert über lolz.live, ein russischsprachiges Forum für Cyberkriminalität.

Domäneninfrastruktur

12+ Domains, darunter checkscore.cc, cryptomus-payment.com, check-score.ru, und andere. Es wurden mehrere Domain-Registrare genutzt, um koordinierten Abschaltungen entgegenzuwirken.

Bot-Betrieb

Telegram-Bot @team717_bot Er war für die Koordination der Partner, die Nachverfolgung der Opfer und die Auszahlung der Gelder zuständig. Der Bot wurde im Rahmen der Maßnahmen zur Unterbindung dieser Aktivitäten deaktiviert.

717Team IOCs

Admin: @imdebank (ID: 7149807602)
Verbundene Gruppe: RublevkaTeam
Bot: @team717_bot
Forum: lolz.live
Mitglieder: 125 erfasst
Geldbörsen: 85 identifiziert
Bestätigt: Entleert: $2,946.25
Status:ARCHIVIERT (abgebrochen)

Anti-Analyse: Vorhanden, aber leicht zu umgehen

TRXDrop setzt zwei Anti-Analyse-Techniken ein, die zum Standardrepertoire von Drainer-Toolkits gehören. Beide zielen darauf ab, eine oberflächliche Überprüfung zu erschweren. Für einen erfahrenen Analysten stellen sie jedoch kein nennenswertes Hindernis dar.

Debugger-Traps

A setInterval Die Schleife wird alle 1.000 Millisekunden ausgelöst und führt dabei eine debugger Anweisung. Wenn DevTools geöffnet ist, wird die Ausführung dadurch ständig unterbrochen, sodass es so aussieht, als wäre die Seite eingefroren. Bypass: Haltepunkte in DevTools deaktivieren (Ctrl+F8) oder nutzen Sie die Kontextmenüoption „Hier niemals anhalten“. Gesamtdauer der Umgehung: 2 Sekunden.

Konsolen-Hijacking

Der Code überschreibt console.log, console.warn, und console.error mit leeren Funktionen, um die Ausgabe zu unterdrücken. Das ist schon ironisch, wenn man bedenkt, dass der Entwickler über 30 Debug-Anweisungen hinterlassen hat, die durch diese Überschreibungen eigentlich verborgen werden sollen. Bypass: Speichern Sie vor dem Laden der Seite einen Verweis auf die ursprünglichen Konsolenmethoden oder nutzen Sie die native Konsolen-API des Browsers. Gesamtdauer der Umgehung: 5 Sekunden.

Amateurstunde

Die Kombination aus KI-generiertem Code, Debug-Anweisungen in der Produktionsumgebung, statischer XOR-Verschlüsselung und leicht zu umgehenden Anti-Analyse-Maßnahmen zeichnet ein klares Bild: Der Betreiber von TRXDrop ist kein erfahrener Entwickler. Es handelt sich um einen Betrüger, der ein „Drainer-Kit“ gekauft und ein LLM dazu veranlasst hat, dieses anzupassen. Die Gefahr liegt nicht in der Raffinesse – sondern in der Zugänglichkeit. Wenn die Einstiegshürde darin besteht, „eine Eingabeaufforderung tippen zu können“, wächst die Zahl der Betreiber exponentiell.

Dieses Muster lässt sich im gesamten „Drainer-as-a-Service“-Ökosystem beobachten. Die Entwickler der Kits (in diesem Fall Angel Drainer) verfügen über echte technische Kompetenz. Die Wiederverkäufer und Partner, die diese Kits einsetzen, tun dies oft nicht. Die Anti-Analyse-Schicht existiert nicht, weil die Betreiber sich mit Sicherheitsforschung auskennen – sie existiert, weil das Kit standardmäßig mit aktivierter Anti-Analyse-Schicht ausgeliefert wird.

Beweismittel und Quellenanalyse

Alle in dieser Untersuchung genannten Beweismittel werden im Repository „PhishDestroy ScamIntelLogs“ aufbewahrt. Jede Operation verfügt über ein eigenes Verzeichnis, das Konfigurationsdateien, Auszüge aus dem Quellcode, Domain-Listen, Wallet-Adressen und Telegram-Informationen enthält.

TRXDrop-Beweismaterial

15 Domains, Quellcode, XOR-Schlüssel, WalletConnect-ID, Telegram-Kanal des Betreibers, Wallet-Adresse.

Auf GitHub anzeigen

Beweismaterial zu NiceCrypto

Konfigurationsdateien, Zahlungsaufzeichnungen für Partner, Pläne zur Erweiterung auf mehrere Blockchains, Forenbeiträge.

Auf GitHub anzeigen

717Team Beweismittel

Mitgliederlisten, Wallet-Adressen, Domain-Infrastruktur, Informationen zu Administratoren, Zeitachse der Störungen.

Auf GitHub anzeigen

Verantwortungsbewusste Offenlegung

Alle in diesem Bericht veröffentlichten Wallet-Adressen, Domain-Listen und Betreiber-Identifikatoren wurden vor der Veröffentlichung an die zuständigen Blockchain-Sicherheitsteams und Domain-Registrare weitergeleitet. Die WalletConnect-Projekt-ID wurde zur Sperrung gemeldet. Falls Sie Infrastruktur betreiben, die von diesen IOCs betroffen ist, kontaktieren Sie uns bitte über @PhishDestroy_bot.

Schützen Sie Ihren Geldbeutel

„Drainer-as-a-Service“ breitet sich aus. Die Eintrittsbarriere besteht aus einer Telegram-Nachricht und ein paar hundert Dollar. Ihre Abwehr beginnt mit Wachsamkeit.

Unterschreiben Sie niemals blindlings

Wenn eine Website wiederholt Anmeldeaufforderungen anzeigt, schließen Sie sie sofort. Seriöse Airdrops erfordern niemals unbegrenzte Token-Genehmigungen.

Vor dem Anschließen überprüfen

Überprüfen Sie das Alter der Domain, verifizieren Sie die Informationen über die offiziellen Projektkanäle und verwenden Sie für die Inanspruchnahme von Airdrops ein Einweg-Wallet.

Verwenden Sie Hardware-Wallets

Bewahren Sie größere Bestände in Hardware-Wallets auf. Verbinden Sie Ihre Haupt-Wallet niemals mit nicht verifizierten Websites.

Bedrohungen melden

Haben Sie eine Website entdeckt, die Daten abgreift? Melden Sie sie an @PhishDestroy_bot oder Domains unter analysieren.destroy.tools.

Eine Domain melden Eine Domain analysieren

Diese Untersuchung teilen

X / Twitter Telegram Reddit LinkedIn

Verwandte Ermittlungen

BUYTRX entlarvt: 55 Domains & TRON-Approval-Drainer
UNTERSUCHUNG
BUYTRX entlarvt: 55 Domains & TRON-Approval-Drainer
Trust Wallet-Phishing-Panel: 239.000 Dollar gestohlen, 6 Betreiber
GRÜNDLICHE UNTERSUCHUNG
Trust Wallet-Phishing-Panel: 239.000 Dollar gestohlen, 6 Betreiber
Anatomie des Krypto-Phishings: 8 echte Seed-Phrase-Stealer im Rückentwicklungsverfahren analysiert
GRÜNDLICHE UNTERSUCHUNG
Anatomie des Krypto-Phishings: 8 echte Seed-Phrase-Stealer im Rückentwicklungsverfahren analysiert
Hinweis zur Transparenz. PhishDestroy ist ein nichtkommerzielles, unabhängiges Projekt. Unsere Recherchen spiegeln möglicherweise eine gewisse Voreingenommenheit gegenüber Betrugsinfrastrukturen und den Diensten wider, die diese ermöglichen. Wir empfehlen unseren Lesern, alle Inhalte kritisch und eigenständig zu bewerten. Lesen Sie unsere vollständige Transparenzerklärung →