Crypto Drainer Toolkit: Ein Blick hinter die Kulissen der „Angel Drainer“-Wiederverkäufer, die es auf Ihre Geldbörse abgesehen haben
Drei „Drainer-as-a-Service“-Operationen auf Code-Ebene unter die Lupe genommen. KI-generierte Phishing-Kits, in denen Debug-Anweisungen noch immer vorhanden sind. Ein Affiliate-Modell mit 80 % Provision, das die rasante Expansion vorantreibt. Und ein archiviertes Netzwerk, das beweist, dass koordinierte Störmaßnahmen funktionieren. Das ist die Infrastruktur hinter der nächsten Wallet, mit der Sie sich beinahe verbunden hätten.
~10 Minuten Lesezeit· Aktualisiert März 2026· PhishDestroy Intelligence
Die 9-stufige Angriffskette: Vom gefälschten Airdrop bis zur leeren Wallet
Jeder Krypto-Drainer folgt einem vorhersehbaren Ablauf. Was „Drainer-as-a-Service“-Operationen so gefährlich macht, ist nicht die Innovation – es ist das Ausmaß. Dieselbe Angriffskette wird auf Dutzende von Domains repliziert, von denen jede eine neue Falle für ahnungslose Opfer darstellt. Hier ist der genaue Ablauf, Schritt für Schritt, aus dem Quellcode von TRXDrop extrahiert.
Vollständiger Ablauf des Drainer-Angriffs
Diese 9-stufige Kette wurde anhand des dekompilierten TRXDrop-Quellcodes rekonstruiert. Jeder Schritt ist im ScamIntelLogs-Repository mit entsprechenden Code-Verweisen dokumentiert.
Eine 9-stufige Kette von Krypto-Phishing-Angriffen – von gefälschten Airdrop-Anzeigen über die Plünderung von Wallets bis hin zur Geldwäsche.
1
Gefälschte Airdrop-Anzeige Das Opfer sieht einen gesponserten Beitrag oder eine Telegram-Nachricht, in der für einen TRX/SOL-Airdrop geworben wird. Beispiele für Domains: trx-drop.com, tronrefund.com, trxairdrop.io.
2
Landingpage Die professionell gestaltete Seite ahmt einen echten Airdrop der TRON Foundation nach. Countdown-Timer und gefälschte Zählerstände erzeugen ein Gefühl der Dringlichkeit.
3
WalletConnect-Aufforderung Die Website initiiert WalletConnect unter Verwendung einer gestohlenen Projekt-ID fbf5b42d9006502246e73447f5d50e33. Das Opfer verbindet seine Wallet, da es glaubt, dies sei für die Auszahlung erforderlich.
4
Berechtigungsanfrage Drainer fordert weitreichende Token-Berechtigungen an. Die Aufforderung zur Signatur ist bewusst vage gehalten, um zu verschleiern, was genau genehmigt wird.
5
Genehmigung des Tokens Das Opfer unterzeichnet eine approve() Transaktion, die dem Drainer-Vertrag uneingeschränkte Ausgabenbefugnis für bestimmte Token gewährt.
6
setApprovalForAll Eine zweite Transaktion ruft setApprovalForAll(), wodurch der Angreifer die Kontrolle über NFTs und alle Token-Typen in der Wallet erhält.
7
Übertragungs-Token Sofortiger Auftrag für einen Klempner transferFrom() um alle genehmigten Token in die Sammel-Wallet des Angreifers zu verschieben.
8
Geldbeutel leeren Native Chain-Token (TRX, SOL) werden zuletzt übertragen. Die Wallet wird vollständig geleert. Lehnt das Opfer ab, versucht der Drainer es erneut bis zu 50 Mal bevor die Flucht zugelassen wird.
9
Geld an den Betreiber Die gestohlenen Gelder werden an die Wallet des Betreibers weitergeleitet. TRXDrop erhebt eine Provision von 30 TRX pro Abzug. Der Rest geht an den Partner, der die Phishing-Seite eingerichtet hat.
50 erzwungene Wiederholungsversuche
Wenn ein Opfer bei der Signaufforderung auf „Ablehnen“ klickt, löst der TRXDrop-Code die Anfrage sofort erneut aus. Diese Schleife wiederholt sich 50 Mal bevor das Opfer das Modalfenster schließen darf. Die meisten Nutzer geben nach drei bis fünf Versuchen auf und melden sich an, da sie glauben, die Website weise einen Fehler auf und sei nicht böswillig. Dies ist kein Fehler. Es ist beabsichtigt.
TRXDrop im Detail: KI-generierter Code mit über 30 Debug-Anweisungen im Produktivbetrieb
TRXDrop-API ohne Authentifizierung zugänglich – jeder, der die URL kennt, kann Wallet-Protokolle, Zahlungsdaten und Betreiber-IDs einsehen.
TRXDrop ist ein Reseller von „Angel Drainer“, der es auf TRON- und Solana-Wallets abgesehen hat. Was diese Operation auszeichnet, ist nicht ihre Raffinesse – ganz im Gegenteil. Der Quellcode weist unverkennbare Merkmale einer KI-gestützten Entwicklung auf: sich wiederholende Strukturen, ausführliche Kommentare und, was am aussagekräftigsten ist, über 30 console.log Debug-Anweisungen, die im Produktionscode verblieben sind.
Das sind nicht die Merkmale eines erfahrenen Entwicklers. Es sind die Merkmale von jemandem, der ein LLM dazu veranlasst hat, einen Drainer zu schreiben, und die Ausgabe ohne Überprüfung bereitgestellt hat.
Markierungen für KI-generierten Code
Der TRXDrop-Quellcode umfasst mehr als 30 console.log Debug-Anweisungen in der Produktionsversion. Meldungen wie console.log("Attempting wallet connection...") und console.log("Approval transaction sent") sind überall zu finden. Kein professioneller Entwickler – und kein erfahrener Krimineller – würde Debug-Protokolle in die Produktionsumgebung übernehmen. Dies ist eine unbearbeitete LLM-Ausgabe, die unverändert bereitgestellt wurde.
XOR-Verschlüsselungsschlüssel
Die gesamte Kommunikation zwischen dem Drainer-Frontend und dem Backend-Panel wird mit einem fest codierten XOR-Schlüssel verschlüsselt: TRX_SECURE_2024_PANEL_KEY. Eine XOR-Verschlüsselung mit einem statischen Schlüssel ist leicht rückgängig zu machen – ein weiteres Anzeichen für „Copy-and-Paste“-Entwicklung.
Crypto-Drainer-Admin-Panel v1.2 zeigt 1.337 Opfer, 12.450 $ an gestohlenen Geldern, verbundene Wallets und ein Echtzeit-Abflussprotokoll – ENTHÜLLT
Missbrauch von WalletConnect
WalletConnect-Projekt-ID fbf5b42d9006502246e73447f5d50e33 ist in allen über 15 Domänen eingebettet. Eine einzige Sperrung dieser Projekt-ID würde die Wallet-Konnektivität im gesamten TRXDrop-Netzwerk gleichzeitig unterbrechen.
50 erzwungene Wiederholungsversuche
Die Signaturabfrage wird 50 Mal wiederholt, bevor dem Opfer das Beenden der Seite gestattet wird. Diese psychologische Drucktaktik ist fest programmiert und kann von den Partnern nicht konfiguriert werden – sie ist ein Kernmerkmal des „Angel Drainer“-Kits.
30 TRX Provision
Bei jedem erfolgreichen Abzug wird eine Provision in Höhe von 30 TRX an die Wallet des Betreibers überwiesen. Bei den aktuellen Kursen entspricht dies etwa 7 bis 8 US-Dollar pro Opfer – eine geringe Marge, die darauf hindeutet, dass der Betrieb eher auf Volumen als auf Wert setzt.
Provisionsablauf bei „Drainer-as-a-Service“: 80 % für den Partnerbetreiber, 20 % Entwicklergebühr – vom Wallet des Opfers über einen Smart Contract bis hin zur Geldwäsche.
NiceCrypto basiert auf einem einfachen Prinzip: Bietet man den Partnern die höchsten Provisionen auf dem Drainer-Markt, werden sie die Opfer anwerben. Mit einer Provision von 80 % bietet NiceCrypto die großzügigste Partnervergütung, die wir bei einem „Drainer-as-a-Service“-Anbieter je dokumentiert haben. Der Betreiber behält lediglich 20 % – eine hauchdünne Marge, die sich nur bei großem Umfang rentiert.
Die Rechnung ist einfach. Wenn ein Partner eine Wallet mit Token im Wert von 1.000 $ leert, behält er 800 $. NiceCrypto erhält 200 $. Bei dokumentierten Partnerzahlungen in Höhe von über 8.454 $ hat das Unternehmen mindestens 42.270 $ an gestohlenen Geldern abgewickelt – und diese Zahl umfasst nur die Zahlungen, die wir direkt in der Blockchain nachverfolgen können.
Umsatzmodell: 80/20-Aufteilung
8.454 $ und mehr Der in den dokumentierten Zahlungen an Partner ausgewiesene Betrag stellt die Untergrenze dar, nicht die Obergrenze. Bei einer Partnerprovision von 80 % übersteigt der Gesamtbetrag der von NiceCrypto abgewickelten gestohlenen Gelder 42.000 Dollar Mindestens. Die tatsächliche Zahl dürfte deutlich höher liegen, da nicht alle Transaktionen in unserem Erfassungszeitraum erfasst werden.
Erweiterung auf mehrere Blockchains
NiceCrypto startete auf TRON, doch aus der Infrastruktur wiederhergestellte Konfigurationsdateien lassen eine aktive Expansion auf Salzsee, EVM-kompatible Blockchains (Ethereum, BSC, Polygon) sowie Ton. Vier Blockchain-Ökosysteme unter einem Dach.
Präsenz im Forum
NiceCrypto wirbt Partner über wwh2club.to, ein bekanntes Forum für Cyberkriminalität. Ihr Telegram-Bot @NCsetup_bot kümmert sich um die Einarbeitung – neue Partner erhalten innerhalb weniger Minuten nach der Kontaktaufnahme ein vorgefertigtes Starterpaket.
WasabiSquad-Verbindung
Die Domain der Website von NiceCrypto wasabihub.one wirft Fragen hinsichtlich eines möglichen Zusammenhangs mit der Operation „WasabiSquad“ auf. Ob es sich dabei um eine gemeinsame Infrastruktur, eine Umfirmierung oder einen Zufall handelt, muss noch genauer untersucht werden.
Telegram-Automatisierung
Bot @NCsetup_bot automatisiert das Partnermanagement: Bereitstellung von Drainer-Kits, Provisionsverfolgung und Auszahlung der Provisionen. Der Betreiber muss nur selten direkt mit den Partnern interagieren.
NiceCrypto-IOCs
Telegram-Bot:@NCsetup_bot Website:wasabihub.one Forum:wwh2club.to Partnerprovision: 80 % Dokumentierte Auszahlungen: 8.454 $ und mehr Ketten: TRON (aktiv), Solana (im Aufbau), EVM (im Aufbau), TON (im Aufbau)
80 % gehen an die Partner. Wir behalten 20 %. Sie sorgen für die Besucher, wir kümmern uns um den Code. Die Einrichtung dauert 5 Minuten.
-- NiceCrypto-Werbung auf wwh2club.to
717Team: Archiviert = Disruption Works
Das 717Team ist der Beweis dafür, dass solche Betrugsmaschen gestoppt werden können. Mit 125 Mitgliedern und 85 nachverfolgten Wallets war das 717Team eine mittelgroße Betrugsgruppe, die mehr als 12 Phishing-Domains betrieb. Der bestätigte Gesamtbetrug in Höhe von 2.946,25 $ mag im Vergleich zu größeren Betrugsmaschen bescheiden erscheinen, doch entscheidend ist das Ergebnis: archiviert.
In unserem Überwachungssystem bedeutet „archiviert“, dass der Betrieb so stark gestört wurde, dass er eingestellt wurde. Die Domains wurden gesperrt. Die Infrastruktur wurde zerstört. Der Administrator wurde entlarvt. Das 717Team hat seinen Betrieb nicht freiwillig eingestellt. Es wurde durch koordinierte Meldungen, die Sperrung von Domains und den Austausch von Informationen mit Partnern im Bereich Blockchain-Sicherheit stillgelegt.
Störung bestätigt
Den Status „ARCHIVIERT“ von 717Team vergeben wir nicht leichtfertig. Er steht für anhaltende Störungen auf mehreren Ebenen: Sperrung von Domains, Meldungen an Hosting-Anbieter, Sperrung von Wallets und Aufdeckung der Identität der Administratoren. Die Kosten für die Fortführung des Betriebs überstiegen die Einnahmen. So sieht eine erfolgreiche Störung aus.
Admin: @imdebank
Telegram-Admin-Kanal @imdebank (Benutzername: 7149807602) wurde mit RublevkaTeam, ein eigenständiges russischsprachiges Betrugsnetzwerk, das bereits in unserer TON-Untersuchung dokumentiert wurde. Die gemeinsame Nutzung von Administratoren zwischen verschiedenen Operationen ist ein wiederkehrendes Muster.
Netzwerkgröße
125 Mitglieder in Telegram-Gruppen verfolgt. 85 Geldbörsen die durch eine On-Chain-Analyse ermittelt wurden. 2.946,25 $ Bestätigt: leer. 717Team rekrutiert über lolz.live, ein russischsprachiges Forum für Cyberkriminalität.
Domäneninfrastruktur
12+ Domains, darunter checkscore.cc, cryptomus-payment.com, check-score.ru, und andere. Es wurden mehrere Domain-Registrare eingesetzt, um koordinierten Abschaltungen entgegenzuwirken.
Bot-Betrieb
Telegram-Bot @team717_bot war für die Koordination der Partner, die Nachverfolgung der Opfer und die Auszahlung der Gelder zuständig. Der Bot wurde im Rahmen der Maßnahmen zur Unterbindung deaktiviert.
TRXDrop setzt zwei Anti-Analyse-Techniken ein, die zum Standardrepertoire von Drainer-Toolkits gehören. Beide sind darauf ausgelegt, eine oberflächliche Überprüfung zu erschweren. Für einen erfahrenen Analysten stellen sie jedoch kein nennenswertes Hindernis dar.
Debugger-Fallen
A setInterval Die Schleife wird alle 1.000 Millisekunden ausgelöst und führt eine debugger Anweisung. Wenn DevTools geöffnet ist, wird die Ausführung dadurch ständig unterbrochen, sodass es so aussieht, als ob die Seite eingefroren wäre. Umgehung: Haltepunkte in DevTools deaktivieren (Ctrl+F8) oder nutzen Sie die Kontextmenüoption „Hier niemals anhalten“. Gesamtdauer der Überspringung: 2 Sekunden.
Konsolen-Hijacking
Der Code überschreibt console.log, console.warnund console.error mit leeren Funktionen, um die Ausgabe zu unterdrücken. Ironisch, wenn man bedenkt, dass der Entwickler über 30 Debug-Anweisungen hinterlassen hat, die durch diese Überschreibungen eigentlich verborgen werden sollten. Umgehung: Speichern Sie vor dem Laden der Seite einen Verweis auf die ursprünglichen Konsolenmethoden oder nutzen Sie die native Konsolen-API des Browsers. Gesamtdauer des Bypasses: 5 Sekunden.
Amateurstunde
Die Kombination aus KI-generiertem Code, Debug-Anweisungen in der Produktionsumgebung, statischer XOR-Verschlüsselung und leicht zu umgehenden Anti-Analyse-Maßnahmen zeichnet ein klares Bild: Der Betreiber von TRXDrop ist kein erfahrener Entwickler. Es handelt sich um einen Betrüger, der ein Drainer-Kit gekauft und ein LLM dazu veranlasst hat, dieses anzupassen. Die Gefahr liegt nicht in der Raffinesse – sondern in der Zugänglichkeit. Wenn die Einstiegshürde darin besteht, „eine Eingabeaufforderung tippen zu können“, wächst die Zahl der Betreiber exponentiell.
Dieses Muster zieht sich durch das gesamte „Drainer-as-a-Service“-Ökosystem. Die Entwickler der Kits (in diesem Fall Angel Drainer) verfügen über echte technische Kompetenz. Die Wiederverkäufer und Partner, die diese Kits einsetzen, tun dies oft nicht. Die Anti-Analyse-Schicht existiert nicht, weil die Betreiber sich mit Sicherheitsforschung auskennen – sie existiert, weil das Kit standardmäßig mit dieser Funktion ausgeliefert wird.
Beweismittel und Quellenanalyse
Alle in dieser Untersuchung genannten Beweismittel sind im Repository „PhishDestroy ScamIntelLogs“ gespeichert. Jede Operation verfügt über ein eigenes Verzeichnis, das Konfigurationsdateien, Auszüge aus dem Quellcode, Domain-Listen, Wallet-Adressen und Telegram-Informationen enthält.
TRXDrop-Nachweis
15 Domains, Quellcode, XOR-Schlüssel, WalletConnect-ID, Telegram-Kanal des Betreibers, Wallet-Adresse.
Alle in diesem Bericht veröffentlichten Wallet-Adressen, Domain-Listen und Betreiber-Identifikatoren wurden vor der Veröffentlichung an die zuständigen Blockchain-Sicherheitsteams und Domain-Registrare weitergeleitet. Die WalletConnect-Projekt-ID wurde zur Sperrung gemeldet. Wenn Sie Infrastruktur betreiben, die von diesen IOCs betroffen ist, kontaktieren Sie uns bitte über @PhishDestroy_bot.
Schützen Sie Ihren Geldbeutel
„Drainer-as-a-Service“ breitet sich aus. Die Einstiegshürde besteht aus einer Telegram-Nachricht und ein paar hundert Dollar. Ihre Verteidigung beginnt mit Wachsamkeit.
Unterschreiben Sie niemals blind
Sollte eine Website wiederholt die Eingabe Ihrer Anmeldedaten verlangen, schließen Sie sie sofort. Seriöse Airdrops erfordern niemals die unbegrenzte Freigabe von Token.
Vor dem Anschließen überprüfen
Überprüfen Sie das Alter der Domain, vergewissern Sie sich über die offiziellen Projektkanäle und verwenden Sie für die Einlösung von Airdrops eine Einweg-Wallet.
Verwenden Sie Hardware-Wallets
Bewahren Sie größere Beträge in Hardware-Wallets auf. Verbinden Sie Ihre Haupt-Wallet niemals mit nicht verifizierten Websites.
Hinweis zur Transparenz. PhishDestroy ist ein nichtkommerzielles, von Freiwilligen getragenes Projekt. Unsere Untersuchungen spiegeln möglicherweise eine gewisse Voreingenommenheit gegenüber Betrugsinfrastrukturen und den Diensten wider, die diese ermöglichen. Wir empfehlen unseren Lesern, alle Informationen kritisch und unabhängig zu bewerten. Lesen Sie unsere vollständige Transparenzerklärung →
