Betrüger sind keine Hacker: 4 Backends unter der Lupe – alle leicht zu kompromittieren
Firebase · Supabase · Express.js · Drainer-as-a-Service · Februar 2026
Haftungsausschluss: Analyse, kein Angriff
Alles, was in diesem Artikel vorgestellt wird, ist das Ergebnis von passive Analyse und öffentlich zugängliche Daten. Es wurden keine Systeme gehackt. Es wurde keine Authentifizierung umgangen. In jedem Fall waren die Infrastruktur, die Opferdaten und die operativen Identitäten der Betrüger aufgrund ihrer eigenen Fehlkonfigurationen für jeden sichtbar, der nur einen Blick darauf warf. Jeder API-Schlüssel war in öffentlichen JavaScript-Bundles zu finden. Jede Datenbank stand aufgrund der eigenen Konfiguration der Betreiber weit offen. Wir dokumentieren dies nicht, um anzugreifen – sondern um zu zeigen, dass die Leute, die Ihre Kryptowährung stehlen können nicht einmal ihre eigenen Werkzeuge sicher aufbewahren.
Die Kernthese: Script-Kiddies mit gestohlenen Tools
In der öffentlichen Wahrnehmung hält sich hartnäckig das Klischee, dass Online-Betrüger „Hacker“ seien – technische Genies, die sich mit Geschick und Raffinesse Zugang zu Systemen verschaffen. Das ist falsch.
Moderne Krypto-Betrüger sind Script-Kiddies, die gekaufte Toolkits verwenden. Sie kaufen „Drainer-as-a-Service“-Pakete für 200 bis 500 Dollar, stellen sie auf kostenlosen oder günstigen Hosting-Servern bereit und hoffen, dass ihre Opfer nichts davon merken. Sie schreiben keinen Code. Sie verstehen nichts von Netzwerken. Und von Sicherheit haben sie erst recht keine Ahnung.
Wir wissen das, weil PhishDestroy im Februar 2026 analysiert hat, 4 voneinander unabhängige Betrugsmaschen — und in jedem einzelnen Fall hätten wir:
- 📖 Alle Daten der Opfer einlesen (Seed-Phrasen, E-Mail-Adressen, IP-Adressen, Wallet-Typen)
- ✏️ geändert oder gelöscht die Datenbank des Betrügers
- 🔍 Der Betreiber wurde identifiziert durch offengelegte API-Schlüssel, E-Mail-Adressen und Infrastruktur-Fingerabdrücke
- 🔄 Den Angriff auf den Betrüger nachgestellt — indem sie dieselben Sicherheitslücken ausnutzen, die sie offen gelassen haben
Keine Exploits nötig. Keine Zero-Day-Lücken. Kein „Hacking“. Einfach die Haustür öffnen, die sie unverschlossen gelassen hatten.
Fall 1: Die Phantom-API – server0002.mn19indexpre.xyz
Express.js auf Apache – so gut wie keine Sicherheit
| Parameter | Wert |
|---|---|
| Domain | server0002.mn19indexpre.xyz |
| IP-Adresse | 108.181.185.225 |
| Server-Stack | Apache/2.4.58 (Ubuntu) → Express.js (Node.js) |
| SSH Banner | SSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13.11 |
| TLS-Aussteller | Let's Encrypt (E7), gültig von Januar bis April 2026 |
| DNS-Registrar | GoDaddy (ns39/ns40.domaincontrol.com) |
| E-Mail (MX) | mn19indexpre-xyz.mail.protection.outlook.com |
| Microsoft-Mandant | NETORGFT19090185.onmicrosoft.com |
| Offene Ports | 22 (SSH), 80 (HTTP→301), 443 (HTTPS) |
„Authentifizierung“ – Ein Witz
Die API wird mit einem fest codierten Bearer-Token ausgeliefert: thisisakeyforsecureserver. Aber hier kommt der Clou – Das Token wird nicht wirklich verifiziert:
Validierung ohne Eingabe
Jede von uns getestete Injektions-Nutzlast wurde ohne Fehlermeldung akzeptiert:
Leistungs-Fingerabdruck
Die Antwortzeit bei POST-Anfragen liegt konstant bei etwa 7,5 Sekunden, unabhängig von der Größe der Nutzdaten (10 Byte bis 10 MB werden akzeptiert), was auf eine E-Mail-Weiterleitung oder ein Webhook-Relay im Backend hindeutet. GET-Anfragen werden in 0,6 Sekunden beantwortet. 10 parallele Anfragen werden in 9,1 Sekunden abgearbeitet – es wird keine Ratenbegrenzung angewendet.
Potenzial zur De-Anonymisierung
Microsoft 365-Mandanten-ID NETORGFT19090185 ist ein Direkter Link zum Organisationskonto der diese Domain registriert hat. In Verbindung mit den Registrierungsdaten von GoDaddy und einer dedizierten IP-Adresse (nicht hinter einem CDN) ist dieser Betreiber leicht zu identifizieren auf rechtlichem Wege. Der SPF-Eintrag (include:secureserver.net) bestätigt, dass beim E-Mail-Hosting von GoDaddy alle E-Mail-Metadaten auf gerichtliche Anordnung hin zugänglich sind.
Fall 2: Firebase weit offen — web3ledgar.com
Firestore ohne Sicherheitsregeln
| Parameter | Wert |
|---|---|
| Phishing-Domain | web3ledgar.com (Typosquat von „Ledger“) |
| Alternative Domain | web3.ledgerscore.ltd |
| Firebase-Projekt | web3ledger-210ab |
| API-Schlüssel | AIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8 |
| App-ID | 1:1054258933515:web:9fb193fcd0093023f7fc0e |
| JS-Paket | /static/js/main.7a5ec2fa.js |
| Firestore-Regeln | Völlig offen – Lese-/Schreibzugriff ohne Authentifizierung |
| Gesamtzahl der Opfer | 12 Datensätze in users Kollektion |
| Gefundene Sammlungen | users, transactions |
Opferdaten – für jedermann uneingeschränkt zugänglich
Eine einzelne, nicht authentifizierte GET-Anfrage an die Firestore-REST-API gab Folgendes zurück jede gestohlene Seed-Phrase:
Unter den 12 Datensätzen befand sich ein aufschlussreicher Eintrag – jemand hatte das System bereits getestet mit fbi@fbi.gov wie in der E-Mail. Der Betrüger hat entweder sein eigenes System getestet (nützlich zur Identifizierung) oder jemand anderes hatte es bereits auf Herz und Nieren geprüft.
Der Angriffsablauf
Die Phishing-Seite ahmt die Benutzeroberfläche der Ledger-Wallet nach. Das Opfer klickt auf „Wallet verbinden“ → gibt die Seed-Phrase ein → das React-Frontend schreibt direkt in Firestore → der Betrüger liest aus derselben offenen Datenbank aus. Überhaupt kein Backend-Server. Das gesamte System läuft über die kostenlose Version von Google.
Potenzial zur De-Anonymisierung
Firebase-Projekt-ID web3ledger-210ab und App-ID 1:1054258933515 sind mit einem Google-Konto verknüpft. Google speichert Abrechnungsdaten, IP-Protokolle und Daten zur Kontoeröffnung für alle Firebase-Projekte. Eine einzige Anfrage der Strafverfolgungsbehörden an Google reicht aus, um die Identität des Betreibers offenzulegen. Darüber hinaus bedeutet die Tatsache, dass die Firestore-Regeln völlig offen sind, wir hätten Datensätze in ihre Datenbank eintragen können, die Betroffenen in Echtzeit benachrichtigte oder die gesamte Sammlung löschte.
Fall 3: Supabase Full CRUD — web3safe-pal.com
Sicherheit auf Zeilenebene deaktiviert, GraphQL vollständig offen
| Parameter | Wert |
|---|---|
| Phishing-Domain | web3safe-pal.com (Typosquat von „SafePal“) |
| Supabase-Projekt | gzqsadraigchwdhblavp |
| Was ist der Schlüssel? | Enthüllt in /assets/index-b025f4a6.js (748 KB) |
| Datenbanktabelle | seeds — Lesen, Einfügen, Aktualisieren, Löschen |
| GraphQL | Vollständige Introspektion + Mutationen aktiviert |
| Edge-Funktionen | send-wallet-import-email, send-email |
| E-Mail-Dienst | API erneut senden (RESEND_API_KEY in der Umgebungsvariablen) |
| Opferdaten | IDs 130–131 (129 zuvor gelöscht) |
| Sprache der Benutzeroberfläche | Deutsch („Haupt-Wallet“, „Ihr Wallet wird geladen...“) |
Vollständiger Datenbankzugriff – Lesen, Schreiben, Löschen
Der Supabase-Anon-Schlüssel, der sich im minimierten JavaScript-Bundle befindet, gewährt vollständiger CRUD-Zugriff an die seeds Tabelle:
Die IDs beginnen bei 130 — das heißt, die Datensätze 1–129 wurden zuvor vom Betreiber gelöscht. Mindestens 131 Seed-Phrasen sind durch dieses System gelaufen.
Edge-Funktionen: Die E-Mail-Historie
Zwei Supabase-Edge-Funktionen sind aktiv. Wir haben die send-email das erwartete Eingabeformat der Funktion durch Testen von Payloads:
Der API-Schlüssel für die erneute Übermittlung (RESEND_API_KEY) wird in den Supabase-Umgebungsvariablen gespeichert. Resend verwaltet die Absenderüberprüfungsdaten und Abrechnungsdaten — ein weiterer direkter Weg zur Identität des Betreibers.
Potenzial zur De-Anonymisierung
Die russische Lokalisierung der Benutzeroberfläche („Haupt-Wallet“, „Ihr Wallet wird geladen...“) deutet auf eine russischsprachiger Mitarbeiter. Das Supabase-Projekt (gzqsadraigchwdhblavp) ist mit einem Konto verknüpft, das Abrechnungsdaten enthält. Der Dienst „E-Mail erneut senden“ verfügt über die E-Mail-Adresse des Empfängers. Die GraphQL-Introspection gibt Einblick in das vollständige Datenbankschema. Wir haben den vollständigen Schreibzugriff demonstriert — wir hätten jede gestohlene Seed-Phrase durch eine Warnmeldung an die Betroffenen ersetzen könnenoder die gesamte Tabelle gelöscht. Der Bediener hätte keine Möglichkeit, die Daten wiederherzustellen.
Fall 4: Entwässerungsanlage im industriellen Maßstab — aipolypredictor.xyz
19.000 Seed-Phrasen in 5,8 Tagen
| Parameter | Wert |
|---|---|
| Frontend Domain | aipolypredictor.xyz („PolySniper | Insider-Wetten von Frontrun“) |
| C2-API | api.yfhikblkhghdyteiuyf54.run |
| C2-IPs | 172.67.168.147, 104.21.26.231 (Cloudflare) |
| Backend | Express.js (Node.js) v1.0.0 |
| Anmelden (Frontend) | NiceNIC International Group Co. |
| Registrieren (C2) | PDR Ltd. (PublicDomainRegistry.com) |
| Verfügbarkeit | ~139 Stunden (Beginn: ~10.02.2026, 21:00 Uhr UTC) |
| CDN-Drainage-Set | renderer-postcard.defex.cc (601 KB verschleiertes JS) |
| Telegram-Bot | Aktiv, für Benachrichtigungen integriert |
| Ratenbegrenzung | 10 Anfragen/60 Sekunden (einzige festgestellte Begrenzung) |
Skalierung anhand fortlaufender IDs
Der schwerwiegendste Fehler: fortlaufende Auftrags-IDs. Bei jeder Übermittlung einer Seed-Phrase wird eine fortlaufende ID zurückgegeben, sodass jeder das Gesamtvolumen berechnen kann:
Multi-Chain-Architektur
Der C2-Server leitet Schlüssel über alle wichtigen Blockchains hinweg unter Verwendung von Ableitungspfaden der Tiefe 100 ab:
Kampagneninfrastruktur
11 bestätigte Domains bei zwei Betreibergruppen, die anhand von Bundle-IDs nachverfolgt werden:
| Bundle-ID | Domains | Status |
|---|---|---|
88ef78f5... | Aipolypredictor.xyz | LIVE |
4446ea5d... | solana.onspace.app, solxjup.onspace.app | LIVE |
| defex.cc-Bausatz | jup-v2.com, events-charizard.fun, events-llquid.fun, events-blackswan.fun, soljup.onspace.build | Gemischt |
Analyse von JavaScript-Payloads
Dem Drainer werden drei verschleierte JS-Payloads bereitgestellt:
- wallet-connect.js (46 KB) – Verwaltet die Benutzeroberfläche für die Wallet-Verbindung und fängt die Eingabe des Seeds ab. Verschleierung durch Rotation von Zeichenfolgen-Arrays.
- wallet-specific-modals.js (134 KB) – Enthält Vollständige englische BIP39-Wortliste und Monero-Wortliste (1.626 Wörter). Anti-Debugging durch Überschreiben von `console.log` und `trace`. Unterstützung für Multi-Wallet-Modale.
- defex.cc/index.js (601 KB) – Unicode-verschleiert mit chinesischen Variablennamen. Solana-spezifische Drainer-Logik. Base58-Encoder, Primitive zur Ableitung von Kryptoschlüsseln. Version 3.0.0.
Potenzial zur De-Anonymisierung
Die CORS: * Header und fehlende Authentifizierungsmöglichkeiten Jeder kann Anfragen einreichen und die Erhöhung der Auftrags-IDs verfolgen in Echtzeit. Durch die Integration des Telegram-Bots erhält das Telegram-Konto des Betreibers Benachrichtigungen – und die Metadaten von Telegram können gerichtlich angefordert werden. NiceNIC (Registrar für das Frontend) ist ein bekannter „bulletproof“ Registrar, den wir bereits untersucht, aber PDR Ltd. (Registrar für C2-Domains) kommt den Anfragen der Strafverfolgungsbehörden nach. Die defex.cc Das Drainer-Kit bedient mehr als 255 Domains – eine Kompromittierung von defex.cc würde den gesamten DaaS-Betrieb und alle seine Kunden gefährden.
Im Vergleich: 4 Vorgänge, dasselbe Muster
| Metrisch | mn19indexpre Express.js |
web3ledgar Firebase |
Web3SafePal Supabase |
aipolypredictor Drainer C2 |
|---|---|---|---|---|
| Authentifizierung | Keine (Token wird ignoriert) | Keine | Anonyme Schlüssel in JavaScript | Keine (CORS: *) |
| Daten lesbar | Nachrichten/Weiterleitung | Alle Seed-Phrasen | Alle Seed-Phrasen | Auftrags-IDs / Skalierung |
| Daten beschreibbar | Ja (unbegrenzt) | Ja | Ja (vollständiger CRUD) | Ja (Absenden) |
| Eingabevalidierung | Null | Null | Null | Mindestens |
| Ratenbegrenzung | Keine | Keine | Keine | 10 Wiederholungen/60 Sekunden |
| Entanonymisierbar | MS365-Mandant | Google-Konto | Erneut senden + Supabase-Abrechnung | PDR + Telegram |
| Geschätzte Opferzahl | Unbekannt | 12 | 131+ | über 19.000 |
| Bedienersprache | Unbekannt | Deutsch | Russisch | Unbekannt |
Warum Betrüger keine Hacker sind
Die Beweislage ist erdrückend. Bei allen vier Einsätzen lässt sich dasselbe Muster beobachten:
- Fertige Abtropfgestelle kaufen (200–500 $)
- Auf kostenlosen Tarifen bereitstellen (Firebase, Supabase)
- Die Standardkonfigurationen unverändert lassen
- Verwende fest codierte Tokens, die nicht überprüft werden
- Aktivieren Sie niemals RLS, schränken Sie CORS niemals ein
- ihre eigene Identität in Metadaten offenlegen
- Verwende fortlaufende IDs, die ihren Umfang erkennen lassen
- Eigene Exfiltrations-Tools erstellen
- Verwenden Sie verschlüsselte, authentifizierte Kanäle
- Identifikatoren zufällig generieren, Infrastruktur rotieren
- Eine angemessene Zugriffskontrolle einrichten
- Tor/Proxy-Ketten verwenden, anonyme Zahlungen
- Trenne die operative Identität vom Hosting
- Anti-Forensik-Techniken implementieren
Der durchschnittliche Kunde von „Drainer-as-a-Service“ ist ein Sozialingenieur mit Kreditkarte, kein technischer Experte. Sie wissen, wie man eine Domain registriert und Code in ein Hosting-Panel einfügt. Sie wissen jedoch nicht, wie man:
- Konfigurieren Sie die Firestore-Sicherheitsregeln (dauert etwa 2 Minuten)
- Supabase-Sicherheit auf Zeilenebene aktivieren (dauert ca. 5 Minuten)
- Eingaben validieren und bereinigen (dürfte 30 Minuten dauern)
- Verwende UUIDs anstelle von fortlaufenden Ganzzahlen (das würde nur eine Zeile Code erfordern)
- CORS auf die eigenen Domänen beschränken (das würde nur eine Zeile in der Konfiguration erfordern)
Das sind keine raffinierten Gegner. Das sind Leute, die keine Datenbank einrichten können.
Indikatoren für eine Kompromittierung (IOCs)
Domains
IP-Adressen
API-Schlüssel und Projekt-IDs
Fazit: Der Kaiser hat keine Kleider
Das Fazit
Jede von uns analysierte Betrugsmasche könnte vollständig kompromittiert, entanonymisiert und lahmgelegt und nutzten dabei lediglich einen Webbrowser, Curl und öffentlich zugängliche Dokumentationen. In jedem Fall ließen die Angreifer ihre Datenbanken ungeschützt, hinterließen ihre API-Schlüssel in öffentlichen JavaScript-Dateien, gaben ihre Identitäten in Metadaten preis und machten die Daten ihrer Opfer für jeden zugänglich, der sich die Mühe machte, danach zu suchen.
Die Lektion ist einfach: Betrüger sind keine Hacker. Es handelt sich um Ladendiebe, die sich bei AliExpress ein Dietrich-Set gekauft und vergessen haben, ihre eigene Haustür abzuschließen. Die von ihnen verwendeten Werkzeuge sind hochentwickelt – weil sie von jemand anderem hergestellt wurden. Die Betreiber selbst sind Amateure, die ihre eigene Infrastruktur, die Daten ihrer Opfer und ihre eigene Identität zuverlässig jedem offenlegen, der über grundlegende technische Kenntnisse verfügt.
Falls Sie Ihre Seed-Phrase auf einer dieser Websites eingegeben haben, gehen Sie davon aus, dass Ihre Wallet kompromittiert wurde, und überweisen Sie das Guthaben umgehend.
Alle Erkenntnisse wurden den zuständigen Dienstleistern (Google/Firebase, Supabase, Cloudflare, Domain-Registrare) gemeldet und für die Strafverfolgungsbehörden dokumentiert. Die oben genannten IOCs wurden in die PhishDestroy-Löschliste.
