Kit de herramientas «Crypto Drainer»: lo que hay detrás de los revendedores de «Angel Drainer» que tienen en el punto de mira tu monedero
Tres operaciones de «drainer-as-a-service» analizadas a nivel de código. Kits de phishing generados por IA que siguen en producción con mensajes de depuración. Un modelo de afiliados con una comisión del 80 % que impulsa una rápida expansión. Y una red archivada que demuestra que las acciones coordinadas de desestabilización funcionan. Esta es la infraestructura que hay detrás de la próxima cartera a la que casi te conectaste.
~10 min de lectura· Actualizado Marzo de 2026· PhishDestroy Intelligence
3 redes de drenaje activas Más de 15 dominios de phishing 80 % de comisión de afiliación 1 Red archivada
0
Dominios de phishing
0
Operaciones del escurridor
0
Miembros registrados
0
Carteras identificadas
0
Reintentos forzados de firma
0
% de comisión de afiliación
La cadena de ataque en 9 pasos: del falso airdrop al monedero vacío
Todos los ataques de drenaje de criptomonedas siguen una secuencia predecible. Lo que hace peligrosas las operaciones de «drenaje como servicio» no es la innovación, sino su magnitud. La misma cadena de ataque se replica en docenas de dominios, cada uno de los cuales constituye una nueva trampa para víctimas desprevenidas. A continuación se detalla, paso a paso, la secuencia exacta extraída del código fuente de TRXDrop.
Flujo completo del ataque de desagüe
Esta cadena de 9 pasos se ha reconstruido a partir del código fuente descompilado de TRXDrop. Cada paso está documentado con las referencias de código correspondientes en el repositorio ScamIntelLogs.
Cadena de ataque de phishing en el ámbito de las criptomonedas en 9 pasos: desde un anuncio falso de airdrop hasta el vaciamiento de carteras y el blanqueo de fondos.
1
Anuncio falso de airdrop La víctima ve una publicación promocionada o un mensaje de Telegram en el que se anuncia un airdrop de TRX/SOL. Ejemplos de dominios: trx-drop.com, tronrefund.com, trxairdrop.io.
2
Página de destino La página, de aspecto profesional, imita un airdrop legítimo de la Fundación TRON. Los temporizadores de cuenta atrás y los contadores de reclamaciones falsos crean una sensación de urgencia.
3
Mensaje de WalletConnect El sitio inicia WalletConnect utilizando un ID de proyecto robado fbf5b42d9006502246e73447f5d50e33. La víctima vincula su monedero creyendo que es necesario para cobrar la indemnización.
4
Solicitud de permiso Drainer solicita amplios permisos para el token. El mensaje de solicitud de firma es intencionadamente impreciso para ocultar lo que se está aprobando.
5
Aprobación de tokens La víctima firma un approve() transacción que otorga al contratista del drenaje autoridad ilimitada para gastar en tokens específicos.
6
setApprovalForAll Una segunda transacción llama setApprovalForAll(), lo que permite al atacante tomar el control de los NFT y de todos los tipos de tokens del monedero.
7
Fichas de transferencia Llamadas inmediatas para contratos de desagües transferFrom() para transferir todos los tokens aprobados a la cartera de la colección del atacante.
8
Cartera Drain Los tokens de la cadena nativa (TRX, SOL) se transfieren en último lugar. El monedero se vacía por completo. Si la víctima rechaza la operación, el estafador vuelve a intentarlo hasta 50 veces antes de permitir la fuga.
9
Fondos para el operador Los fondos sustraídos se transfieren al monedero del operador. TRXDrop cobra una comisión de 30 TRX por cada transferencia. El resto se destina al afiliado que ha creado la página de phishing.
50 reintentos forzados
Si la víctima hace clic en «Rechazar» en la ventana de firma, el código de TRXDrop vuelve a activar inmediatamente la solicitud. Este bucle se repite 50 veces antes de que se permita a la víctima cerrar la ventana modal. La mayoría de los usuarios se rinden y firman tras 3-5 intentos, creyendo que se trata de un fallo técnico del sitio web y no de una acción maliciosa. No se trata de un error. Es a propósito.
Análisis en profundidad de TRXDrop: código generado por IA con más de 30 instrucciones de depuración en producción
La API de TRXDrop está expuesta sin autenticación: cualquiera que disponga de la URL puede consultar los registros de los monederos, los datos de pago y los ID de los operadores.
TRXDrop es un distribuidor de Angel Drainer que tiene como objetivo las carteras de TRON y Solana. Lo que distingue a esta operación no es su sofisticación, sino todo lo contrario. El código fuente revela indicios inequívocos de un desarrollo asistido por IA: estructura repetitiva, comentarios prolijos y, lo que es más revelador, más de 30 console.log instrucciones de depuración que se han dejado en el código de producción.
Estas no son las huellas de un desarrollador con experiencia. Son las huellas de alguien que pidió a un modelo de lenguaje grande (LLM) que escribiera un programa de drenaje y lo implementó sin revisarlo.
Marcadores de código generado por IA
El código fuente de TRXDrop contiene más de 30 console.log instrucciones de depuración en la versión de producción. Mensajes como console.log("Attempting wallet connection...") y console.log("Approval transaction sent") aparecen por todas partes. Ningún desarrollador profesional —ni ningún delincuente con experiencia— envía registros de depuración al entorno de producción. Se trata de una salida sin procesar del modelo de lenguaje grande (LLM), implementada tal cual.
Clave de cifrado XOR
Todas las comunicaciones entre la interfaz de usuario de Drainer y el panel de administración se cifran con una clave XOR predefinida: TRX_SECURE_2024_PANEL_KEY. El XOR con una clave estática es fácilmente reversible, lo que constituye otro indicio de un desarrollo basado en copiar y pegar.
Panel de administración de Crypto Drainer v1.2: muestra 1.337 víctimas, 12.450 dólares robados, carteras conectadas y un registro de robos en tiempo real - AL DESCUBIERTO
Uso indebido de WalletConnect
ID del proyecto WalletConnect fbf5b42d9006502246e73447f5d50e33 está integrado en los más de 15 dominios. Una sola revocación de este identificador de proyecto desactivaría simultáneamente la conectividad de los monederos en toda la red TRXDrop.
50 reintentos forzados
El bucle de solicitud de firma realiza 50 intentos antes de permitir que la víctima salga. Esta táctica de presión psicológica está programada de forma fija y no puede ser configurada por los afiliados; se trata de una característica fundamental del kit Angel Drainer.
30 % de comisión
Cada drenaje que se lleva a cabo con éxito genera una comisión de 30 TRX que se envía al monedero del operador. A los tipos de cambio actuales, esto supone aproximadamente entre 7 y 8 dólares estadounidenses por víctima, un margen reducido que sugiere que la operación se basa más en el volumen que en el valor.
Inteligencia operativa
Telegram:@STNlRAWbIaFLiH (ID de usuario: 6823931109) Cartera de la colección:TRAGn9E6hbTiQrYG5V4sk1gNv3JaWHSxak Cadenas afectadas: TRON, Solana Kit de drenaje: Angel Drainer (de segunda mano/personalizado)
Infraestructura de dominios de TRXDrop (más de 15 dominios)
Dominio
Tipo
Estado
trx-drop.com
Página de inicio
Activo
tronrefund.com
El gancho del reembolso
Activo
tronfund.net
Atractivo de los fondos
Activo
trxfund.pro
Atractivo de los fondos
Activo
trxairdrop.io
Señuelo para lanzamientos aéreos
Activo
trondrop.org
Señuelo para lanzamientos aéreos
Activo
tronreward.com
Cebo de recompensa
Activo
tronreward.net
Cebo de recompensa
Activo
tronrefund.net
El gancho del reembolso
Activo
trxfund.org
Atractivo de los fondos
Activo
trxdrop.com
Señuelo para lanzamientos aéreos
Activo
trxdrop.org
Señuelo para lanzamientos aéreos
Activo
trongiving.com
Señuelo de regalo
Activo
tronclaims.com
Atractivo de las reclamaciones
Activo
trondrop.pro
Señuelo para lanzamientos aéreos
Activo
NiceCrypto: La máquina de comisiones del 80 %
Flujo de comisiones de «Drainer-as-a-Service»: el 80 % para el operador afiliado y el 20 % en concepto de comisión para el desarrollador — desde el monedero de la víctima, pasando por el contrato inteligente, hasta el blanqueo.
NiceCrypto se basa en una premisa sencilla: si se ofrece a los afiliados la comisión más alta del mercado de los «drainers», estos atraerán a las víctimas. Con una comisión del 80 %, NiceCrypto ofrece el reparto de ganancias para afiliados más generoso que hemos documentado en cualquier operación de «drainer como servicio». El operador se queda solo con el 20 %, un margen mínimo que solo resulta viable a gran escala.
Las cuentas son claras. Si un afiliado vacía una cartera que contiene 1 000 $ en tokens, se queda con 800 $. NiceCrypto se queda con 200 $. Con más de 8 454 $ en pagos a afiliados documentados, la operación ha procesado un mínimo de 42 270 $ en fondos robados, y esa cifra solo tiene en cuenta los pagos que podemos observar directamente en la cadena de bloques.
Modelo de ingresos: reparto 80/20
8.454 $ o más en los pagos documentados a los afiliados representa el mínimo, no el máximo. Con una comisión del 80 % para los afiliados, el total de fondos sustraídos procesados por NiceCrypto supera 42 000 dólares como mínimo. Es probable que la cifra real sea considerablemente mayor, ya que no todas las transacciones quedan registradas en nuestro periodo de seguimiento.
Expansión a múltiples cadenas
NiceCrypto comenzó en TRON, pero los archivos de configuración recuperados de su infraestructura revelan una expansión activa hacia Salina, Cadenas compatibles con EVM (Ethereum, BSC, Polygon), y Tono. Cuatro ecosistemas de blockchain bajo un único panel de control.
Presencia en foros
NiceCrypto recluta afiliados a través de wwh2club.to, un conocido foro de ciberdelincuencia. Su bot de Telegram @NCsetup_bot se encarga de la incorporación: los nuevos afiliados reciben un kit de captación ya configurado a los pocos minutos de ponerse en contacto.
Conexión WasabiSquad
El dominio web de NiceCrypto wasabihub.one plantea dudas sobre una posible conexión con la operación WasabiSquad. Para determinar si se trata de una infraestructura compartida, un cambio de nombre o una coincidencia, es necesario seguir investigando.
Automatización de Telegram
Bot @NCsetup_bot automatiza la gestión de los afiliados: la instalación de kits de drenaje, el seguimiento de las comisiones y el reparto de pagos. El operador rara vez tiene que interactuar directamente con los afiliados.
Indicadores de compromiso (IOC) de NiceCrypto
Bot de Telegram:@NCsetup_bot Sitio web:wasabihub.one Foro:wwh2club.to Comisión de afiliados: 80 % Pagos documentados: 8.454 $ o más Cadenas: TRON (activo), Solana (en expansión), EVM (en expansión), TON (en expansión)
El 80 % para los afiliados. Nosotros nos quedamos con el 20 %. Tú aportas el tráfico, nosotros nos encargamos del código. La configuración se hace en 5 minutos.
-- Anuncio de NiceCrypto en wwh2club.to
717Team: Archivado = Disruption Works
717Team es la prueba de que estas operaciones pueden detenerse. Con 125 miembros y 85 monederos rastreados, 717Team era una operación de drenaje de tamaño medio que gestionaba más de 12 dominios de phishing. El total confirmado de fondos sustraídos, 2.946,25 dólares, puede parecer modesto en comparación con operaciones de mayor envergadura, pero lo realmente importante es el resultado: archivado.
En nuestro sistema de seguimiento, «archivado» significa que la operación se ha interrumpido hasta el punto de cesar por completo. Se han retirado los dominios. Se ha destruido la infraestructura. Se ha identificado al administrador. 717Team no cerró voluntariamente. Se cerró gracias a una serie de denuncias coordinadas, la retirada de dominios y el intercambio de información con socios especializados en seguridad de cadenas de bloques.
Se ha confirmado la interrupción
El estado «ARCHIVADO» de 717Team no es una etiqueta que apliquemos a la ligera. Implica una interrupción continuada en múltiples frentes: retirada de dominios, denuncias a proveedores de alojamiento, bloqueo de monederos y revelación de la identidad del administrador. El coste de mantener la operación superó sus ingresos. Así es como se reconoce una interrupción exitosa.
Admin: @imdebank
Admin de Telegram @imdebank (ID de usuario: 7149807602) se ha relacionado con RublevkaTeam, una red de estafas independiente en lengua rusa que ya se había documentado anteriormente en nuestra investigación sobre TON. El intercambio de administradores entre operaciones es un patrón recurrente.
Escala de red
125 miembros se ha seguido su rastro en grupos de Telegram. 85 carteras identificados mediante análisis en cadena. 2.946,25 $ Se ha confirmado que se ha agotado. El equipo 717 se ha reclutado a través de lolz.live, un foro de ciberdelincuencia en ruso.
Infraestructura de dominios
Más de 12 dominios, entre los que se incluyen checkscore.cc, cryptomus-payment.com, check-score.ru, entre otros. Se utilizaron múltiples registradores de dominios para intentar evitar las retiradas coordinadas.
Operaciones de bots
Bot de Telegram @team717_bot se encargó de la coordinación de los afiliados, el seguimiento de las víctimas y la distribución de los pagos. El bot fue desactivado como parte de la operación de desarticulación.
TRXDrop utiliza dos técnicas de evasión de análisis que son habituales en el repertorio de herramientas de los «drainers». Ambas están diseñadas para eludir una inspección superficial. Ninguna de ellas supone un obstáculo significativo para un analista con experiencia.
Trampas del depurador
A setInterval El bucle se ejecuta cada 1 000 milisegundos, ejecutando un debugger mensaje. Cuando DevTools está abierto, esto detiene la ejecución continuamente, lo que da la impresión de que la página se ha bloqueado. Derivación: Desactivar los puntos de interrupción en DevTools (Ctrl+F8) o utiliza la opción del menú contextual «No hacer pausa aquí». Tiempo total de omisión: 2 segundos.
Secuestro de consola
El código sobrescribe console.log, console.warn, y console.error con funciones vacías para suprimir la salida. Resulta irónico, teniendo en cuenta que el desarrollador dejó más de 30 instrucciones de depuración que estas sustituciones están diseñadas para ocultar. Derivación: Guarda una referencia a los métodos originales de la consola antes de que se cargue la página, o utiliza la API nativa de la consola del navegador. Tiempo total de omisión: 5 segundos.
La hora de los aficionados
La combinación de código generado por IA, instrucciones de depuración en el entorno de producción, cifrado XOR estático y medidas anti-análisis que se pueden eludir con facilidad deja las cosas claras: el operador de TRXDrop no es un desarrollador experto. Se trata de un estafador que compró un kit de drenaje y le pidió a un modelo de lenguaje grande (LLM) que lo personalizara. El peligro no radica en la sofisticación, sino en la accesibilidad. Cuando la barrera de entrada es «¿sabes escribir una instrucción?», el número de operadores crece exponencialmente.
Este patrón se repite en todo el ecosistema de «drainer-as-a-service». Los desarrolladores de los kits (en este caso, Angel Drainer) cuentan con auténticas habilidades técnicas. Los distribuidores y afiliados que implementan estos kits, sin embargo, a menudo carecen de ellas. La capa antianálisis no existe porque los operadores entiendan de investigación en seguridad, sino porque el kit se suministra con ella activada de forma predeterminada.
Datos y análisis de fuentes
Todas las pruebas a las que se hace referencia en esta investigación se conservan en el repositorio PhishDestroy ScamIntelLogs. Cada operación cuenta con su propio directorio, que contiene archivos de configuración, fragmentos de código fuente, listas de dominios, direcciones de monederos y datos de inteligencia de Telegram.
Pruebas de TRXDrop
15 dominios, código fuente, claves XOR, ID de WalletConnect, canal de Telegram del operador, dirección de monedero.
Todas las direcciones de monedero, listas de dominios e identificadores de operadores publicados en este informe se han comunicado a los equipos de seguridad de blockchain y a los registradores de dominios pertinentes antes de su publicación. Se ha notificado el ID del proyecto WalletConnect para su revocación. Si gestionas una infraestructura afectada por estos indicadores de compromiso (IOC), ponte en contacto con nosotros a través de @PhishDestroy_bot.
Cuida tu bolsillo
El «Drainer-as-a-service» está en auge. Lo único que hace falta para entrar en el mercado es un mensaje de Telegram y unos cientos de dólares. La mejor defensa es estar informado.
Nunca firmes a ciegas
Si un sitio web te obliga a firmar repetidamente, ciérralo de inmediato. Los airdrops legítimos nunca exigen autorizaciones ilimitadas para tokens.
Comprueba antes de conectar
Comprueba la antigüedad del dominio, verifica la información a través de los canales oficiales del proyecto y utiliza un monedero desechable para reclamar cualquier airdrop.
Utiliza monederos físicos
Guarda tus saldos importantes en monederos físicos. Nunca conectes tu monedero principal a sitios web no verificados.
Aviso de transparencia. PhishDestroy es un proyecto sin ánimo de lucro impulsado por voluntarios. Nuestra investigación puede reflejar un sesgo inherente contra las infraestructuras de estafa y los servicios que las facilitan. Animamos a los lectores a que evalúen todo el material de forma crítica e independiente. Lee nuestra declaración de transparencia completa →
