Retour aux actualités

Enquête ScamIntelLogs

Crypto Drainer Toolkit : dans les coulisses des revendeurs d'Angel Drainer qui ciblent votre portefeuille

Trois opérations de « drainer-as-a-service » disséquées au niveau du code. Des kits de hameçonnage générés par l’IA, contenant encore des instructions de débogage, toujours en production. Un modèle d’affiliation offrant une commission de 80 % qui alimente une expansion rapide. Et un réseau archivé prouvant que les actions de perturbation coordonnées fonctionnent. Voici l’infrastructure qui se cache derrière le prochain portefeuille auquel vous avez failli vous connecter.

3 réseaux de drainage actifs Plus de 15 domaines de hameçonnage 80 % de commission d'affiliation 1 Réseau archivé
Analyse des réseaux de « crypto-drainer »
0
Domaines utilisés pour le hameçonnage
0
Fonctionnement des égouttoirs
0
Membres suivis
0
Portefeuilles identifiés
0
Nouvelles tentatives de connexion forcées
0
% de commission d'affiliation

La chaîne d'attaque en 9 étapes : du faux airdrop au portefeuille vide

Chaque attaque de type « crypto drainer » suit une séquence prévisible. Ce qui rend dangereuses les opérations de type « drainer-as-a-service », ce n’est pas l’innovation, mais leur ampleur. La même chaîne d’attaque est reproduite sur des dizaines de domaines, chacun constituant un nouveau piège pour des victimes qui ne se doutent de rien. Voici, étape par étape, la séquence exacte extraite du code source de TRXDrop.

Déroulement complet de l'attaque « Drainer »

Cette chaîne en 9 étapes a été reconstituée à partir du code source décompilé de TRXDrop. Chaque étape est documentée avec les références de code correspondantes dans le dépôt ScamIntelLogs.

La chaîne d'attaque de hameçonnage crypto en 9 étapes : fausse publicité d'airdrop, clics ciblés, page de destination de hameçonnage, connexion au portefeuille, autorisation malveillante, validation de la transaction, vol de tokens, blanchiment des fonds, retrait des fonds
Une chaîne d'attaque de hameçonnage cryptographique en 9 étapes : de la fausse publicité pour un airdrop au vidage du portefeuille, en passant par le blanchiment d'argent.
1
Fausse publicité pour un airdrop
La victime tombe sur une publication mise en avant ou un message Telegram annonçant un airdrop TRX/SOL. Exemples de domaines : trx-drop.com, tronrefund.com, trxairdrop.io.
2
Page d'accueil
Cette page, d'aspect professionnel, imite un airdrop officiel de la Fondation TRON. Des comptes à rebours et de faux compteurs de réclamations créent un sentiment d'urgence.
3
Invite WalletConnect
Le site lance WalletConnect à l'aide d'un identifiant de projet volé fbf5b42d9006502246e73447f5d50e33. La victime associe son portefeuille, pensant que c'est nécessaire pour faire sa demande d'indemnisation.
4
Demande d'autorisation
Drainer demande des autorisations étendues pour le jeton. L'invite de signature est volontairement vague afin de masquer ce qui est approuvé.
5
Approbation du jeton
La victime signe un approve() transaction accordant au « drainer » une autorité illimitée en matière de dépenses concernant certains jetons spécifiques.
6
setApprovalForAll
Une deuxième transaction appelle setApprovalForAll(), ce qui permet à l'attaquant de prendre le contrôle des NFT et de tous les types de jetons présents dans le portefeuille.
7
Jetons de transfert
Le contrat de vidange prévoit une intervention immédiate transferFrom() pour transférer tous les jetons approuvés vers le portefeuille de l'attaquant.
8
Drain Wallet
Les jetons natifs de la chaîne (TRX, SOL) sont transférés en dernier. Le portefeuille est entièrement vidé. Si la victime refuse, le « drainer » réessaie jusqu’à 50 fois avant d'autoriser l'échappement.
9
Virement à l'opérateur
Les fonds volés sont transférés vers le portefeuille de l'opérateur. TRXDrop prélevé une commission de 30 TRX par retrait. Le reste revient à l' affilié qui a mis en place la page de hameçonnage.

50 tentatives de reconnexion forcées

Si une victime clique sur « Refuser » dans la fenêtre de demande de signature, le code TRXDrop redéclenche immédiatement la requête. Cette boucle se répète 50 fois avant que la victime ne soit autorisée à fermer la fenêtre modale. La plupart des utilisateurs abandonnent et se connectent après 3 à 5 tentatives, pensant que le site présente un dysfonctionnement plutôt qu'une intention malveillante. Il ne s'agit pas d'un bug. C'est voulu.

Analyse approfondie de TRXDrop : du code généré par l'IA contenant plus de 30 instructions de débogage en production

Comparaison en matière de sécurité : authentification requise (cadenas vert) vs aucune authentification, accès totalement libre (cadenas rouge brisé)
L'API TRXDrop est accessible sans authentification — toute personne disposant de l'URL peut consulter les journaux des portefeuilles, les données de paiement et les identifiants des opérateurs.

TRXDrop est un revendeur d’Angel Drainer qui cible les portefeuilles TRON et Solana. Ce qui distingue cette opération, ce n’est pas son niveau de sophistication — c’est tout le contraire. Le code source révèle des indices indéniables d’un développement assisté par l’IA : structure répétitive, commentaires prolixes, et surtout, plus de 30 console.log les instructions de débogage laissées dans le code de production.

Ce ne sont pas là les signes d'un développeur expérimenté. Ce sont les signes de quelqu'un qui a demandé à un modèle de langage de grande envergure (LLM) de créer un programme inefficace et qui a déployé le résultat sans le vérifier.

Marqueurs de code générés par l'IA

Le code source de TRXDrop contient plus de 30 console.log les instructions de débogage dans la version de production. Des messages tels que console.log("Attempting wallet connection...") et console.log("Approval transaction sent") apparaissent partout. Aucun développeur professionnel — ni aucun criminel expérimenté — ne déploie des journaux de débogage en environnement de production. Il s'agit là d'une sortie brute d'un modèle de langage (LLM), déployée telle quelle.

Clé de chiffrement XOR

Toutes les communications entre l'interface utilisateur de Drainer et le panneau d'administration sont chiffrées à l'aide d'une clé XOR codée en dur : TRX_SECURE_2024_PANEL_KEY. Une opération XOR avec une clé statique est facilement réversible — ce qui constitue un autre signe de développement par « copier-coller ».

Panneau d'administration de « Crypto Drainer » v1.2 : 1 337 victimes, 12 450 $ volés, portefeuilles connectés et journal des retraits en temps réel - RÉVÉLÉ
Panneau d'administration de « Crypto Drainer » v1.2 : 1 337 victimes, 12 450 $ volés, portefeuilles connectés et journal des retraits en temps réel - RÉVÉLÉ

Abus de WalletConnect

Identifiant du projet WalletConnect fbf5b42d9006502246e73447f5d50e33 est intégré dans l'ensemble des 15 domaines et plus. Une seule révocation de cet identifiant de projet entraînerait la désactivation simultanée de la connectivité des portefeuilles sur l'ensemble du réseau TRXDrop.

50 tentatives de reconnexion forcées

La boucle de demande de signature effectue 50 tentatives avant de permettre à la victime de quitter l'application. Cette tactique de pression psychologique est intégrée au code et ne peut pas être configurée par les affiliés : il s'agit d'une fonctionnalité essentielle du kit Angel Drainer.

30 % de commission TRX

Chaque détournement réussi génère une commission de 30 TRX versée sur le portefeuille de l'opérateur. Aux taux actuels, cela représente environ 7 à 8 dollars américains par victime — une faible marge qui suggère que l'opération repose davantage sur le volume que sur la valeur.

Intelligence opérationnelle

Telegram: @STNlRAWbIaFLiH (Identifiant : 6823931109)
Portefeuille de collection : TRAGn9E6hbTiQrYG5V4sk1gNv3JaWHSxak
Chaînes visées : TRON, Solana
Kit de vidange : Angel Drainer (d'occasion/personnalisé)

Infrastructure de noms de domaine TRXDrop (plus de 15 noms de domaine)

DomaineTypeStatut
trx-drop.comPage d'accueilActif
tronrefund.comAppât au remboursementActif
tronfund.netAttrait des fondsActif
trxfund.proAttrait des fondsActif
trxairdrop.ioAppât pour airdropActif
trondrop.orgAppât pour airdropActif
tronreward.comAppât de récompenseActif
tronreward.netAppât de récompenseActif
tronrefund.netAppât au remboursementActif
trxfund.orgAttrait des fondsActif
trxdrop.comAppât pour airdropActif
trxdrop.orgAppât pour airdropActif
trongiving.comLe leurre du cadeau promotionnelActif
tronclaims.comArguments de venteActif
trondrop.proAppât pour airdropActif

NiceCrypto : la machine à commissions à 80 %

Flux de commission opérationnelle du service « Drainer-as-a-Service » : 80 % pour l'opérateur, 20 % de commission pour le développeur, prélevés sur le portefeuille de la victime via un contrat intelligent
Flux de commissions de « Drainer-as-a-Service » : 80 % pour l'opérateur affilié, 20 % de frais pour le développeur — du portefeuille de la victime au blanchiment, via un contrat intelligent.

NiceCrypto repose sur un principe simple : offrir aux affiliés la rémunération la plus élevée du marché des « drainers », et ceux-ci apporteront les victimes. Avec une commission de 80 %, NiceCrypto propose la répartition la plus généreuse que nous ayons jamais observée parmi les opérations de « drainer-as-a-service ». L'opérateur ne conserve que 20 %, une marge infime qui ne fonctionne qu'à grande échelle.

Le calcul est simple. Si un affilié vide un portefeuille contenant 1 000 $ en jetons, il empoche 800 $. NiceCrypto prélève 200 $. Avec plus de 8 454 $ de paiements aux affiliés documentés, l’opération a traité au moins 42 270 $ de fonds volés — et ce chiffre ne prend en compte que les paiements que nous pouvons observer directement sur la blockchain.

Modèle de rémunération : répartition 80/20

$8,454+ Le pourcentage des paiements versés aux affiliés, tel qu'il ressort des documents, correspond au seuil minimal, et non au plafond. Avec un taux d'affiliation de 80 %, le montant total des fonds détournés traités par NiceCrypto dépasse $42,000 au minimum. Le chiffre réel est probablement nettement plus élevé, car toutes les transactions ne sont pas prises en compte dans notre période d'observation.

Expansion multi-chaînes

NiceCrypto a vu le jour sur TRON, mais des fichiers de configuration récupérés sur son infrastructure révèlent une expansion active vers Solana, Chaînes compatibles EVM (Ethereum, BSC, Polygon), et TON. Quatre écosystèmes blockchain réunis sous un même panneau de contrôle.

Présence sur les forums

NiceCrypto recrute des affiliés via wwh2club.to, un forum connu pour être dédié à la cybercriminalité. Leur bot Telegram @NCsetup_bot gère l'intégration : les nouveaux affiliés reçoivent un kit de démarrage prêt à l'emploi dans les minutes qui suivent leur prise de contact.

WasabiSquad Connection

Le nom de domaine du site web de NiceCrypto wasabihub.one soulève des questions quant à un éventuel lien avec l'opération WasabiSquad. Il faudra mener une enquête plus approfondie pour déterminer s'il s'agit d'une infrastructure commune, d'un changement de nom ou d'une simple coïncidence.

Automatisation de Telegram

Bot @NCsetup_bot automatise la gestion des affiliés : déploiement des kits de drainage, suivi des commissions et versement des rémunérations. L'opérateur n'a que rarement besoin d'interagir directement avec les affiliés.

Indicateurs de compromission (IOC) de NiceCrypto

Bot Telegram : @NCsetup_bot
Site web : wasabihub.one
Forum : wwh2club.to
Commission d'affiliation : 80%
Paiements enregistrés : $8,454+
Chaînes : TRON (actif), Solana (en expansion), EVM (en expansion), TON (en expansion)

80 % pour les affiliés. Nous conservons 20 %. Vous apportez le trafic, nous nous occupons du code. La mise en place ne prend que 5 minutes.
-- Publicité de NiceCrypto sur wwh2club.to

717Team : Archivé = Disruption Works

717Team est la preuve que ces opérations peuvent être démantelées. Avec 125 membres et 85 portefeuilles identifiés, 717Team était un réseau de « draineurs » de taille moyenne exploitant plus de 12 domaines de hameçonnage. Le montant total confirmé des fonds détournés, soit 2 946,25 $, peut sembler modeste par rapport à des opérations de plus grande envergure, mais ce qui importe vraiment, c'est le résultat : archivé.

Dans notre système de suivi, le terme « archivé » signifie que l'opération a été perturbée au point d'être interrompue. Les domaines ont été retirés. L'infrastructure a été détruite. L'administrateur a été démasqué. 717Team n'a pas cessé ses activités de son plein gré. Elle a été mise hors service grâce à des signalements coordonnés, à des retraits de domaines et au partage de renseignements avec des partenaires spécialisés dans la sécurité des blockchains.

Perturbation confirmée

Le statut « ARCHIVÉ » attribué par 717Team n’est pas une étiquette que nous attribuons à la légère. Il signifie une perturbation soutenue sur plusieurs fronts : retraits de domaines, signalements auprès des hébergeurs, signalement des portefeuilles et divulgation de l’identité de l’administrateur. Le coût de la poursuite de l’opération a dépassé ses revenus. C’est à cela que ressemble une perturbation réussie.

Administrateur : @imdebank

Pseudo Telegram de l'administrateur @imdebank (Identifiant : 7149807602) a été associé à RublevkaTeam, un réseau frauduleux distinct opérant en russe, déjà mis en évidence dans notre enquête sur TON. Le partage des administrateurs entre différentes opérations est un schéma récurrent.

Échelle du réseau

125 membres suivi au sein de groupes Telegram. 85 portefeuilles identifiés grâce à une analyse sur la blockchain. $2,946.25 confirmé comme ayant quitté l'équipe. L'équipe 717 a recruté via lolz.live, un forum consacré à la cybercriminalité en russe.

Infrastructure de domaine

Plus de 12 domaines, dont checkscore.cc, cryptomus-payment.com, check-score.ru, entre autres. Le recours à plusieurs registraires de noms de domaine a été utilisé pour tenter de contrecarrer les retraits coordonnés.

Fonctionnement des bots

Bot Telegram @team717_bot Il gérait la coordination des affiliés, le suivi des victimes et la distribution des gains. Le bot a été désactivé dans le cadre de l'opération de démantèlement.

717 Équipe IOC

Admin : @imdebank (ID : 7149807602)
Groupe associé : RublevkaTeam
Bot : @team717_bot
Forum : lolz.live
Membres : 125 sur chenilles
Portefeuilles : 85 cas recensés
Confirmé comme vidé : $2,946.25
Statut :ARCHIVÉ (Annulé)

Anti-analyse : présente, mais facile à contourner

TRXDrop utilise deux techniques anti-analyse qui font partie des méthodes classiques de la boîte à outils des « drainers ». Toutes deux sont conçues pour déjouer une inspection superficielle. Aucune ne constitue toutefois un obstacle significatif pour un analyste expérimenté.

Pièges du débogueur

A setInterval La boucle se déclenche toutes les 1 000 millisecondes, exécutant une debugger instruction. Lorsque DevTools est ouvert, cela interrompt l'exécution en continu, ce qui donne l'impression que la page est bloquée. Contournement : Désactiver les points d'arrêt dans DevTools (Ctrl+F8) ou utilisez l'option du menu contextuel « Ne jamais marquer de pause ici ». Durée totale du contournement : 2 secondes.

Détournement de console

Le code écrase console.log, console.warn, et console.error avec des fonctions vides pour masquer les sorties. C'est ironique, étant donné que le développeur a laissé plus de 30 instructions de débogage que ces redéfinitions sont justement censées masquer. Contournement : Enregistrez une référence aux méthodes de la console d'origine avant le chargement de la page, ou utilisez l'API native de la console du navigateur. Durée totale du contournement : 5 secondes.

L'heure des amateurs

La combinaison d’un code généré par l’IA, d’instructions de débogage en production, d’un chiffrement XOR statique et de mesures anti-analyse facilement contournables montre clairement que l’opérateur de TRXDrop n’est pas un développeur expérimenté. Il s’agit d’un escroc qui a acheté un kit de « drainer » et a demandé à un modèle de langage de grande capacité (LLM) de le personnaliser. Le danger ne réside pas dans la sophistication, mais dans l’accessibilité. Lorsque la seule condition d’accès est de « savoir taper une instruction », le nombre d’opérateurs augmente de manière exponentielle.

Cette tendance se retrouve dans l'ensemble de l'écosystème des « drainers as a service ». Les développeurs de ces kits (en l'occurrence, Angel Drainer) possèdent de réelles compétences techniques. Ce n'est souvent pas le cas des revendeurs et des affiliés qui déploient ces kits. La couche anti-analyse n'existe pas parce que les opérateurs maîtrisent la recherche en sécurité, mais parce que le kit est livré avec cette fonctionnalité activée par défaut.

Données factuelles et renseignement sur les sources

Toutes les preuves mentionnées dans cette enquête sont conservées dans le référentiel PhishDestroy ScamIntelLogs. Chaque opération dispose de son propre répertoire contenant des fichiers de configuration, des extraits de code source, des listes de domaines, des adresses de portefeuilles et des renseignements issus de Telegram.

Preuves relatives à TRXDrop

15 domaines, le code source, les clés XOR, l'identifiant WalletConnect, le compte Telegram de l'opérateur, l'adresse du portefeuille.

Consulter sur GitHub

Preuves relatives à NiceCrypto

Fichiers de configuration, relevés de paiement des affiliés, plans d'expansion multi-chaînes, messages sur les forums.

Consulter sur GitHub

717Team Evidence

Listes de membres, adresses de portefeuilles, infrastructure de domaines, informations sur les administrateurs, chronologie des perturbations.

Consulter sur GitHub

Divulgation responsable

Toutes les adresses de portefeuille, listes de domaines et identifiants d'opérateurs publiés dans ce rapport ont été communiqués aux équipes de sécurité des blockchains concernées et aux registraires de domaines avant la publication. L'identifiant du projet WalletConnect a fait l'objet d'une demande de révocation. Si vous gérez une infrastructure concernée par ces IOC, veuillez nous contacter via @PhishDestroy_bot.

Protégez votre portefeuille

Le « Drainer-as-a-service » prend de l'ampleur. Pour s'y lancer, il suffit d'un message sur Telegram et de quelques centaines de dollars. Pour vous protéger, il faut d'abord en prendre conscience.

Ne signez jamais à l'aveuglette

Si un site vous oblige à valider sans cesse des demandes, fermez-le immédiatement. Les airdrops légitimes n'exigent jamais d'autorisations illimitées pour les tokens.

Vérifier avant de brancher

Vérifiez l'ancienneté du domaine, assurez-vous de l'authenticité via les canaux officiels du projet et utilisez un portefeuille jetable pour toute demande d'airdrop.

Utilisez des portefeuilles matériels

Conservez vos avoirs importants sur des portefeuilles matériels. Ne connectez jamais votre portefeuille principal à des sites non vérifiés.

Signaler des menaces

Vous avez repéré un site de piratage ? Signalez-le à @PhishDestroy_bot ou vérifier les noms de domaine sur analyser.destroy.tools.

Signaler un nom de domaine Analyser un domaine

Partager cette enquête

X / Twitter Telegram Reddit LinkedIn

Enquêtes connexes

BUYTRX démasqué : 55 domaines et un programme de détournement d'autorisations TRON
ENQUÊTE
BUYTRX démasqué : 55 domaines et un programme de détournement d'autorisations TRON
Panneau consacré au phishing de Trust Wallet : 239 000 dollars volés, 6 auteurs identifiés
ENQUÊTE APPROFONDIE
Panneau consacré au phishing de Trust Wallet : 239 000 dollars volés, 6 auteurs identifiés
Anatomie du hameçonnage cryptographique : analyse technique de 8 véritables programmes de vol de phrases de départ
ENQUÊTE APPROFONDIE
Anatomie du hameçonnage cryptographique : analyse technique de 8 véritables programmes de vol de phrases de départ
Avis de transparence. PhishDestroy est un projet indépendant à but non lucratif. Nos recherches peuvent refléter un parti pris inhérent à l'encontre des infrastructures d'escroquerie et des services qui les facilitent. Nous encourageons les lecteurs à évaluer l'ensemble de ces informations de manière critique et indépendante. Consultez notre déclaration de transparence complète →