Trois opérations de « drainer-as-a-service » disséquées au niveau du code. Des kits de hameçonnage générés par l’IA, contenant encore des instructions de débogage, toujours en production. Un modèle d’affiliation offrant une commission de 80 % qui alimente une expansion rapide. Et un réseau archivé prouvant que les actions de perturbation coordonnées fonctionnent. Voici l’infrastructure qui se cache derrière le prochain portefeuille auquel vous avez failli vous connecter.
~10 min de lecture· Mise à jour mars 2026· PhishDestroy Intelligence
3 réseaux de drainage actifs Plus de 15 domaines de hameçonnage 80 % de commission d'affiliation 1 Réseau archivé
0
Domaines utilisés pour le hameçonnage
0
Fonctionnement des égouttoirs
0
Membres suivis
0
Portefeuilles identifiés
0
Nouvelles tentatives de connexion forcées
0
% de commission d'affiliation
La chaîne d'attaque en 9 étapes : du faux airdrop au portefeuille vide
Chaque attaque de type « crypto drainer » suit une séquence prévisible. Ce qui rend dangereuses les opérations de type « drainer-as-a-service », ce n’est pas l’innovation, mais leur ampleur. La même chaîne d’attaque est reproduite sur des dizaines de domaines, chacun constituant un nouveau piège pour des victimes qui ne se doutent de rien. Voici, étape par étape, la séquence exacte extraite du code source de TRXDrop.
Déroulement complet de l'attaque « Drainer »
Cette chaîne en 9 étapes a été reconstituée à partir du code source décompilé de TRXDrop. Chaque étape est documentée avec les références de code correspondantes dans le dépôt ScamIntelLogs.
Une chaîne d'attaque de hameçonnage cryptographique en 9 étapes : de la fausse publicité pour un airdrop au vidage du portefeuille, en passant par le blanchiment d'argent.
1
Fausse publicité pour un airdrop La victime tombe sur une publication mise en avant ou un message Telegram annonçant un airdrop TRX/SOL. Exemples de domaines : trx-drop.com, tronrefund.com, trxairdrop.io.
2
Page d'accueil Cette page, d'aspect professionnel, imite un airdrop officiel de la Fondation TRON. Des comptes à rebours et de faux compteurs de réclamations créent un sentiment d'urgence.
3
Invite WalletConnect Le site lance WalletConnect à l'aide d'un identifiant de projet volé fbf5b42d9006502246e73447f5d50e33. La victime associe son portefeuille, pensant que c'est nécessaire pour
faire sa demande d'indemnisation.
4
Demande d'autorisation Drainer demande des autorisations étendues pour le jeton. L'invite de signature
est volontairement vague afin de masquer ce qui est
approuvé.
5
Approbation du jeton La victime signe un
approve()
transaction accordant au « drainer » une autorité illimitée
en matière de dépenses concernant certains jetons spécifiques.
6
setApprovalForAll Une deuxième transaction appelle
setApprovalForAll(), ce qui permet à l'attaquant de prendre le contrôle des NFT et de tous les types de jetons
présents dans le portefeuille.
7
Jetons de transfert Le contrat de vidange prévoit une intervention immédiate
transferFrom()
pour transférer tous les jetons approuvés vers le portefeuille
de l'attaquant.
8
Drain Wallet Les jetons natifs de la chaîne (TRX, SOL) sont transférés en dernier. Le
portefeuille est entièrement vidé. Si la victime refuse, le
« drainer » réessaie jusqu’à 50 fois avant
d'autoriser l'échappement.
9
Virement à l'opérateur Les fonds volés sont transférés vers le portefeuille de l'opérateur. TRXDrop
prélevé une commission de 30 TRX par retrait. Le reste revient à l'
affilié qui a mis en place la page de hameçonnage.
50 tentatives de reconnexion forcées
Si une victime clique sur « Refuser » dans la fenêtre de demande de signature, le code TRXDrop
redéclenche immédiatement la requête. Cette boucle se répète
50 fois avant que la victime ne soit autorisée à fermer
la fenêtre modale. La plupart des utilisateurs abandonnent et se connectent après 3 à 5 tentatives,
pensant que le site présente un dysfonctionnement plutôt qu'une intention malveillante. Il ne s'agit pas
d'un bug. C'est voulu.
Analyse approfondie de TRXDrop : du code généré par l'IA
contenant plus de 30 instructions de débogage en production
L'API TRXDrop est accessible sans authentification — toute personne disposant de l'URL
peut consulter les journaux des portefeuilles, les données de paiement et les identifiants des opérateurs.
TRXDrop est un revendeur d’Angel Drainer qui cible les portefeuilles TRON et Solana.
Ce qui distingue cette opération, ce n’est pas son niveau de sophistication — c’est
tout le contraire. Le code source révèle des indices indéniables d’un
développement assisté par l’IA : structure répétitive, commentaires prolixes,
et surtout, plus de 30 console.log les instructions de débogage laissées dans le code de production.
Ce ne sont pas là les signes d'un développeur expérimenté. Ce sont les signes de quelqu'un qui a demandé à un modèle de langage de grande envergure (LLM) de créer un programme inefficace et qui a déployé le résultat sans le vérifier.
Marqueurs de code générés par l'IA
Le code source de TRXDrop contient plus de 30 console.log les instructions de débogage dans la version de production. Des messages tels que console.log("Attempting wallet connection...") et console.log("Approval transaction sent") apparaissent partout. Aucun développeur professionnel — ni aucun criminel expérimenté — ne déploie des journaux de débogage en environnement de production. Il s'agit là d'une sortie brute d'un modèle de langage (LLM), déployée telle quelle.
Clé de chiffrement XOR
Toutes les communications entre l'interface utilisateur de Drainer et le panneau d'administration sont chiffrées à l'aide d'une clé XOR codée en dur : TRX_SECURE_2024_PANEL_KEY. Une opération XOR avec une clé statique est facilement réversible — ce qui constitue un autre signe de développement par « copier-coller ».
Panneau d'administration de « Crypto Drainer » v1.2 : 1 337 victimes, 12 450 $ volés, portefeuilles connectés et journal des retraits en temps réel - RÉVÉLÉ
Abus de WalletConnect
Identifiant du projet WalletConnect fbf5b42d9006502246e73447f5d50e33 est intégré dans l'ensemble des 15 domaines et plus. Une seule révocation de cet identifiant de projet entraînerait la désactivation simultanée de la connectivité des portefeuilles sur l'ensemble du réseau TRXDrop.
50 tentatives de reconnexion forcées
La boucle de demande de signature effectue 50 tentatives avant de permettre à la victime de quitter l'application. Cette tactique de pression psychologique est intégrée au code et ne peut pas être configurée par les affiliés : il s'agit d'une fonctionnalité essentielle du kit Angel Drainer.
30 % de commission TRX
Chaque détournement réussi génère une commission de 30 TRX versée sur le portefeuille de l'opérateur. Aux taux actuels, cela représente environ 7 à 8 dollars américains par victime — une faible marge qui suggère que l'opération repose davantage sur le volume que sur la valeur.
Intelligence opérationnelle
Telegram:@STNlRAWbIaFLiH (Identifiant : 6823931109) Portefeuille de collection :TRAGn9E6hbTiQrYG5V4sk1gNv3JaWHSxak Chaînes visées : TRON, Solana Kit de vidange : Angel Drainer (d'occasion/personnalisé)
Infrastructure de noms de domaine TRXDrop (plus de 15 noms de domaine)
Domaine
Type
Statut
trx-drop.com
Page d'accueil
Actif
tronrefund.com
Appât au remboursement
Actif
tronfund.net
Attrait des fonds
Actif
trxfund.pro
Attrait des fonds
Actif
trxairdrop.io
Appât pour airdrop
Actif
trondrop.org
Appât pour airdrop
Actif
tronreward.com
Appât de récompense
Actif
tronreward.net
Appât de récompense
Actif
tronrefund.net
Appât au remboursement
Actif
trxfund.org
Attrait des fonds
Actif
trxdrop.com
Appât pour airdrop
Actif
trxdrop.org
Appât pour airdrop
Actif
trongiving.com
Le leurre du cadeau promotionnel
Actif
tronclaims.com
Arguments de vente
Actif
trondrop.pro
Appât pour airdrop
Actif
NiceCrypto : la machine à commissions à 80 %
Flux de commissions de « Drainer-as-a-Service » : 80 % pour l'opérateur affilié, 20 % de frais pour le développeur — du portefeuille de la victime au blanchiment, via un contrat intelligent.
NiceCrypto repose sur un principe simple : offrir aux affiliés la rémunération la plus élevée du marché des « drainers », et ceux-ci apporteront les victimes. Avec une commission de 80 %, NiceCrypto propose la répartition la plus généreuse que nous ayons jamais observée parmi les opérations de « drainer-as-a-service ». L'opérateur ne conserve que 20 %, une marge infime qui ne fonctionne qu'à grande échelle.
Le calcul est simple. Si un affilié vide un portefeuille contenant 1 000 $ en jetons, il empoche 800 $. NiceCrypto prélève 200 $. Avec plus de 8 454 $ de paiements aux affiliés documentés, l’opération a traité au moins 42 270 $ de fonds volés — et ce chiffre ne prend en compte que les paiements que nous pouvons observer directement sur la blockchain.
Modèle de rémunération : répartition 80/20
$8,454+ Le pourcentage des paiements versés aux affiliés, tel qu'il ressort des documents, correspond au seuil minimal, et non au plafond. Avec un taux d'affiliation de 80 %, le montant total des fonds détournés traités par NiceCrypto dépasse $42,000 au minimum. Le chiffre réel est probablement nettement plus élevé, car toutes les transactions ne sont pas prises en compte dans notre période d'observation.
Expansion multi-chaînes
NiceCrypto a vu le jour sur TRON, mais des fichiers de configuration récupérés sur son infrastructure révèlent une expansion active vers Solana, Chaînes compatibles EVM (Ethereum, BSC, Polygon), et TON. Quatre écosystèmes blockchain réunis sous un même panneau de contrôle.
Présence sur les forums
NiceCrypto recrute des affiliés via wwh2club.to, un forum connu pour être dédié à la cybercriminalité. Leur bot Telegram @NCsetup_bot gère l'intégration : les nouveaux affiliés reçoivent un kit de démarrage prêt à l'emploi dans les minutes qui suivent leur prise de contact.
WasabiSquad Connection
Le nom de domaine du site web de NiceCrypto wasabihub.one soulève des questions quant à un éventuel lien avec l'opération WasabiSquad. Il faudra mener une enquête plus approfondie pour déterminer s'il s'agit d'une infrastructure commune, d'un changement de nom ou d'une simple coïncidence.
Automatisation de Telegram
Bot @NCsetup_bot automatise la gestion des affiliés : déploiement des kits de drainage, suivi des commissions et versement des rémunérations. L'opérateur n'a que rarement besoin d'interagir directement avec les affiliés.
Indicateurs de compromission (IOC) de NiceCrypto
Bot Telegram :@NCsetup_bot Site web :wasabihub.one Forum :wwh2club.to Commission d'affiliation : 80% Paiements enregistrés : $8,454+ Chaînes : TRON (actif), Solana (en expansion), EVM (en expansion), TON (en expansion)
80 % pour les affiliés. Nous conservons 20 %. Vous apportez le trafic, nous nous occupons du code. La mise en place ne prend que 5 minutes.
-- Publicité de NiceCrypto sur wwh2club.to
717Team : Archivé = Disruption Works
717Team est la preuve que ces opérations peuvent être démantelées. Avec 125 membres et 85 portefeuilles identifiés, 717Team était un réseau de « draineurs » de taille moyenne exploitant plus de 12 domaines de hameçonnage. Le montant total confirmé des fonds détournés, soit 2 946,25 $, peut sembler modeste par rapport à des opérations de plus grande envergure, mais ce qui importe vraiment, c'est le résultat : archivé.
Dans notre système de suivi, le terme « archivé » signifie que l'opération a été perturbée au point d'être interrompue. Les domaines ont été retirés. L'infrastructure a été détruite. L'administrateur a été démasqué. 717Team n'a pas cessé ses activités de son plein gré. Elle a été mise hors service grâce à des signalements coordonnés, à des retraits de domaines et au partage de renseignements avec des partenaires spécialisés dans la sécurité des blockchains.
Perturbation confirmée
Le statut « ARCHIVÉ » attribué par 717Team n’est pas une étiquette que nous attribuons à la légère. Il signifie une perturbation soutenue sur plusieurs fronts : retraits de domaines, signalements auprès des hébergeurs, signalement des portefeuilles et divulgation de l’identité de l’administrateur. Le coût de la poursuite de l’opération a dépassé ses revenus. C’est à cela que ressemble une perturbation réussie.
Administrateur : @imdebank
Pseudo Telegram de l'administrateur @imdebank (Identifiant : 7149807602) a été associé à RublevkaTeam, un réseau frauduleux distinct opérant en russe, déjà mis en évidence dans notre enquête sur TON. Le partage des administrateurs entre différentes opérations est un schéma récurrent.
Échelle du réseau
125 membres suivi au sein de groupes Telegram. 85 portefeuilles identifiés grâce à une analyse sur la blockchain. $2,946.25 confirmé comme ayant quitté l'équipe. L'équipe 717 a recruté via lolz.live, un forum consacré à la cybercriminalité en russe.
Infrastructure de domaine
Plus de 12 domaines, dont checkscore.cc, cryptomus-payment.com, check-score.ru, entre autres. Le recours à plusieurs registraires de noms de domaine a été utilisé pour tenter de contrecarrer les retraits coordonnés.
Fonctionnement des bots
Bot Telegram @team717_bot Il gérait la coordination des affiliés, le suivi des victimes et la distribution des gains. Le bot a été désactivé dans le cadre de l'opération de démantèlement.
717 Équipe IOC
Admin :@imdebank (ID : 7149807602) Groupe associé : RublevkaTeam Bot :@team717_bot Forum :lolz.live Membres : 125 sur chenilles Portefeuilles : 85 cas recensés Confirmé comme vidé : $2,946.25 Statut :ARCHIVÉ (Annulé)
Anti-analyse : présente, mais facile à contourner
TRXDrop utilise deux techniques anti-analyse qui font partie des méthodes classiques de la boîte à outils des « drainers ». Toutes deux sont conçues pour déjouer une inspection superficielle. Aucune ne constitue toutefois un obstacle significatif pour un analyste expérimenté.
Pièges du débogueur
A setInterval La boucle se déclenche toutes les 1 000 millisecondes, exécutant une debugger instruction. Lorsque DevTools est ouvert, cela interrompt l'exécution en continu, ce qui donne l'impression que la page est bloquée. Contournement : Désactiver les points d'arrêt dans DevTools (Ctrl+F8) ou utilisez l'option du menu contextuel « Ne jamais marquer de pause ici ». Durée totale du contournement : 2 secondes.
Détournement de console
Le code écrase console.log, console.warn, et console.error avec des fonctions vides pour masquer les sorties. C'est ironique, étant donné que le développeur a laissé plus de 30 instructions de débogage que ces redéfinitions sont justement censées masquer. Contournement : Enregistrez une référence aux méthodes de la console d'origine avant le chargement de la page, ou utilisez l'API native de la console du navigateur. Durée totale du contournement : 5 secondes.
L'heure des amateurs
La combinaison d’un code généré par l’IA, d’instructions de débogage en production, d’un chiffrement XOR statique et de mesures anti-analyse facilement contournables montre clairement que l’opérateur de TRXDrop n’est pas un développeur expérimenté. Il s’agit d’un escroc qui a acheté un kit de « drainer » et a demandé à un modèle de langage de grande capacité (LLM) de le personnaliser. Le danger ne réside pas dans la sophistication, mais dans l’accessibilité. Lorsque la seule condition d’accès est de « savoir taper une instruction », le nombre d’opérateurs augmente de manière exponentielle.
Cette tendance se retrouve dans l'ensemble de l'écosystème des « drainers as a service ». Les développeurs de ces kits (en l'occurrence, Angel Drainer) possèdent de réelles compétences techniques. Ce n'est souvent pas le cas des revendeurs et des affiliés qui déploient ces kits. La couche anti-analyse n'existe pas parce que les opérateurs maîtrisent la recherche en sécurité, mais parce que le kit est livré avec cette fonctionnalité activée par défaut.
Données factuelles et renseignement sur les sources
Toutes les preuves mentionnées dans cette enquête sont conservées dans le référentiel PhishDestroy ScamIntelLogs. Chaque opération dispose de son propre répertoire contenant des fichiers de configuration, des extraits de code source, des listes de domaines, des adresses de portefeuilles et des renseignements issus de Telegram.
Preuves relatives à TRXDrop
15 domaines, le code source, les clés XOR, l'identifiant WalletConnect, le compte Telegram de l'opérateur, l'adresse du portefeuille.
Toutes les adresses de portefeuille, listes de domaines et identifiants d'opérateurs publiés dans ce rapport ont été communiqués aux équipes de sécurité des blockchains concernées et aux registraires de domaines avant la publication. L'identifiant du projet WalletConnect a fait l'objet d'une demande de révocation. Si vous gérez une infrastructure concernée par ces IOC, veuillez nous contacter via @PhishDestroy_bot.
Protégez votre portefeuille
Le « Drainer-as-a-service » prend de l'ampleur. Pour s'y lancer, il suffit d'un message sur Telegram et de quelques centaines de dollars. Pour vous protéger, il faut d'abord en prendre conscience.
Ne signez jamais à l'aveuglette
Si un site vous oblige à valider sans cesse des demandes, fermez-le immédiatement. Les airdrops légitimes n'exigent jamais d'autorisations illimitées pour les tokens.
Vérifier avant de brancher
Vérifiez l'ancienneté du domaine, assurez-vous de l'authenticité via les canaux officiels du projet et utilisez un portefeuille jetable pour toute demande d'airdrop.
Utilisez des portefeuilles matériels
Conservez vos avoirs importants sur des portefeuilles matériels. Ne connectez jamais votre portefeuille principal à des sites non vérifiés.
Avis de transparence. PhishDestroy est un projet indépendant à but non lucratif. Nos recherches peuvent refléter un parti pris inhérent à l'encontre des infrastructures d'escroquerie et des services qui les facilitent. Nous encourageons les lecteurs à évaluer l'ensemble de ces informations de manière critique et indépendante. Consultez notre déclaration de transparence complète →