What is a crypto drainer and how does it work?

A crypto drainer is malicious code that tricks victims into signing blockchain transactions that grant the attacker permission to transfer tokens from the victim's wallet. The 9-step attack chain starts with a fake airdrop ad and ends with total wallet drainage.

What is Angel Drainer?

Angel Drainer is a drainer-as-a-service toolkit sold to cybercriminals. TRXDrop is a documented reseller that customizes Angel Drainer for TRON and Solana blockchains.

How can I protect my crypto wallet from drainers?

Never connect your wallet to unknown sites, verify airdrop claims through official channels, use hardware wallets for large holdings, and check transaction approval details before signing. If a site forces repeated signing prompts, close it immediately.

Retour aux actualités

Enquête ScamIntelLogs

Crypto Drainer Toolkit : dans les coulisses des revendeurs d'Angel Drainer qui ciblent votre portefeuille

Trois opérations de « drainer-as-a-service » disséquées au niveau du code. Des kits de phishing générés par l'IA, comportant encore des instructions de débogage, toujours en service. Un modèle d'affiliation offrant une commission de 80 % qui alimente une expansion rapide. Et un réseau archivé prouvant que les perturbations coordonnées fonctionnent. Voici l'infrastructure qui se cache derrière le prochain portefeuille auquel vous avez failli vous connecter.

~10 min de lecture· Mise à jour Mars 2026· PhishDestroy Intelligence

3 réseaux de drainage actifs Plus de 15 domaines de phishing 80 % de commission d'affiliation 1 Réseau archivé

Domaines utilisés pour le phishing

Fonctionnement des égouttoirs

Membres suivis

Portefeuilles identifiés

Nouvelles tentatives de connexion forcées

% de commission d'affiliation

La chaîne d'attaque en 9 étapes : du faux airdrop au portefeuille vide

Chaque attaque de type « crypto drainer » suit une séquence prévisible. Ce qui rend dangereuses les opérations de type « drainer-as-a-service », ce n’est pas l’innovation, mais leur ampleur. La même chaîne d’attaque est reproduite sur des dizaines de domaines, chacun constituant un nouveau piège pour des victimes qui ne se doutent de rien. Voici, étape par étape, la séquence exacte extraite du code source de TRXDrop.

Déroulement complet de l'attaque « Drainer »

Cette chaîne en 9 étapes a été reconstituée à partir du code source décompilé de TRXDrop. Chaque étape est documentée avec les références de code correspondantes dans le dépôt ScamIntelLogs.

The 9-step crypto phishing attack chain: fake airdrop ad, target clicks, phishing landing, connect wallet, malicious permission, approve transaction, token drain, funds mixer, cash out — Une chaîne d'attaque de phishing cryptographique en 9 étapes : de la fausse publicité sur un airdrop au blanchiment d'argent, en passant par le vidage du portefeuille.

Fausse publicité pour un airdrop
La victime tombe sur une publication sponsorisée ou un message Telegram annonçant un airdrop TRX/SOL. Exemples de domaines : trx-drop.com, tronrefund.com, trxairdrop.io.

Page d'accueil
Cette page, d'aspect professionnel, imite un airdrop officiel de la Fondation TRON. Des comptes à rebours et de faux compteurs de réclamations créent un sentiment d'urgence.

Invite WalletConnect
Le site lance WalletConnect en utilisant un identifiant de projet volé fbf5b42d9006502246e73447f5d50e33. La victime associe son portefeuille, pensant que c'est nécessaire pour recevoir son indemnisation.

Demande d'autorisation
Drainer demande des autorisations étendues pour le jeton. La demande de signature est volontairement vague afin de dissimuler ce qui est approuvé.

Approbation du jeton
La victime signe un approve() transaction accordant au contractant chargé du drainage une autorisation de dépense illimitée pour certains jetons spécifiques.

setApprovalForAll
Une deuxième transaction appelle setApprovalForAll(), ce qui permet à l'attaquant de prendre le contrôle des NFT et de tous les types de jetons présents dans le portefeuille.

Jetons de transfert
Appelez immédiatement un plombier transferFrom() pour transférer tous les jetons approuvés vers le portefeuille de collection de l'attaquant.

Vidage du portefeuille
Les jetons natifs de la chaîne (TRX, SOL) sont transférés en dernier. Le portefeuille est entièrement vidé. Si la victime refuse, le drainer réessaie jusqu'à 50 fois avant de permettre l'échappement.

Virement à l'opérateur
Les fonds détournés sont transférés vers le portefeuille de l'opérateur. TRXDrop prélève une commission de 30 TRX par opération de détournement. Le reste revient à l'affilié qui a mis en place la page de phishing.

50 tentatives de reconnexion forcées

Si une victime clique sur « Refuser » dans la fenêtre de signature, le code TRXDrop relance immédiatement la demande. Ce cycle se répète 50 fois avant que la victime ne soit autorisée à fermer la fenêtre modale. La plupart des utilisateurs finissent par abandonner et s'inscrire après 3 à 5 tentatives, pensant que le site présente un dysfonctionnement plutôt qu'une intention malveillante. Il ne s'agit pas d'un bug. C'est voulu.

Analyse approfondie de TRXDrop : du code généré par l'IA contenant plus de 30 instructions de débogage en production

Security comparison: Authentication Required (green lock) vs No Auth Wide Open (broken red lock) — L'API TRXDrop est accessible sans authentification : toute personne disposant de l'URL peut consulter les journaux des portefeuilles, les données de paiement et les identifiants des opérateurs.

TRXDrop est un revendeur d'Angel Drainer qui cible les portefeuilles TRON et Solana. Ce qui distingue cette opération, ce n'est pas sa sophistication, mais bien le contraire. Le code source révèle des indices indéniables d'un développement assisté par l'IA : une structure répétitive, des commentaires verbeux et, surtout, plus de 30 console.log les instructions de débogage laissées dans le code de production.

Ce ne sont pas là les signes d'un développeur expérimenté. Ce sont les signes de quelqu'un qui a demandé à un modèle de langage de grande envergure (LLM) de générer un programme de drainage et qui a déployé le résultat sans le vérifier.

Marqueurs de code générés par l'IA

Le code source de TRXDrop contient plus de 30 console.log les instructions de débogage dans la version de production. Des messages tels que console.log("Attempting wallet connection...") et console.log("Approval transaction sent") apparaissent partout. Aucun développeur professionnel — ni aucun criminel expérimenté — ne déploie des journaux de débogage en production. Il s'agit là d'une sortie brute d'un modèle de langage (LLM), déployée telle quelle.

Clé de chiffrement XOR

Toutes les communications entre l'interface utilisateur de Drainer et le panneau d'administration sont chiffrées à l'aide d'une clé XOR codée en dur : TRX_SECURE_2024_PANEL_KEY. Une opération XOR avec une clé statique est facilement réversible — ce qui est un autre signe de développement par copier-coller.

Crypto drainer admin panel v1.2 showing 1,337 victims, $12,450 stolen, connected wallets and real-time drain log - EXPOSED — Panneau d'administration de Crypto Drainer v1.2 : 1 337 victimes, 12 450 $ volés, portefeuilles connectés et journal des détournements en temps réel - RÉVÉLÉ

Abus de WalletConnect

Identifiant du projet WalletConnect fbf5b42d9006502246e73447f5d50e33 est intégré dans l'ensemble des 15 domaines et plus. Une simple révocation de cet identifiant de projet entraînerait la désactivation simultanée de la connectivité des portefeuilles sur l'ensemble du réseau TRXDrop.

50 tentatives de reconnexion forcées

La boucle de demande de signature effectue 50 tentatives avant de permettre à la victime de quitter l'application. Cette tactique de pression psychologique est intégrée au code et ne peut pas être configurée par les affiliés : il s'agit d'une fonctionnalité essentielle du kit Angel Drainer.

30 TRX Commission

Chaque opération de détournement réussie génère une commission de 30 TRX versée sur le portefeuille de l'opérateur. Aux taux actuels, cela représente environ 7 à 8 dollars américains par victime — une faible marge qui laisse supposer que l'opération mise davantage sur le volume que sur la valeur.

Intelligence opérationnelle

Télégramme : @STNlRAWbIaFLiH (Identifiant : 6823931109)
Portefeuille de collection : TRAGn9E6hbTiQrYG5V4sk1gNv3JaWHSxak
Chaînes visées : TRON, Solana
Drainer Kit: Angel Drainer (d'occasion/personnalisé)

Infrastructure de domaines TRXDrop (plus de 15 domaines)

Domaine	Type	Statut
`trx-drop.com`	Page d'accueil	Actif
`tronrefund.com`	Appât au remboursement	Actif
`tronfund.net`	Appât financier	Actif
`trxfund.pro`	Appât financier	Actif
`trxairdrop.io`	Appât pour airdrop	Actif
`trondrop.org`	Appât pour airdrop	Actif
`tronreward.com`	Appât de récompense	Actif
`tronreward.net`	Appât de récompense	Actif
`tronrefund.net`	Appât au remboursement	Actif
`trxfund.org`	Appât financier	Actif
`trxdrop.com`	Appât pour airdrop	Actif
`trxdrop.org`	Appât pour airdrop	Actif
`trongiving.com`	Appât promotionnel	Actif
`tronclaims.com`	Arguments de vente	Actif
`trondrop.pro`	Appât pour airdrop	Actif

NiceCrypto : la machine à commissions à 80 %

Drainer-as-a-Service operational commission flow: 80% to operator, 20% developer fee, from victim wallet through smart contract — Répartition des commissions de « Drainer-as-a-Service » : 80 % pour l'opérateur affilié, 20 % de frais pour le développeur — du portefeuille de la victime au blanchiment, via un contrat intelligent.

NiceCrypto repose sur un principe simple : offrir aux affiliés la rémunération la plus élevée du marché des « drainers », et ceux-ci apporteront les victimes. Avec une commission de 80 %, NiceCrypto propose la répartition la plus généreuse que nous ayons jamais observée dans le cadre d'une opération de « drainer-as-a-service ». L'opérateur ne conserve que 20 % — une marge infime qui ne peut être rentable qu'à grande échelle.

Le calcul est simple. Si un affilié vide un portefeuille contenant 1 000 $ en jetons, il en garde 800 $. NiceCrypto empoche 200 $. Avec plus de 8 454 $ de paiements versés aux affiliés et documentés, l'opération a traité au moins 42 270 $ de fonds volés — et ce chiffre ne tient compte que des paiements que nous pouvons observer directement sur la blockchain.

Modèle de rémunération : répartition 80/20

8 454 $ et plus le montant des paiements documentés versés aux affiliés correspond au minimum, et non au maximum. Avec un taux d'affiliation de 80 %, le montant total des fonds détournés traités par NiceCrypto dépasse 42 000 $ au minimum. Le chiffre réel est probablement nettement plus élevé, car toutes les transactions ne sont pas prises en compte dans notre période d'analyse.

Expansion multi-chaînes

NiceCrypto a vu le jour sur TRON, mais des fichiers de configuration récupérés sur son infrastructure révèlent une expansion en cours vers Saline, Chaînes compatibles EVM (Ethereum, BSC, Polygon), et Ton. Quatre écosystèmes blockchain réunis sous un même panneau de contrôle.

Présence sur les forums

NiceCrypto recrute des affiliés via wwh2club.to, un forum connu pour la cybercriminalité. Leur bot Telegram @NCsetup_bot gère l'intégration : les nouveaux affiliés reçoivent un kit de démarrage prêt à l'emploi quelques minutes après leur prise de contact.

WasabiSquad Connection

Le nom de domaine du site web de NiceCrypto wasabihub.one soulève des questions quant à un éventuel lien avec l'opération WasabiSquad. Il faudra mener une enquête plus approfondie pour déterminer s'il s'agit d'une infrastructure commune, d'un changement de nom ou d'une simple coïncidence.

Automatisation de Telegram

Bot @NCsetup_bot automatise la gestion des affiliés : déploiement des kits de drainage, suivi des commissions et versement des paiements. L'opérateur n'a que rarement besoin d'interagir directement avec les affiliés.

Indicateurs de compromission (IOC) de NiceCrypto

Bot Telegram : @NCsetup_bot
Site web : wasabihub.one
Forum : wwh2club.to
Commission d'affiliation : 80 %
Paiements justifiés : 8 454 $ et plus
Chaînes : TRON (en activité), Solana (en expansion), EVM (en expansion), TON (en expansion)

80 % pour les affiliés. Nous conservons 20 %. Vous apportez le trafic, nous nous occupons du code. La configuration ne prend que 5 minutes.

-- Publicité NiceCrypto sur wwh2club.to

717Team : Archivé = Disruption Works

717Team est la preuve que ce genre d'opérations peut être stoppé. Avec 125 membres et 85 portefeuilles identifiés, 717Team était une opération de détournement de fonds de taille moyenne qui exploitait plus de 12 domaines de phishing. Le montant total des fonds détournés, confirmé à 2 946,25 $, peut sembler modeste par rapport à des opérations de plus grande envergure, mais ce qui importe, c'est le résultat : archivé.

Dans notre système de suivi, le terme « archivé » signifie que l'opération a été perturbée au point d'être interrompue. Les domaines ont été supprimés. L'infrastructure a été détruite. L'administrateur a été démasqué. 717Team n'a pas cessé ses activités de son plein gré. Elle a été démantelée grâce à des signalements coordonnés, à la suppression de domaines et au partage de renseignements avec des partenaires spécialisés dans la sécurité des blockchains.

Perturbation confirmée

Le statut « ARCHIVÉ » attribué par 717Team n'est pas une étiquette que nous appliquons à la légère. Il traduit une perturbation durable sur plusieurs fronts : suppression de domaines, signalements auprès des hébergeurs, signalement des portefeuilles et divulgation de l'identité de l'administrateur. Le coût de la poursuite de l'opération a dépassé ses revenus. Voilà à quoi ressemble une perturbation réussie.

Admin : @imdebank

Compte Telegram de l'administrateur @imdebank (Identifiant : 7149807602) a été associé à RublevkaTeam, un réseau frauduleux distinct opérant en russe, déjà mis en évidence dans notre enquête sur TON. Le partage des administrateurs entre ces opérations est un schéma récurrent.

Échelle du réseau

125 membres suivi au sein de groupes Telegram. 85 portefeuilles identifiés grâce à une analyse sur la blockchain. 2 946,25 $ confirmé comme ayant quitté l'équipe. L'équipe 717 a recruté via lolz.live, un forum consacré à la cybercriminalité en langue russe.

Infrastructure de domaine

Plus de 12 domaines, dont checkscore.cc, cryptomus-payment.com, check-score.ru, entre autres. Le recours à plusieurs bureaux d'enregistrement de noms de domaine a été utilisé pour tenter de contrer les mesures de suppression coordonnées.

Fonctionnement des bots

Bot Telegram @team717_bot Il gérait la coordination des affiliés, le suivi des victimes et la distribution des gains. Le bot a été désactivé dans le cadre de l'opération de démantèlement.

717 Équipe IOC

Admin : @imdebank (ID : 7149807602)
Groupe associé : RublevkaTeam
Bot : @team717_bot
Forum : lolz.live
Membres : 125 sur chenilles
Portefeuilles : 85 identifiés
Confirmé : épuisé : 2 946,25 $
Statut : ARCHIVÉ (Annulé)

Anti-analyse : présente, mais facile à contourner

TRXDrop utilise deux techniques anti-analyse qui font partie des méthodes classiques de la boîte à outils des « drainers ». Ces deux techniques visent à déjouer une analyse superficielle. Aucune d'entre elles ne constitue toutefois un obstacle sérieux pour un analyste expérimenté.

Pièges du débogueur

A setInterval La boucle se déclenche toutes les 1 000 millisecondes, exécutant une debugger déclaration. Lorsque DevTools est ouvert, cela interrompt l'exécution en continu, donnant l'impression que la page est bloquée. Contournement : Désactiver les points d'arrêt dans DevTools (Ctrl+F8) ou utilisez l'option du menu contextuel « Ne jamais marquer de pause ici ». Durée totale du contournement : 2 secondes.

Détournement de console

Le code écrase console.log, console.warn, et console.error à l'aide de fonctions vides pour masquer l'affichage. C'est ironique, étant donné que le développeur a laissé plus de 30 instructions de débogage que ces redéfinitions sont justement censées masquer. Contournement : Enregistrez une référence aux méthodes de la console d'origine avant le chargement de la page, ou utilisez l'API native de la console du navigateur. Durée totale du contournement : 5 secondes.

L'heure des amateurs

La combinaison d'un code généré par l'IA, d'instructions de débogage en production, d'un chiffrement XOR statique et de mesures anti-analyse facilement contournables montre clairement une chose : l'opérateur de TRXDrop n'est pas un développeur expérimenté. Il s'agit d'un escroc qui a acheté un kit de drainage et demandé à un modèle de langage grand public (LLM) de le personnaliser. Le danger ne réside pas dans la sophistication, mais dans l'accessibilité. Lorsque la seule condition d'accès est de « savoir taper une instruction », le nombre d'opérateurs augmente de manière exponentielle.

Cette tendance se retrouve dans l'ensemble de l'écosystème des « drainer-as-a-service ». Les développeurs de ces kits (en l'occurrence, Angel Drainer) possèdent de réelles compétences techniques. Ce n'est souvent pas le cas des revendeurs et des affiliés qui déploient ces kits. La couche anti-analyse n'existe pas parce que les opérateurs maîtrisent la recherche en sécurité, mais parce que le kit est livré avec cette fonctionnalité activée par défaut.

Données factuelles et veille stratégique

Toutes les preuves mentionnées dans cette enquête sont conservées dans le référentiel PhishDestroy ScamIntelLogs. Chaque opération dispose de son propre répertoire contenant des fichiers de configuration, des extraits de code source, des listes de domaines, des adresses de portefeuilles et des renseignements issus de Telegram.

Preuves TRXDrop

15 domaines, code source, clés XOR, identifiant WalletConnect, compte Telegram de l'opérateur, adresse de portefeuille.

Consulter sur GitHub

Preuves NiceCrypto

Fichiers de configuration, relevés de paiement des affiliés, plans d'expansion multi-chaînes, messages sur les forums.

Consulter sur GitHub

717Team Evidence

Listes de membres, adresses de portefeuille, infrastructure de domaine, données administratives, chronologie des perturbations.

Consulter sur GitHub

Divulgation responsable

Toutes les adresses de portefeuille, listes de domaines et identifiants d'opérateurs publiés dans ce rapport ont été communiqués aux équipes de sécurité blockchain concernées et aux registraires de domaines avant la publication. L'identifiant du projet WalletConnect a été signalé en vue de sa révocation. Si vous gérez une infrastructure concernée par ces indicateurs de compromission (IOC), veuillez nous contacter via @PhishDestroy_bot.

Protégez votre portefeuille

Le « Drainer-as-a-service » prend de l'ampleur. Il suffit d'un message sur Telegram et de quelques centaines de dollars pour s'y lancer. Pour vous protéger, il faut d'abord en prendre conscience.

Ne signez jamais sans avoir lu

Si un site vous demande sans cesse de vous connecter, fermez-le immédiatement. Les airdrops légitimes n'exigent jamais d'autorisations illimitées pour les jetons.

Vérifiez avant de vous connecter

Vérifiez l'ancienneté du domaine, assurez-vous de l'authenticité via les canaux officiels du projet et utilisez un portefeuille jetable pour toute demande d'airdrop.