तीन ड्रेनर-एज़-ए-सर्विस ऑपरेशंस को कोड स्तर पर विच्छेदित किया गया। एआई-जनित फिशिंग किट्स, जिनमें डिबग स्टेटमेंट्स अभी भी प्रोडक्शन में हैं। एक 80% कमीशन वाला एफिलिएट मॉडल जो तीव्र विस्तार को बढ़ावा दे रहा है। और एक संग्रहीत नेटवर्क जो यह साबित करता है कि समन्वित व्यवधान प्रभावी होता है। यह उस अगले वॉलेट के पीछे की बुनियादी संरचना है जिससे आप लगभग जुड़ने वाले थे।
~10 मिनट का पठन· अद्यतन मार्च २०२६· फिश को नष्ट करो खुफिया जानकारी
9-चरणीय हमला श्रृंखला: नकली एयरड्रॉप से खाली वॉलेट तक
हर क्रिप्टो ड्रेनर एक पूर्वानुमेय अनुक्रम का पालन करता है। ड्रेनर-एज़-ए-सर्विस संचालन को खतरनाक बनाने वाली बात नवाचार नहीं है—बल्कि इसका पैमाना है। वही हमला श्रृंखला दर्जनों डोमेनों में दोहराई जाती है, प्रत्येक एक अनजान शिकार के लिए एक ताज़ा जाल है। यहाँ TRXDrop के सोर्स कोड से चरण-दर-चरण निकाला गया सटीक अनुक्रम है।
पूर्ण ड्रेनर आक्रमण प्रवाह
यह 9-चरणीय श्रृंखला डीकंपाइल किए गए TRXDrop स्रोत कोड से पुनर्निर्मित की गई थी। प्रत्येक चरण को ScamIntelLogs रिपॉजिटरी में संबंधित कोड संदर्भों के साथ दस्तावेजीकृत किया गया है।
9-चरणीय क्रिप्टो फ़िशिंग हमले की श्रृंखला — नकली एयरड्रॉप विज्ञापन से लेकर वॉलेट खाली करने और मनी लॉन्ड्रिंग तक।
1
नकली एयरड्रॉप विज्ञापन पीड़ित एक प्रमोटेड पोस्ट या टेलीग्राम संदेश देखता है जो TRX/SOL एयरड्रॉप का विज्ञापन कर रहा है। डोमेन उदाहरण: trx-drop.com, tronrefund.com, trxairdrop.io।
2
लैंडिंग पेज पेशेवर दिखने वाला पेज एक वैध TRON फाउंडेशन एयरड्रॉप की नकल करता है। काउंटडाउन टाइमर और नकली क्लेम काउंटर तात्कालिकता पैदा करते हैं।
3
WalletConnect प्रॉम्प्ट साइट चोरी किए गए प्रोजेक्ट आईडी का उपयोग करके वॉलेटकनेक्ट शुरू करती है। fbf5b42d9006502246e73447f5d50e33पीड़ित यह मानकर अपना बटुआ जोड़ता है कि दावा करने के लिए यह आवश्यक है।
4
अनुमति अनुरोध ड्रेनर व्यापक टोकन अनुमतियाँ अनुरोध करता है। हस्ताक्षर प्रॉम्प्ट जानबूझकर अस्पष्ट है ताकि यह अस्पष्ट हो कि क्या अनुमोदित किया जा रहा है।
5
टोकन अनुमोदन पीड़ित एक पर हस्ताक्षर करता है
approve()
लेन-देन, जो ड्रेनर कॉन्ट्रैक्ट को विशिष्ट टोकन पर असीमित खर्च करने का अधिकार प्रदान करता है।
6
सभी के लिए अनुमोदन सेट करें एक दूसरा लेनदेन कॉल करता है
setApprovalForAll(), जिससे हमलावर को वॉलेट में मौजूद सभी एनएफटी और टोकन प्रकारों पर नियंत्रण मिल जाता है।
7
स्थानांतरण टोकन ड्रेनर कॉन्ट्रैक्ट तुरंत कॉल करता है
transferFrom()
सभी स्वीकृत टोकन हमलावर के वॉलेट में स्थानांतरित करने के लिए।
8
पैसे खींचना नेटिव चेन टोकन (TRX, SOL) सबसे अंत में स्थानांतरित किए जाते हैं। वॉलेट पूरी तरह से खाली कर दिया जाता है। यदि पीड़ित अस्वीकार कर देता है, तो ड्रेनर अधिकतम तक पुनः प्रयास करता है। पचास बार भागने की अनुमति देने से पहले।
9
ऑपरेटर को निधियाँ चोरी किए गए फंड ऑपरेटर के वॉलेट में भेज दिए जाते हैं। TRXDrop प्रति ड्रेन 30 TRX कमीशन लेता है। बाकी फंड उस एफिलिएट को जाता है जिसने फिशिंग पेज डिप्लॉय किया था।
50 जबरन रिट्री
यदि कोई पीड़ित साइनिंग प्रॉम्प्ट पर "Reject" पर क्लिक करता है, तो TRXDrop कोड तुरंत अनुरोध को फिर से ट्रिगर करता है। यह लूप दोहराया जाता है।
पचास बार पीड़ित को मोडल बंद करने की अनुमति देने से पहले। ज़्यादातर उपयोगकर्ता 3-5 प्रयासों के बाद हार मान लेते हैं और साइन कर देते हैं, यह मानते हुए कि साइट दुर्भावनापूर्ण होने के बजाय गड़बड़ है। यह कोई बग नहीं है। यह जानबूझकर ऐसा किया गया है।
TRXDrop गहन विश्लेषण: प्रोडक्शन में 30+ डिबग स्टेटमेंट्स के साथ एआई-जनित कोड
TRXDrop API बिना प्रमाणीकरण के एक्सपोज़ — URL वाला कोई भी व्यक्ति वॉलेट लॉग, भुगतान डेटा, और ऑपरेटर आईडी पढ़ सकता है।
TRXDrop एक एंजल ड्रेनर रीसेलर है जो TRON और Solana वॉलेट्स को निशाना बनाता है। इस ऑपरेशन को जो अलग बनाता है वह इसकी परिष्कृतता नहीं है -- बल्कि इसका ठीक उल्टा है। सोर्स कोड एआई-सहायक विकास के स्पष्ट संकेत प्रकट करता है: दोहराव वाली संरचना, विस्तृत टिप्पणी, और सबसे स्पष्ट रूप से, 30 से अधिक console.log प्रोडक्शन कोड में छूटे हुए डिबग स्टेटमेंट्स।
ये एक अनुभवी डेवलपर के लक्षण नहीं हैं। ये उन व्यक्ति के लक्षण हैं जिन्होंने एक एलएलएम से ड्रेनर लिखने के लिए कहा और बिना समीक्षा के आउटपुट को तैनात कर दिया।
एआई-जनित कोड मार्कर
TRXDrop कोडबेस में 30 से अधिक शामिल हैं। console.log प्रोडक्शन बिल्ड में डिबग स्टेटमेंट्स। इस तरह के संदेश console.log("Attempting wallet connection...") और console.log("Approval transaction sent") पूरे में दिखाई देता है। कोई पेशेवर डेवलपर — और कोई अनुभवी अपराधी — प्रोडक्शन में डिबग लॉगिंग नहीं भेजता। यह कच्चा LLM आउटपुट है, जैसा है वैसा ही तैनात किया गया है।
XOR एन्क्रिप्शन कुंजी
ड्रेनर फ्रंटएंड और बैकएंड पैनल के बीच सभी संचार एक हार्डकोडेड XOR कुंजी से एन्क्रिप्ट किया गया है: TRX_SECURE_2024_PANEL_KEYएक स्थिर कुंजी के साथ XOR करना आसानी से उलटा जा सकता है -- यह कॉपी-पेस्ट विकास का एक और संकेत है।
क्रिप्टो ड्रेनर एडमिन पैनल v1.2 में 1,337 पीड़ित, $12,450 चोरी, जुड़े वॉलेट और रीयल-टाइम ड्रेन लॉग दिखाए जा रहे हैं - उजागर
WalletConnect का दुरुपयोग
WalletConnect प्रोजेक्ट आईडी fbf5b42d9006502246e73447f5d50e33 यह सभी 15+ डोमेन में एम्बेड किया गया है। इस प्रोजेक्ट आईडी का एक ही रद्दीकरण पूरे TRXDrop नेटवर्क में वॉलेट कनेक्टिविटी को एक साथ अक्षम कर देगा।
50 जबरन रिट्री
साइनिंग प्रॉम्प्ट लूप पीड़ित को बाहर निकलने की अनुमति देने से पहले 50 बार पुनः प्रयास करता है। यह मनोवैज्ञानिक दबाव की रणनीति हार्डकोड की गई है, जिसे सहयोगी कॉन्फ़िगर नहीं कर सकते — यह एंजेल ड्रेनर किट की एक मुख्य विशेषता है।
30 TRX कमीशन
प्रत्येक सफल ड्रेन ऑपरेटर वॉलेट में 30 TRX कमीशन भेजता है। वर्तमान दरों पर, यह प्रति पीड़ित लगभग $7–8 USD है — एक कम मार्जिन जो दर्शाता है कि यह ऑपरेशन मूल्य की तुलना में मात्रा पर निर्भर है।
ड्रेनर-एज़-ए-सर्विस कमीशन प्रवाह: 80% संबद्ध ऑपरेटर को, 20% डेवलपर शुल्क — पीड़ित वॉलेट से स्मार्ट कॉन्ट्रैक्ट के माध्यम से लॉन्ड्रिंग तक।
NiceCrypto एक सरल प्रस्ताव पर काम करता है: ड्रेनर मार्केट में सहयोगियों को सबसे ऊँचा भुगतान दें, और वे पीड़ितों को लाएंगे। 80% कमीशन पर, NiceCrypto किसी भी ड्रेनर-एज़-ए-सर्विस ऑपरेशन में हमने अब तक दर्ज की गई सबसे उदार एफिलिएट स्प्लिट प्रदान करता है। ऑपरेटर केवल 20% रखता है -- एक बेहद पतला मार्जिन जो केवल बड़े पैमाने पर ही काम करता है।
गणित सीधा-सादा है। यदि कोई संबद्ध $1,000 के टोकन वाले वॉलेट को खाली करता है, तो वह $800 रखता है। NiceCrypto $200 लेता है। $8,454+ के दस्तावेजीकृत एफिलिएट भुगतान के साथ, इस ऑपरेशन ने कम से कम $42,270 की चोरी की गई धनराशि संसाधित की है -- और यह आंकड़ा केवल उन भुगतानों का है जिन्हें हम सीधे ऑन-चेन देख सकते हैं।
राजस्व मॉडल: 80/20 विभाजन
$8,454+ प्रलेखित भुगतान में सहयोगियों को दिया गया राशि न्यूनतम सीमा दर्शाती है, अधिकतम नहीं। 80% सहयोगी दर पर, NiceCrypto द्वारा संसाधित कुल चोरी की गई धनराशि से अधिक $42,000 न्यूनतम। वास्तविक आंकड़ा संभवतः काफी अधिक है, क्योंकि हमारी निगरानी अवधि में सभी लेनदेन दर्ज नहीं होते हैं।
मल्टी-चेन विस्तार
NiceCrypto ने TRON पर शुरुआत की, लेकिन उनके इन्फ्रास्ट्रक्चर से बरामद कॉन्फ़िगरेशन फ़ाइलें सक्रिय विस्तार की ओर इशारा करती हैं। सोलोना, ईवीएम-संगत चेन (इथेरियम, बीएससी, पॉलीगॉन), और टनएक ही ड्रेनर पैनल के तहत चार ब्लॉकचेन इकोसिस्टम।
फोरम उपस्थिति
NiceCrypto एफिलिएट्स को के माध्यम से भर्ती करता है wwh2club.to, एक जाना-माना साइबर अपराध फोरम। उनका टेलीग्राम बॉट @NCsetup_bot ऑनबोर्डिंग को संभालता है -- नए सहयोगी संपर्क के कुछ ही मिनटों के भीतर एक कॉन्फ़िगर किया हुआ ड्रेनर किट प्राप्त करते हैं।
वासाबीस्क्वॉड कनेक्शन
NiceCrypto की वेबसाइट का डोमेन wasabihub.one यह वासाबीस्क्वाड ऑपरेशन से संभावित संबंध के बारे में प्रश्न उठाता है। यह साझा अवसंरचना है, पुनःब्रांडिंग है, या संयोग है, यह जानने के लिए और जांच की आवश्यकता है।
टेलीग्राम ऑटोमेशन
बॉट @NCsetup_bot एफिलिएट प्रबंधन को स्वचालित करता है: ड्रेनर किट की तैनाती, कमीशन ट्रैकिंग और भुगतान वितरण। ऑपरेटर को एफिलिएट्स के साथ सीधे बातचीत करने की शायद ही कभी आवश्यकता होती है।
नाइसक्रिप्टो आईओसी्स
टेलीग्राम बॉट:@NCsetup_bot वेबसाइट:wasabihub.one मंच:wwh2club.to एफिलिएट कमीशन: 80% दस्तावेजीकृत भुगतान: $8,454+ श्रृंखलाएँ: ट्रॉन (सक्रिय), सोलैना (विस्तारित हो रहा), ईवीएम (विस्तारित हो रहा), टोन (विस्तारित हो रहा)
एफिलिएट्स को 80%। हम 20% रखते हैं। आप ट्रैफ़िक लाएँ, हम कोड संभालते हैं। सेटअप में 5 मिनट लगते हैं।
wwh2club.to पर NiceCrypto विज्ञापन
717टीम: संग्रहीत = व्यवधान कार्य करता है
717Team इस बात का प्रमाण है कि इन ऑपरेशनों को रोका जा सकता है। 125 सदस्यों और 85 ट्रैक किए गए वॉलेट्स के साथ, 717Team एक मध्यम आकार का ड्रेन ऑपरेशन था जो 12 से अधिक फिशिंग डोमेन चला रहा था। पुष्ट निकासी कुल $2,946.25 बड़े ऑपरेशनों की तुलना में मामूली लग सकती है, लेकिन असली कहानी परिणाम है: संचित.
हमारी ट्रैकिंग प्रणाली में "आर्काइव्ड" का अर्थ है कि ऑपरेशन को पूरी तरह से बंद कर दिया गया है। डोमेन हटा दिए गए। बुनियादी ढांचा नष्ट कर दिया गया। एडमिन बेनकाब हो गया। 717Team ने स्वेच्छा से बंद नहीं किया। इसे समन्वित रिपोर्टिंग, डोमेन हटाने और ब्लॉकचेन सुरक्षा साझेदारों के साथ खुफिया जानकारी साझा करने के माध्यम से बंद किया गया।
विघटन की पुष्टि
717Team की 'ARCHIVED' स्थिति कोई ऐसा लेबल नहीं है जिसे हम हल्के में लगाते हों। इसका मतलब है कई मोर्चों पर निरंतर व्यवधान: डोमेन हटाना, होस्टिंग प्रदाता की रिपोर्टें, वॉलेट पर फ्लैगिंग, और एडमिन की पहचान का खुलासा। इस ऑपरेशन को जारी रखने की लागत इसकी आय से अधिक हो गई थी। सफल व्यवधान का यही रूप होता है।
प्रशासक: @imdebank
प्रशासन टेलीग्राम हैंडल @imdebank (उपयोगकर्ता आईडी: 7149807602) से जुड़ा हुआ है रूबलेवका टीम, एक अलग रूसी-भाषा का घोटाला नेटवर्क जो पहले हमारी TON जांच में दस्तावेजीकृत किया गया था। क्रॉस-ऑपरेशन एडमिन साझाकरण एक बार-बार दोहराया जाने वाला पैटर्न है।
नेटवर्क पैमाना
१२५ सदस्य टेलीग्राम समूहों में ट्रैक किया गया। ८५ बटुए ऑन-चेन विश्लेषण के माध्यम से पहचाना गया। $2,946.25 पुष्टि हुई कि खाली कर दिया गया। 717टीम भर्ती की गई। lolz.live, एक रूसी-भाषा का साइबर अपराध मंच।
डोमेन अवसंरचना
12+ डोमेन सहित checkscore.cc, cryptomus-payment.com, check-score.ru, और अन्य। समन्वित कार्रवाई से बचने के प्रयास में कई डोमेन रजिस्टरों का उपयोग किया गया।
बॉट संचालन
टेलीग्राम बॉट @team717_bot प्रबंधित संबद्ध समन्वय, पीड़ित ट्रैकिंग और भुगतान वितरण। व्यवधान प्रयास के हिस्से के रूप में बॉट को निष्क्रिय कर दिया गया था।
717टीम आईओसी
प्रशासक:@imdebank (आईडी: 7149807602) लिंक्ड समूह: रूबलेवका टीम बॉट:@team717_bot मंच:lolz.live सदस्य: 125 ट्रैक किए गए बटुए: 85 की पहचान पुष्टि किया गया निकासी: $2,946.25 स्थिति:संग्रहीत (बाधित)
विश्लेषण-विरोधी: मौजूद लेकिन बाईपास करने में तुच्छ
TRXDrop ड्रेनर टूलकिट प्लेबुक में मानक दो एंटी-विश्लेषण तकनीकों को तैनात करता है। दोनों को आकस्मिक निरीक्षण को निराश करने के लिए डिज़ाइन किया गया है। प्रशिक्षित विश्लेषक के लिए इनमें से कोई भी कोई सार्थक बाधा नहीं है।
डिबगर ट्रैप्स
A setInterval हर 1,000 मिलीसेकंड में लूप फायर होता है, एक निष्पादित करते हुए debugger बयान। जब DevTools खुला होता है, तो यह निष्पादन को लगातार रोकता रहता है, जिससे ऐसा प्रतीत होता है कि पेज ठप हो गया है। बाईपास: DevTools में ब्रेकपॉइंट्स अक्षम करें (Ctrl+F8) या "यहाँ कभी विराम न दें" संदर्भ मेनू विकल्प का उपयोग करें। कुल बाईपास समय: 2 सेकंड।
कंसोल हाईजैकिंग
कोड अधिलेखित कर देता है console.log, console.warn, और console.error आउटपुट दबाने के लिए खाली फ़ंक्शन्स के साथ। यह विडंबनापूर्ण है, क्योंकि डेवलपर ने 30 से अधिक डिबग स्टेटमेंट्स छोड़े थे जिन्हें ये ओवरराइड्स छिपाने के लिए डिज़ाइन किए गए हैं। बाईपास: पृष्ठ लोड होने से पहले मूल कंसोल विधियों का एक संदर्भ सहेजें, या ब्राउज़र के नेटिव कंसोल API का उपयोग करें। कुल बाईपास समय: 5 सेकंड।
शौकिया घंटा
एआई-जनित कोड, प्रोडक्शन में डीबग स्टेटमेंट्स, स्टैटिक XOR एन्क्रिप्शन, और आसानी से बाईपास हो जाने वाला एंटी-एनालिसिस का संयोजन एक स्पष्ट तस्वीर पेश करता है: TRXDrop का ऑपरेटर एक कुशल डेवलपर नहीं है। वे एक स्कैमर हैं जिन्होंने एक ड्रेनर किट खरीदी और उसे कस्टमाइज़ करने के लिए एक एलएलएम को निर्देश दिया। खतरा परिष्कार में नहीं है -- यह सुलभता में है। जब प्रवेश की बाधा "क्या आप एक प्रॉम्प्ट टाइप कर सकते हैं" हो, तो ऑपरेटरों की संख्या घातीय रूप से बढ़ जाती है।
यह पैटर्न ड्रेनर-एज़-ए-सर्विस इकोसिस्टम में सर्वत्र समान है। किट डेवलपर्स (इस मामले में एंजेल ड्रेनर) के पास वास्तविक तकनीकी क्षमता होती है। इन किट्स को लागू करने वाले रीसेलर्स और एफिलिएट्स के पास अक्सर यह क्षमता नहीं होती। एंटी-एनालिसिस लेयर इसलिए मौजूद नहीं है कि ऑपरेटर सुरक्षा अनुसंधान को समझते हैं—यह इसलिए मौजूद है क्योंकि किट डिफ़ॉल्ट रूप से सक्षम होकर आती है।
साक्ष्य और स्रोत खुफिया जानकारी
इस जांच में संदर्भित सभी साक्ष्य PhishDestroy ScamIntelLogs रिपॉजिटरी में संरक्षित हैं। प्रत्येक ऑपरेशन की अपनी डायरेक्टरी होती है, जिसमें कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड के अंश, डोमेन सूचियाँ, वॉलेट पते और टेलीग्राम खुफिया जानकारी शामिल होती हैं।
इस रिपोर्ट में प्रकाशित सभी वॉलेट पते, डोमेन सूचियाँ और ऑपरेटर पहचानकर्ता प्रकाशन से पहले संबंधित ब्लॉकचेन सुरक्षा टीमों और डोमेन रजिस्ट्रारों के साथ साझा किए गए हैं। वॉलेटकनेक्ट प्रोजेक्ट आईडी को रद्द करने के लिए रिपोर्ट किया गया है। यदि आप इन IOCs से प्रभावित अवसंरचना संचालित करते हैं, तो हमसे संपर्क करें। @PhishDestroy_bot.
अपने बटुए की रक्षा करें
ड्रेनर-एज़-ए-सर्विस विस्तार कर रहा है। प्रवेश की बाधा एक टेलीग्राम संदेश और कुछ सौ डॉलर है। आपकी रक्षा जागरूकता से शुरू होती है।
अंधाधुंध हस्ताक्षर कभी न करें
यदि कोई साइट बार-बार साइनिंग प्रॉम्प्ट दिखाती है, तो उसे तुरंत बंद कर दें। वैध एयरड्रॉप्स कभी भी असीमित टोकन अनुमोदन नहीं मांगते।
जोड़ने से पहले सत्यापित करें
डोमेन की आयु जांचें, आधिकारिक प्रोजेक्ट चैनलों के माध्यम से सत्यापित करें, और किसी भी एयरड्रॉप दावे के लिए बर्नर वॉलेट का उपयोग करें।
हार्डवेयर वॉलेट का उपयोग करें
हार्डवेयर वॉलेट्स पर बड़ी मात्रा में होल्डिंग्स रखें। कभी भी अपने मुख्य वॉलेट को अप्रमाणित साइटों से न जोड़ें।
पारदर्शिता सूचना। PhishDestroy एक गैर-व्यावसायिक, स्वतंत्र परियोजना है। हमारा शोध घोटाले की अवसंरचना और इसे सक्षम करने वाली सेवाओं के प्रति अंतर्निहित पक्षपात को प्रतिबिंबित कर सकता है। हम पाठकों को सभी सामग्री का आलोचनात्मक और स्वतंत्र मूल्यांकन करने के लिए प्रोत्साहित करते हैं। हमारा पूरा पारदर्शिता विवरण पढ़ें →