Kembali ke Berita

Penyelidikan ScamIntelLogs

Crypto Drainer Toolkit: Mengintip Para Penjual Kembali Angel Drainer yang Menargetkan Dompet Anda

Tiga operasi "drainer-as-a-service" dianalisis secara mendalam hingga tingkat kode. Kit phishing yang dihasilkan AI dengan pernyataan debug yang masih beredar di lingkungan produksi. Model afiliasi dengan komisi 80% yang mendorong ekspansi pesat. Dan satu jaringan yang telah diarsipkan yang membuktikan bahwa gangguan terkoordinasi memang efektif. Inilah infrastruktur di balik dompet digital berikutnya yang nyaris Anda akses.

3 Jaringan Pengering Aktif 15+ Domain Phishing Komisi Afiliasi 80% 1 Jaringan yang Diarsipkan
Analisis Jaringan Penguras Kripto
0
Domain Phishing
0
Operasi Pengeringan
0
Anggota yang Dipantau
0
Dompet yang Teridentifikasi
0
Upaya Ulang Paksaan pada Tanda
0
% Komisi Afiliasi

Rantai Serangan 9 Langkah: Dari Airdrop Palsu hingga Dompet Kosong

Setiap serangan "crypto drainer" mengikuti urutan yang dapat diprediksi. Yang membuat operasi "drainer-as-a-service" berbahaya bukanlah inovasi—melainkan skalanya. Rantai serangan yang sama direplikasi di puluhan domain, masing-masing menjadi jebakan baru bagi korban yang tidak curiga. Berikut adalah urutan tepatnya yang diekstraksi dari kode sumber TRXDrop, langkah demi langkah.

Alur Serangan Drainer Lengkap

Rangkaian 9 langkah ini direkonstruksi dari kode sumber TRXDrop yang telah didekompilasi. Setiap langkah didokumentasikan dengan referensi kode yang sesuai di repositori ScamIntelLogs.

Rantai serangan phishing kripto 9 langkah: iklan airdrop palsu, klik target, halaman arahan phishing, menghubungkan dompet, izin berbahaya, menyetujui transaksi, pengurasan token, pencampuran dana, penarikan dana
Rantai serangan phishing kripto 9 langkah — mulai dari iklan airdrop palsu, pengosongan dompet, hingga pencucian uang.
1
Iklan Airdrop Palsu
Korban melihat postingan yang dipromosikan atau pesan Telegram yang mengiklankan airdrop TRX/SOL. Contoh domain: trx-drop.com, tronrefund.com, trxairdrop.io.
2
Halaman Tujuan
Halaman yang tampak profesional ini meniru airdrop resmi dari TRON Foundation. Penghitung mundur dan penghitung klaim palsu menciptakan kesan mendesak.
3
Pemberitahuan WalletConnect
Situs tersebut mengaktifkan WalletConnect menggunakan ID Proyek yang dicuri fbf5b42d9006502246e73447f5d50e33. Korban menghubungkan dompet digitalnya karena mengira hal itu diperlukan untuk mencairkan klaim.
4
Permohonan Izin
Drainer meminta izin token yang luas. Permintaan penandatanganan disengaja dibuat samar untuk menyembunyikan apa yang sedang disetujui.
5
Persetujuan Token
Korban menandatangani sebuah approve() transaksi yang memberikan kontrak drainer wewenang pengeluaran tak terbatas atas token-token tertentu.
6
setApprovalForAll
Transaksi kedua memanggil setApprovalForAll(), sehingga penyerang memperoleh kendali atas NFT dan semua jenis token di dompet tersebut.
7
Token Transfer
Kontrak Drainer segera dihubungi transferFrom() untuk memindahkan semua token yang telah disetujui ke dompet koleksi penyerang.
8
Dompet Kosong
Token rantai asli (TRX, SOL) ditransfer terakhir. Dompet tersebut dikosongkan sepenuhnya. Jika korban menolak, pelaku penipuan akan mencoba lagi hingga 50 kali sebelum mengizinkan pelarian.
9
Dana untuk Operator
Dana yang dicuri dialihkan ke dompet operator. TRXDrop mengenakan komisi sebesar 30 TRX per penarikan. Sisanya diberikan kepada afiliasi yang menyebarkan halaman phishing tersebut.

50 Upaya Ulang Paksa

Jika korban mengklik "Tolak" pada jendela permintaan penandatanganan, kode TRXDrop segera memicu kembali permintaan tersebut. Siklus ini berulang 50 kali sebelum korban diizinkan untuk menutup jendela modal tersebut. Sebagian besar pengguna menyerah dan akhirnya mendaftar setelah 3–5 kali mencoba, karena mengira situs tersebut mengalami gangguan teknis, bukan tindakan jahat. Ini bukanlah sebuah bug. Ini memang dirancang demikian.

Analisis Mendalam TRXDrop: Kode yang Dihasilkan AI dengan Lebih dari 30 Pernyataan Debug di Lingkungan Produksi

Perbandingan keamanan: Diperlukan Otentikasi (gembok hijau) vs Tanpa Otentikasi, Terbuka Lebar (gembok merah yang patah)
API TRXDrop terpapar tanpa otentikasi — siapa pun yang memiliki URL-nya dapat membaca log dompet, data pembayaran, dan ID operator.

TRXDrop adalah penjual kembali Angel Drainer yang menargetkan dompet TRON dan Solana. Yang membedakan operasi ini bukanlah tingkat kecanggihannya — justru sebaliknya. Kode sumbernya menunjukkan tanda-tanda yang tak terbantahkan dari pengembangan yang dibantu AI: struktur yang berulang, komentar yang bertele-tele, dan yang paling jelas, lebih dari 30 console.log pernyataan debug yang masih tersisa dalam kode produksi.

Ini bukanlah ciri-ciri seorang pengembang berpengalaman. Ini adalah ciri-ciri seseorang yang meminta LLM untuk menulis program yang membebani sistem dan langsung menerapkan hasilnya tanpa memeriksanya terlebih dahulu.

Penanda Kode yang Dihasilkan oleh AI

Kode sumber TRXDrop berisi lebih dari 30 console.log pernyataan debug dalam versi produksi. Pesan seperti console.log("Attempting wallet connection...") dan console.log("Approval transaction sent") terlihat di mana-mana. Tidak ada pengembang profesional—dan tidak ada penjahat berpengalaman—yang akan mengirimkan log debug ke lingkungan produksi. Ini adalah hasil keluaran LLM mentah, yang diterapkan apa adanya.

Kunci Enkripsi XOR

Seluruh komunikasi antara antarmuka pengguna drainer dan panel backend dienkripsi menggunakan kunci XOR yang sudah ditetapkan secara permanen: TRX_SECURE_2024_PANEL_KEY. Operasi XOR dengan kunci statis sangat mudah dibalik — ini merupakan indikasi lain dari pengembangan dengan cara salin-tempel.

Panel admin Crypto Drainer v1.2 menampilkan 1.337 korban, $12.450 yang dicuri, dompet yang terhubung, dan riwayat penarikan secara real-time - TERUNGKAP
Panel admin Crypto Drainer v1.2 menampilkan 1.337 korban, $12.450 yang dicuri, dompet yang terhubung, dan riwayat penarikan secara real-time - TERUNGKAP

Penyalahgunaan WalletConnect

ID Proyek WalletConnect fbf5b42d9006502246e73447f5d50e33 terintegrasi dalam seluruh 15+ domain. Pencabutan tunggal terhadap ID proyek ini akan memutus konektivitas dompet di seluruh jaringan TRXDrop secara bersamaan.

50 Upaya Ulang Paksa

Loop permintaan penandatanganan akan mencoba kembali sebanyak 50 kali sebelum mengizinkan korban untuk keluar. Taktik tekanan psikologis ini sudah diprogram secara permanen dan tidak dapat dikonfigurasi oleh afiliasi — ini merupakan fitur inti dari kit Angel Drainer.

Komisi TRX sebesar 30

Setiap penarikan yang berhasil akan mengirimkan komisi sebesar 30 TRX ke dompet operator. Dengan tarif saat ini, jumlahnya sekitar $7–8 USD per korban — margin yang rendah, yang menunjukkan bahwa operasi ini lebih mengandalkan volume daripada nilai.

Kecerdasan Operator

Telegram: @STNlRAWbIaFLiH (ID Pengguna: 6823931109)
Dompet Koleksi: TRAGn9E6hbTiQrYG5V4sk1gNv3JaWHSxak
Rantai yang Menjadi Sasaran: TRON, Solana
Kit Pengering: Angel Drainer (bekas/dimodifikasi)

Infrastruktur Domain TRXDrop (15+ Domain)

DomainJenisStatus
trx-drop.comPendaratan utamaAktif
tronrefund.comIming-iming pengembalian uangAktif
tronfund.netIming-iming danaAktif
trxfund.proIming-iming danaAktif
trxairdrop.ioIming-iming airdropAktif
trondrop.orgIming-iming airdropAktif
tronreward.comUmpan hadiahAktif
tronreward.netUmpan hadiahAktif
tronrefund.netIming-iming pengembalian uangAktif
trxfund.orgIming-iming danaAktif
trxdrop.comIming-iming airdropAktif
trxdrop.orgIming-iming airdropAktif
trongiving.comHadiah umpanAktif
tronclaims.comIklan yang menggiurkanAktif
trondrop.proIming-iming airdropAktif

NiceCrypto: Mesin Komisi 80%

Alur komisi operasional Drainer-as-a-Service: 80% untuk operator, 20% sebagai biaya pengembang, dari dompet korban melalui kontrak pintar
Alur komisi Drainer-as-a-Service: 80% untuk operator afiliasi, 20% sebagai biaya pengembang — dari dompet korban melalui kontrak pintar hingga proses pencucian uang.

NiceCrypto beroperasi berdasarkan prinsip sederhana: berikan mitra afiliasi komisi tertinggi di pasar drainer, dan mereka akan mendatangkan korban. Dengan komisi sebesar 80%, NiceCrypto menawarkan pembagian komisi afiliasi paling besar yang pernah kami catat di antara semua operasi "drainer-as-a-service". Operator hanya mengambil 20% — margin yang sangat tipis yang hanya bisa menguntungkan jika dijalankan dalam skala besar.

Perhitungannya sederhana. Jika seorang afiliasi menguras dompet yang berisi token senilai $1.000, ia akan mendapatkan $800. NiceCrypto mengambil $200. Dengan total pembayaran afiliasi yang tercatat sebesar $8.454+, operasi ini telah memproses setidaknya $42.270 dana curian — dan angka tersebut hanya mencakup pembayaran yang dapat kami amati secara langsung di blockchain.

Model Pendapatan: Pembagian 80/20

$8,454+ Jumlah pembayaran yang tercatat kepada afiliasi tersebut merupakan batas bawah, bukan batas atas. Dengan tingkat komisi afiliasi sebesar 80%, total dana yang dicuri yang diproses oleh NiceCrypto melebihi $42,000 minimum. Angka sebenarnya kemungkinan jauh lebih tinggi, karena tidak semua transaksi tercatat dalam rentang pemantauan kami.

Perluasan Multi-Rantai

NiceCrypto awalnya beroperasi di TRON, namun berkas konfigurasi yang berhasil dipulihkan dari infrastruktur mereka menunjukkan adanya ekspansi aktif ke Solana, Rantai yang kompatibel dengan EVM (Ethereum, BSC, Polygon), dan TON. Empat ekosistem blockchain di bawah satu panel pengendali.

Keikutsertaan dalam Forum

NiceCrypto merekrut mitra afiliasi melalui wwh2club.to, sebuah forum kejahatan siber yang terkenal. Bot Telegram mereka @NCsetup_bot menangani proses orientasi — afiliasi baru akan menerima paket alat yang sudah disiapkan dalam hitungan menit setelah dihubungi.

Koneksi WasabiSquad

Domain situs web NiceCrypto wasabihub.one menimbulkan pertanyaan mengenai kemungkinan adanya kaitan dengan operasi WasabiSquad. Apakah ini merupakan infrastruktur bersama, perubahan merek, atau sekadar kebetulan, hal ini memerlukan penyelidikan lebih lanjut.

Otomatisasi Telegram

Bot @NCsetup_bot mengotomatiskan pengelolaan afiliasi: penyediaan perangkat drainer, pelacakan komisi, dan penyaluran pembayaran. Operator jarang perlu berinteraksi langsung dengan para afiliasi.

IOC NiceCrypto

Bot Telegram: @NCsetup_bot
Situs web: wasabihub.one
Forum: wwh2club.to
Komisi Afiliasi: 80%
Pembayaran yang Tercatat: $8,454+
Rantai: TRON (aktif), Solana (sedang berkembang), EVM (sedang berkembang), TON (sedang berkembang)

80% untuk mitra afiliasi. Kami mengambil 20%. Anda mendatangkan pengunjung, kami mengurus kodenya. Proses penyiapan hanya butuh 5 menit.
-- Iklan NiceCrypto di wwh2club.to

717Team: Diarsipkan = Disruption Works

717Team adalah bukti bahwa operasi semacam ini bisa dihentikan. Dengan 125 anggota dan 85 dompet yang terlacak, 717Team merupakan operasi pencurian dana berskala menengah yang mengoperasikan lebih dari 12 domain phishing. Jumlah total dana yang berhasil dikuras sebesar $2.946,25 mungkin tampak tidak terlalu besar dibandingkan dengan operasi-operasi yang lebih besar, tetapi inti dari cerita ini adalah hasilnya: telah diarsipkan.

Dalam sistem pelacakan kami, istilah "diarsipkan" berarti operasi tersebut telah terganggu hingga akhirnya dihentikan. Domain-domain telah dihapuskan. Infrastrukturnya dihancurkan. Identitas admin terungkap. 717Team tidak menghentikan operasinya secara sukarela. Operasi tersebut dihentikan melalui pelaporan terkoordinasi, penghapusan domain, dan berbagi informasi intelijen dengan mitra keamanan blockchain.

Gangguan Telah Dikonfirmasi

Status "ARCHIVED" dari 717Team bukanlah label yang kami berikan begitu saja. Hal ini menandakan gangguan yang berkelanjutan di berbagai aspek: Penghapusan domain, laporan dari penyedia hosting, penandaan dompet, dan terungkapnya identitas admin. Biaya operasional untuk melanjutkan kegiatan tersebut melebihi pendapatannya. Inilah wujud dari gangguan yang berhasil.

Admin: @imdebank

Nama pengguna Admin di Telegram @imdebank (ID Pengguna: 7149807602) telah dikaitkan dengan Tim Rublevka, sebuah jaringan penipuan berbahasa Rusia yang terpisah dan sebelumnya telah didokumentasikan dalam penyelidikan TON kami. Praktik berbagi peran admin antar-operasi merupakan pola yang sering terjadi.

Skala Jaringan

125 anggota dilacak melalui grup-grup Telegram. 85 dompet diidentifikasi melalui analisis on-chain. $2,946.25 Telah dipastikan habis. 717Team direkrut melalui lolz.live, sebuah forum kejahatan siber berbahasa Rusia.

Infrastruktur Domain

12+ domain, termasuk checkscore.cc, cryptomus-payment.com, check-score.ru, dan lainnya. Beberapa penyedia layanan pendaftaran domain digunakan dalam upaya untuk menentang Penghapusan yang terkoordinasi.

Operasi Bot

Bot Telegram @team717_bot mengelola koordinasi afiliasi, pelacakan korban, dan penyaluran pembayaran. Bot tersebut dinonaktifkan sebagai bagian dari upaya pencegahan.

717Tim IOC

Admin: @imdebank (ID: 7149807602)
Grup Terkait: Tim Rublevka
Bot: @team717_bot
Forum: lolz.live
Anggota: 125 yang dilacak
Dompet: 85 teridentifikasi
Telah Dipastikan Kosong: $2,946.25
Status:DIARSIPKAN (Terganggu)

Anti-Analisis: Ada, tetapi Mudah Dilewati

TRXDrop menerapkan dua teknik anti-analisis yang menjadi standar dalam panduan penggunaan toolkit drainer. Keduanya dirancang untuk menyulitkan pemeriksaan sekilas. Namun, tidak ada satupun yang menjadi hambatan berarti bagi seorang analis yang terlatih.

Perangkap Debugger

A setInterval loop dijalankan setiap 1.000 milidetik, menjalankan sebuah debugger pernyataan. Saat DevTools terbuka, hal ini akan terus-menerus menghentikan sementara eksekusi, sehingga halaman tampak macet. Bypass: Nonaktifkan titik henti di DevTools (Ctrl+F8) atau gunakan opsi menu konteks "Jangan pernah berhenti di sini". Total waktu melewati bagian ini: 2 detik.

Pembajakan Konsol

Kode tersebut menimpa console.log, console.warn, dan console.error dengan fungsi kosong untuk menonaktifkan keluaran. Ironisnya, padahal pengembang justru meninggalkan lebih dari 30 pernyataan debug yang justru dimaksudkan untuk disembunyikan oleh penggantian fungsi tersebut. Bypass: Simpan referensi ke metode konsol asli sebelum halaman dimuat, atau gunakan API konsol bawaan browser. Total waktu bypass: 5 detik.

Waktu Para Amatir

Kombinasi antara kode yang dihasilkan AI, pernyataan debug di lingkungan produksi, enkripsi XOR statis, dan mekanisme anti-analisis yang sangat mudah dilewati menggambarkan gambaran yang jelas: operator TRXDrop bukanlah seorang pengembang yang terampil. Mereka adalah penipu yang membeli "drainer kit" dan memerintahkan model bahasa besar (LLM) untuk menyesuaikannya. Bahayanya bukanlah tingkat kecanggihannya — melainkan kemudahan aksesnya. Ketika syarat untuk masuk hanyalah "apakah Anda bisa mengetikkan prompt", jumlah operator pun tumbuh secara eksponensial.

Pola ini konsisten di seluruh ekosistem "drainer-as-a-service". Pengembang kit (dalam hal ini, Angel Drainer) memiliki kemampuan teknis yang mumpuni. Sebaliknya, para pengecer dan afiliasi yang menerapkan kit-kit ini seringkali tidak memilikinya. Lapisan anti-analisis tersebut ada bukan karena para operator memahami penelitian keamanan—melainkan karena kit tersebut sudah dilengkapi dengan fitur tersebut yang diaktifkan secara default.

Bukti & Intelijen Sumber

Semua bukti yang dirujuk dalam penyelidikan ini disimpan di repositori PhishDestroy ScamIntelLogs. Setiap operasi memiliki direktori tersendiri yang berisi berkas konfigurasi, cuplikan kode sumber, daftar domain, alamat dompet, dan informasi intelijen dari Telegram.

Bukti TRXDrop

15 domain, kode sumber, kunci XOR, ID WalletConnect, akun Telegram operator, alamat dompet.

Lihat di GitHub

Bukti NiceCrypto

Berkas konfigurasi, catatan pembayaran afiliasi, rencana ekspansi multi-rantai, postingan forum.

Lihat di GitHub

Bukti Tim 717

Daftar anggota, alamat dompet, infrastruktur domain, data analitik admin, garis waktu gangguan.

Lihat di GitHub

Pengungkapan yang Bertanggung Jawab

Semua alamat dompet, daftar domain, dan pengenal operator yang dipublikasikan dalam laporan ini telah disampaikan kepada tim keamanan blockchain dan penyedia layanan pendaftaran domain terkait sebelum diterbitkan. ID Proyek WalletConnect telah dilaporkan untuk dicabut. Jika Anda mengelola infrastruktur yang terpengaruh oleh IOC ini, silakan hubungi kami melalui @PhishDestroy_bot.

Lindungi Dompet Anda

Layanan "Drainer-as-a-service" semakin berkembang. Hambatan untuk bergabung hanyalah sebuah pesan di Telegram dan beberapa ratus dolar. Pertahanan Anda dimulai dari kewaspadaan.

Jangan Pernah Menandatangani Tanpa Memahami Isinya

Jika sebuah situs terus-menerus menampilkan permintaan untuk melakukan penandatanganan, segera tutup situs tersebut. Airdrop yang sah tidak pernah meminta persetujuan token tanpa batas.

Pastikan Terlebih Dahulu Sebelum Menghubungkan

Periksa usia domain, verifikasi melalui saluran resmi proyek, dan gunakan dompet sementara untuk mengklaim airdrop apa pun.

Gunakan Dompet Perangkat Keras

Simpan aset dalam jumlah besar di dompet perangkat keras. Jangan pernah menghubungkan dompet utama Anda ke situs yang belum terverifikasi.

Laporkan Ancaman

Menemukan situs yang membocorkan data? Laporkan ke @PhishDestroy_bot atau periksa domain di analisis.destroy.tools.

Laporkan Domain Menganalisis Sebuah Domain

Bagikan Investigasi Ini

X / Twitter Telegram Reddit LinkedIn

Penyelidikan Terkait

BUYTRX Terbongkar: 55 Domain & Penipu yang Menyalahgunakan Persetujuan TRON
PENYELIDIKAN
BUYTRX Terbongkar: 55 Domain & Penipu yang Menyalahgunakan Persetujuan TRON
Panel Phishing Trust Wallet: $239K Dicuri, 6 Pelaku
PENELITIAN MENDALAM
Panel Phishing Trust Wallet: $239K Dicuri, 6 Pelaku
Analisis Teknik Phishing Kripto: 8 Program Pencuri Frasa Benih Asli yang Telah Dianalisis Secara Terbalik
PENELITIAN MENDALAM
Analisis Teknik Phishing Kripto: 8 Program Pencuri Frasa Benih Asli yang Telah Dianalisis Secara Terbalik
Pemberitahuan mengenai transparansi. PhishDestroy adalah proyek independen yang bersifat non-komersial. Penelitian kami mungkin mencerminkan bias bawaan terhadap infrastruktur penipuan dan layanan yang mendukungnya. Kami mendorong para pembaca untuk mengevaluasi semua materi secara kritis dan mandiri. Baca pernyataan transparansi lengkap kami →