Tiga operasi "drainer-as-a-service" dianalisis secara mendalam hingga tingkat kode. Kit phishing yang dihasilkan AI dengan pernyataan debug yang masih beredar di lingkungan produksi. Model afiliasi dengan komisi 80% yang mendorong ekspansi pesat. Dan satu jaringan yang telah diarsipkan yang membuktikan bahwa gangguan terkoordinasi memang efektif. Inilah infrastruktur di balik dompet digital berikutnya yang nyaris Anda akses.
~10 menit waktu baca· Diperbarui Maret 2026· PhishDestroy Intelligence
3 Jaringan Pengering Aktif 15+ Domain Phishing Komisi Afiliasi 80% 1 Jaringan yang Diarsipkan
0
Domain Phishing
0
Operasi Pengeringan
0
Anggota yang Dipantau
0
Dompet yang Teridentifikasi
0
Upaya Ulang Paksaan pada Tanda
0
% Komisi Afiliasi
Rantai Serangan 9 Langkah: Dari Airdrop Palsu hingga Dompet Kosong
Setiap serangan "crypto drainer" mengikuti urutan yang dapat diprediksi. Yang membuat operasi "drainer-as-a-service" berbahaya bukanlah inovasi—melainkan skalanya. Rantai serangan yang sama direplikasi di puluhan domain, masing-masing menjadi jebakan baru bagi korban yang tidak curiga. Berikut adalah urutan tepatnya yang diekstraksi dari kode sumber TRXDrop, langkah demi langkah.
Alur Serangan Drainer Lengkap
Rangkaian 9 langkah ini direkonstruksi dari kode sumber TRXDrop yang telah didekompilasi. Setiap langkah didokumentasikan dengan referensi kode yang sesuai di repositori ScamIntelLogs.
Rantai serangan phishing kripto 9 langkah — mulai dari iklan airdrop palsu, pengosongan dompet, hingga pencucian uang.
1
Iklan Airdrop Palsu Korban melihat postingan yang dipromosikan atau pesan Telegram yang mengiklankan airdrop TRX/SOL. Contoh domain: trx-drop.com, tronrefund.com, trxairdrop.io.
2
Halaman Tujuan Halaman yang tampak profesional ini meniru airdrop resmi dari TRON Foundation. Penghitung mundur dan penghitung klaim palsu menciptakan kesan mendesak.
3
Pemberitahuan WalletConnect Situs tersebut mengaktifkan WalletConnect menggunakan ID Proyek yang dicuri fbf5b42d9006502246e73447f5d50e33. Korban menghubungkan dompet digitalnya karena mengira hal itu diperlukan untuk
mencairkan klaim.
4
Permohonan Izin Drainer meminta izin token yang luas. Permintaan penandatanganan
disengaja dibuat samar untuk menyembunyikan apa yang sedang
disetujui.
5
Persetujuan Token Korban menandatangani sebuah
approve()
transaksi yang memberikan kontrak drainer wewenang pengeluaran tak terbatas
atas token-token tertentu.
6
setApprovalForAll Transaksi kedua memanggil
setApprovalForAll(), sehingga penyerang memperoleh kendali atas NFT dan semua jenis token
di dompet tersebut.
7
Token Transfer Kontrak Drainer segera dihubungi
transferFrom()
untuk memindahkan semua token yang telah disetujui ke dompet koleksi
penyerang.
8
Dompet Kosong Token rantai asli (TRX, SOL) ditransfer terakhir.
Dompet tersebut dikosongkan sepenuhnya. Jika korban menolak,
pelaku penipuan akan mencoba lagi hingga 50 kali sebelum
mengizinkan pelarian.
9
Dana untuk Operator Dana yang dicuri dialihkan ke dompet operator. TRXDrop
mengenakan komisi sebesar 30 TRX per penarikan. Sisanya diberikan kepada
afiliasi yang menyebarkan halaman phishing tersebut.
50 Upaya Ulang Paksa
Jika korban mengklik "Tolak" pada jendela permintaan penandatanganan, kode TRXDrop
segera memicu kembali permintaan tersebut. Siklus ini berulang
50 kali sebelum korban diizinkan untuk menutup
jendela modal tersebut. Sebagian besar pengguna menyerah dan akhirnya mendaftar setelah 3–5 kali mencoba,
karena mengira situs tersebut mengalami gangguan teknis, bukan tindakan jahat. Ini bukanlah
sebuah bug. Ini memang dirancang demikian.
Analisis Mendalam TRXDrop: Kode yang Dihasilkan AI
dengan Lebih dari 30 Pernyataan Debug di Lingkungan Produksi
API TRXDrop terpapar tanpa otentikasi — siapa pun yang memiliki URL-nya
dapat membaca log dompet, data pembayaran, dan ID operator.
TRXDrop adalah penjual kembali Angel Drainer yang menargetkan dompet TRON dan Solana.
Yang membedakan operasi ini bukanlah tingkat kecanggihannya — justru
sebaliknya. Kode sumbernya menunjukkan tanda-tanda yang tak terbantahkan dari
pengembangan yang dibantu AI: struktur yang berulang, komentar yang bertele-tele,
dan yang paling jelas, lebih dari 30 console.log pernyataan debug yang masih tersisa dalam kode produksi.
Ini bukanlah ciri-ciri seorang pengembang berpengalaman. Ini adalah ciri-ciri seseorang yang meminta LLM untuk menulis program yang membebani sistem dan langsung menerapkan hasilnya tanpa memeriksanya terlebih dahulu.
Penanda Kode yang Dihasilkan oleh AI
Kode sumber TRXDrop berisi lebih dari 30 console.log pernyataan debug dalam versi produksi. Pesan seperti console.log("Attempting wallet connection...") dan console.log("Approval transaction sent") terlihat di mana-mana. Tidak ada pengembang profesional—dan tidak ada penjahat berpengalaman—yang akan mengirimkan log debug ke lingkungan produksi. Ini adalah hasil keluaran LLM mentah, yang diterapkan apa adanya.
Kunci Enkripsi XOR
Seluruh komunikasi antara antarmuka pengguna drainer dan panel backend dienkripsi menggunakan kunci XOR yang sudah ditetapkan secara permanen: TRX_SECURE_2024_PANEL_KEY. Operasi XOR dengan kunci statis sangat mudah dibalik — ini merupakan indikasi lain dari pengembangan dengan cara salin-tempel.
Panel admin Crypto Drainer v1.2 menampilkan 1.337 korban, $12.450 yang dicuri, dompet yang terhubung, dan riwayat penarikan secara real-time - TERUNGKAP
Penyalahgunaan WalletConnect
ID Proyek WalletConnect fbf5b42d9006502246e73447f5d50e33 terintegrasi dalam seluruh 15+ domain. Pencabutan tunggal terhadap ID proyek ini akan memutus konektivitas dompet di seluruh jaringan TRXDrop secara bersamaan.
50 Upaya Ulang Paksa
Loop permintaan penandatanganan akan mencoba kembali sebanyak 50 kali sebelum mengizinkan korban untuk keluar. Taktik tekanan psikologis ini sudah diprogram secara permanen dan tidak dapat dikonfigurasi oleh afiliasi — ini merupakan fitur inti dari kit Angel Drainer.
Komisi TRX sebesar 30
Setiap penarikan yang berhasil akan mengirimkan komisi sebesar 30 TRX ke dompet operator. Dengan tarif saat ini, jumlahnya sekitar $7–8 USD per korban — margin yang rendah, yang menunjukkan bahwa operasi ini lebih mengandalkan volume daripada nilai.
Kecerdasan Operator
Telegram:@STNlRAWbIaFLiH (ID Pengguna: 6823931109) Dompet Koleksi:TRAGn9E6hbTiQrYG5V4sk1gNv3JaWHSxak Rantai yang Menjadi Sasaran: TRON, Solana Kit Pengering: Angel Drainer (bekas/dimodifikasi)
Infrastruktur Domain TRXDrop (15+ Domain)
Domain
Jenis
Status
trx-drop.com
Pendaratan utama
Aktif
tronrefund.com
Iming-iming pengembalian uang
Aktif
tronfund.net
Iming-iming dana
Aktif
trxfund.pro
Iming-iming dana
Aktif
trxairdrop.io
Iming-iming airdrop
Aktif
trondrop.org
Iming-iming airdrop
Aktif
tronreward.com
Umpan hadiah
Aktif
tronreward.net
Umpan hadiah
Aktif
tronrefund.net
Iming-iming pengembalian uang
Aktif
trxfund.org
Iming-iming dana
Aktif
trxdrop.com
Iming-iming airdrop
Aktif
trxdrop.org
Iming-iming airdrop
Aktif
trongiving.com
Hadiah umpan
Aktif
tronclaims.com
Iklan yang menggiurkan
Aktif
trondrop.pro
Iming-iming airdrop
Aktif
NiceCrypto: Mesin Komisi 80%
Alur komisi Drainer-as-a-Service: 80% untuk operator afiliasi, 20% sebagai biaya pengembang — dari dompet korban melalui kontrak pintar hingga proses pencucian uang.
NiceCrypto beroperasi berdasarkan prinsip sederhana: berikan mitra afiliasi komisi tertinggi di pasar drainer, dan mereka akan mendatangkan korban. Dengan komisi sebesar 80%, NiceCrypto menawarkan pembagian komisi afiliasi paling besar yang pernah kami catat di antara semua operasi "drainer-as-a-service". Operator hanya mengambil 20% — margin yang sangat tipis yang hanya bisa menguntungkan jika dijalankan dalam skala besar.
Perhitungannya sederhana. Jika seorang afiliasi menguras dompet yang berisi token senilai $1.000, ia akan mendapatkan $800. NiceCrypto mengambil $200. Dengan total pembayaran afiliasi yang tercatat sebesar $8.454+, operasi ini telah memproses setidaknya $42.270 dana curian — dan angka tersebut hanya mencakup pembayaran yang dapat kami amati secara langsung di blockchain.
Model Pendapatan: Pembagian 80/20
$8,454+ Jumlah pembayaran yang tercatat kepada afiliasi tersebut merupakan batas bawah, bukan batas atas. Dengan tingkat komisi afiliasi sebesar 80%, total dana yang dicuri yang diproses oleh NiceCrypto melebihi $42,000 minimum. Angka sebenarnya kemungkinan jauh lebih tinggi, karena tidak semua transaksi tercatat dalam rentang pemantauan kami.
Perluasan Multi-Rantai
NiceCrypto awalnya beroperasi di TRON, namun berkas konfigurasi yang berhasil dipulihkan dari infrastruktur mereka menunjukkan adanya ekspansi aktif ke Solana, Rantai yang kompatibel dengan EVM (Ethereum, BSC, Polygon), dan TON. Empat ekosistem blockchain di bawah satu panel pengendali.
Keikutsertaan dalam Forum
NiceCrypto merekrut mitra afiliasi melalui wwh2club.to, sebuah forum kejahatan siber yang terkenal. Bot Telegram mereka @NCsetup_bot menangani proses orientasi — afiliasi baru akan menerima paket alat yang sudah disiapkan dalam hitungan menit setelah dihubungi.
Koneksi WasabiSquad
Domain situs web NiceCrypto wasabihub.one menimbulkan pertanyaan mengenai kemungkinan adanya kaitan dengan operasi WasabiSquad. Apakah ini merupakan infrastruktur bersama, perubahan merek, atau sekadar kebetulan, hal ini memerlukan penyelidikan lebih lanjut.
Otomatisasi Telegram
Bot @NCsetup_bot mengotomatiskan pengelolaan afiliasi: penyediaan perangkat drainer, pelacakan komisi, dan penyaluran pembayaran. Operator jarang perlu berinteraksi langsung dengan para afiliasi.
IOC NiceCrypto
Bot Telegram:@NCsetup_bot Situs web:wasabihub.one Forum:wwh2club.to Komisi Afiliasi: 80% Pembayaran yang Tercatat: $8,454+ Rantai: TRON (aktif), Solana (sedang berkembang), EVM (sedang berkembang), TON (sedang berkembang)
80% untuk mitra afiliasi. Kami mengambil 20%. Anda mendatangkan pengunjung, kami mengurus kodenya. Proses penyiapan hanya butuh 5 menit.
-- Iklan NiceCrypto di wwh2club.to
717Team: Diarsipkan = Disruption Works
717Team adalah bukti bahwa operasi semacam ini bisa dihentikan. Dengan 125 anggota dan 85 dompet yang terlacak, 717Team merupakan operasi pencurian dana berskala menengah yang mengoperasikan lebih dari 12 domain phishing. Jumlah total dana yang berhasil dikuras sebesar $2.946,25 mungkin tampak tidak terlalu besar dibandingkan dengan operasi-operasi yang lebih besar, tetapi inti dari cerita ini adalah hasilnya: telah diarsipkan.
Dalam sistem pelacakan kami, istilah "diarsipkan" berarti operasi tersebut telah terganggu hingga akhirnya dihentikan. Domain-domain telah dihapuskan. Infrastrukturnya dihancurkan. Identitas admin terungkap. 717Team tidak menghentikan operasinya secara sukarela. Operasi tersebut dihentikan melalui pelaporan terkoordinasi, penghapusan domain, dan berbagi informasi intelijen dengan mitra keamanan blockchain.
Gangguan Telah Dikonfirmasi
Status "ARCHIVED" dari 717Team bukanlah label yang kami berikan begitu saja. Hal ini menandakan gangguan yang berkelanjutan di berbagai aspek: Penghapusan domain, laporan dari penyedia hosting, penandaan dompet, dan terungkapnya identitas admin. Biaya operasional untuk melanjutkan kegiatan tersebut melebihi pendapatannya. Inilah wujud dari gangguan yang berhasil.
Admin: @imdebank
Nama pengguna Admin di Telegram @imdebank (ID Pengguna: 7149807602) telah dikaitkan dengan Tim Rublevka, sebuah jaringan penipuan berbahasa Rusia yang terpisah dan sebelumnya telah didokumentasikan dalam penyelidikan TON kami. Praktik berbagi peran admin antar-operasi merupakan pola yang sering terjadi.
Skala Jaringan
125 anggota dilacak melalui grup-grup Telegram. 85 dompet diidentifikasi melalui analisis on-chain. $2,946.25 Telah dipastikan habis. 717Team direkrut melalui lolz.live, sebuah forum kejahatan siber berbahasa Rusia.
Infrastruktur Domain
12+ domain, termasuk checkscore.cc, cryptomus-payment.com, check-score.ru, dan lainnya. Beberapa penyedia layanan pendaftaran domain digunakan dalam upaya untuk menentang Penghapusan yang terkoordinasi.
Operasi Bot
Bot Telegram @team717_bot mengelola koordinasi afiliasi, pelacakan korban, dan penyaluran pembayaran. Bot tersebut dinonaktifkan sebagai bagian dari upaya pencegahan.
717Tim IOC
Admin:@imdebank (ID: 7149807602) Grup Terkait: Tim Rublevka Bot:@team717_bot Forum:lolz.live Anggota: 125 yang dilacak Dompet: 85 teridentifikasi Telah Dipastikan Kosong: $2,946.25 Status:DIARSIPKAN (Terganggu)
Anti-Analisis: Ada, tetapi Mudah Dilewati
TRXDrop menerapkan dua teknik anti-analisis yang menjadi standar dalam panduan penggunaan toolkit drainer. Keduanya dirancang untuk menyulitkan pemeriksaan sekilas. Namun, tidak ada satupun yang menjadi hambatan berarti bagi seorang analis yang terlatih.
Perangkap Debugger
A setInterval loop dijalankan setiap 1.000 milidetik, menjalankan sebuah debugger pernyataan. Saat DevTools terbuka, hal ini akan terus-menerus menghentikan sementara eksekusi, sehingga halaman tampak macet. Bypass: Nonaktifkan titik henti di DevTools (Ctrl+F8) atau gunakan opsi menu konteks "Jangan pernah berhenti di sini". Total waktu melewati bagian ini: 2 detik.
Pembajakan Konsol
Kode tersebut menimpa console.log, console.warn, dan console.error dengan fungsi kosong untuk menonaktifkan keluaran. Ironisnya, padahal pengembang justru meninggalkan lebih dari 30 pernyataan debug yang justru dimaksudkan untuk disembunyikan oleh penggantian fungsi tersebut. Bypass: Simpan referensi ke metode konsol asli sebelum halaman dimuat, atau gunakan API konsol bawaan browser. Total waktu bypass: 5 detik.
Waktu Para Amatir
Kombinasi antara kode yang dihasilkan AI, pernyataan debug di lingkungan produksi, enkripsi XOR statis, dan mekanisme anti-analisis yang sangat mudah dilewati menggambarkan gambaran yang jelas: operator TRXDrop bukanlah seorang pengembang yang terampil. Mereka adalah penipu yang membeli "drainer kit" dan memerintahkan model bahasa besar (LLM) untuk menyesuaikannya. Bahayanya bukanlah tingkat kecanggihannya — melainkan kemudahan aksesnya. Ketika syarat untuk masuk hanyalah "apakah Anda bisa mengetikkan prompt", jumlah operator pun tumbuh secara eksponensial.
Pola ini konsisten di seluruh ekosistem "drainer-as-a-service". Pengembang kit (dalam hal ini, Angel Drainer) memiliki kemampuan teknis yang mumpuni. Sebaliknya, para pengecer dan afiliasi yang menerapkan kit-kit ini seringkali tidak memilikinya. Lapisan anti-analisis tersebut ada bukan karena para operator memahami penelitian keamanan—melainkan karena kit tersebut sudah dilengkapi dengan fitur tersebut yang diaktifkan secara default.
Bukti & Intelijen Sumber
Semua bukti yang dirujuk dalam penyelidikan ini disimpan di repositori PhishDestroy ScamIntelLogs. Setiap operasi memiliki direktori tersendiri yang berisi berkas konfigurasi, cuplikan kode sumber, daftar domain, alamat dompet, dan informasi intelijen dari Telegram.
Bukti TRXDrop
15 domain, kode sumber, kunci XOR, ID WalletConnect, akun Telegram operator, alamat dompet.
Semua alamat dompet, daftar domain, dan pengenal operator yang dipublikasikan dalam laporan ini telah disampaikan kepada tim keamanan blockchain dan penyedia layanan pendaftaran domain terkait sebelum diterbitkan. ID Proyek WalletConnect telah dilaporkan untuk dicabut. Jika Anda mengelola infrastruktur yang terpengaruh oleh IOC ini, silakan hubungi kami melalui @PhishDestroy_bot.
Lindungi Dompet Anda
Layanan "Drainer-as-a-service" semakin berkembang. Hambatan untuk bergabung hanyalah sebuah pesan di Telegram dan beberapa ratus dolar. Pertahanan Anda dimulai dari kewaspadaan.
Jangan Pernah Menandatangani Tanpa Memahami Isinya
Jika sebuah situs terus-menerus menampilkan permintaan untuk melakukan penandatanganan, segera tutup situs tersebut. Airdrop yang sah tidak pernah meminta persetujuan token tanpa batas.
Pastikan Terlebih Dahulu Sebelum Menghubungkan
Periksa usia domain, verifikasi melalui saluran resmi proyek, dan gunakan dompet sementara untuk mengklaim airdrop apa pun.
Gunakan Dompet Perangkat Keras
Simpan aset dalam jumlah besar di dompet perangkat keras. Jangan pernah menghubungkan dompet utama Anda ke situs yang belum terverifikasi.
Pemberitahuan mengenai transparansi. PhishDestroy adalah proyek independen yang bersifat non-komersial. Penelitian kami mungkin mencerminkan bias bawaan terhadap infrastruktur penipuan dan layanan yang mendukungnya. Kami mendorong para pembaca untuk mengevaluasi semua materi secara kritis dan mandiri. Baca pernyataan transparansi lengkap kami →