Penipu Bukanlah Peretas: 4 Sistem Backend Diulik, Semuanya Mudah Diretas
Firebase · Supabase · Express.js · Drainer-as-a-Service · Februari 2026

Pernyataan Penafian: Ini Adalah Analisis, Bukan Serangan
Semua yang diuraikan dalam artikel ini merupakan hasil dari analisis pasif dan data yang dapat diakses publik. Tidak ada sistem yang diretas. Tidak ada proses otentikasi yang dilewati. Dalam setiap kasus, kesalahan konfigurasi yang dilakukan para penipu sendiri lah yang membuat infrastruktur, data korban, dan identitas operasional mereka terpapar kepada siapa pun yang sekadar melihat. Setiap kunci API ditemukan dalam bundel JavaScript publik. Setiap basis data terbuka lebar karena desain yang dibuat oleh operator itu sendiri. Kami mendokumentasikan hal ini bukan untuk menyerang — melainkan untuk menunjukkan bahwa orang-orang yang mencuri kripto Anda bahkan tidak bisa menjaga keamanan peralatan mereka sendiri.
Tesis Utama: Script Kiddies yang Menggunakan Alat-alat Curian
Ada mitos yang terus beredar di benak masyarakat bahwa penipu daring adalah "peretas" — para jenius teknis yang mampu membobol sistem dengan keahlian dan kecanggihan. Ini salah.
Para penipu kripto zaman sekarang adalah para script kiddies yang menggunakan perangkat yang dibeli. Mereka membeli paket "Drainer-as-a-Service" seharga $200–$500, menginstalnya di layanan hosting gratis atau murah, dan berharap korban mereka tidak menyadarinya. Mereka tidak menulis kode. Mereka tidak memahami jaringan. Mereka tentu saja tidak memahami keamanan.
Kami mengetahui hal ini karena pada Februari 2026, PhishDestroy menganalisis 4 jaringan penipuan yang beroperasi secara independen — dan dalam setiap kasus, kita sebenarnya bisa:
- Baca semua data korban pencurian (frasa benih, alamat email, alamat IP, jenis dompet)
- Diubah atau dihapus basis data penipu
- Telah diidentifikasi operatornya melalui kunci API yang terekspos, alamat email, dan sidik jari infrastruktur
- Meniru serangan terhadap penipu tersebut — dengan memanfaatkan kerentanan yang sama yang mereka biarkan terbuka
Tidak perlu eksploit. Tidak ada celah zero-day. Tidak ada "peretasan." Hanya membuka pintu depan yang mereka biarkan tidak terkunci.
Kasus 1: API Hantu — server0002.mn19indexpre.xyz
Express.js di Apache, Keamanan Nyata Nol
| Parameter | Nilai |
|---|---|
| Domain | server0002.mn19indexpre.xyz |
| Alamat IP | 108.181.185.225 |
| Tumpukan Server | Apache/2.4.58 (Ubuntu) → Express.js (Node.js) |
| Spanduk SSH | SSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13.11 |
| Penerbit TLS | Let's Encrypt (E7), berlaku Januari–April 2026 |
| Penyedia Layanan DNS | GoDaddy (ns39/ns40.domaincontrol.com) |
| Email (MX) | mn19indexpre-xyz.mail.protection.outlook.com |
| Tenant Microsoft | NETORGFT19090185.onmicrosoft.com |
| Port yang Terbuka | 22 (SSH), 80 (HTTP→301), 443 (HTTPS) |
"Otentikasi" — Sebuah Lelucon
API ini dilengkapi dengan token Bearer yang sudah ditentukan secara tetap: thisisakeyforsecureserver. Tapi inilah intinya — token tersebut sebenarnya belum diverifikasi:
Validasi Tanpa Masukan
Setiap muatan injeksi yang kami uji diterima tanpa peringatan:
Ciri Kinerja
Waktu respons POST yang konsisten sekitar 7,5 detik terlepas dari ukuran payload (menerima ukuran mulai dari 10 byte hingga 10 MB), yang mengindikasikan adanya penerusan email atau relay webhook di bagian backend. Permintaan GET merespons dalam 0,6 detik. 10 permintaan paralel selesai dalam 9,1 detik — tidak ada pembatasan laju yang diterapkan.
Potensi Pengungkapan Identitas
ID penyewa Microsoft 365 NETORGFT19090185 adalah sebuah tautan langsung ke akun organisasi yang mendaftarkan domain ini. Ditambah dengan catatan pendaftaran GoDaddy dan alamat IP khusus (tidak melalui CDN), operator ini adalah mudah diidentifikasi melalui jalur hukum. Catatan SPF (include:secureserver.net) menegaskan bahwa layanan hosting email GoDaddy — semua metadata email dapat diakses melalui surat panggilan pengadilan.
Kasus 2: Firebase Terbuka Lebar — web3ledgar.com
Firestore Tanpa Aturan Keamanan
| Parameter | Nilai |
|---|---|
| Domain Phishing | web3ledgar.com (typosquat dari "Ledger") |
| Domain Alternatif | web3.ledgerscore.ltd |
| Proyek Firebase | web3ledger-210ab |
| Kunci API | AIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8 |
| ID Aplikasi | 1:1054258933515:web:9fb193fcd0093023f7fc0e |
| Paket JS | /static/js/main.7a5ec2fa.js |
| Aturan Firestore | Terbuka lebar — baca/tulis tanpa otentikasi |
| Jumlah Korban | 12 catatan di users koleksi |
| Koleksi yang Ditemukan | users, transactions |
Data Korban — Dapat Diakses Sepenuhnya oleh Siapa Pun
Satu permintaan GET yang tidak terotentikasi ke API REST Firestore mengembalikan setiap frasa benih yang dicuri:
Di antara 12 catatan tersebut terdapat satu entri yang cukup mengungkap — seseorang telah menguji sistem tersebut dengan fbi@fbi.gov seperti yang tertera dalam email tersebut. Penipu tersebut mungkin sedang menguji sistemnya sendiri (berguna untuk identifikasi) atau mungkin sistem tersebut sudah diuji oleh orang lain sebelumnya.
Alur Serangan
Situs phishing tersebut meniru antarmuka dompet Ledger. Korban mengklik "Hubungkan Dompet" → memasukkan frasa benih → frontend React menulis data secara langsung ke Firestore → penipu membaca data dari basis data terbuka yang sama. Sama sekali tidak ada server backend. Seluruh operasi ini berjalan di layanan gratis Google.
Potensi Pengungkapan Identitas
ID Proyek Firebase web3ledger-210ab dan ID Aplikasi 1:1054258933515 adalah terhubung ke akun Google. Google menyimpan catatan penagihan, log IP, dan data pembuatan akun untuk semua proyek Firebase. Satu permintaan saja dari pihak penegak hukum kepada Google sudah cukup untuk mengungkap identitas operatornya. Selain itu, aturan Firestore yang sangat terbuka berarti kami bisa saja memasukkan catatan tersebut ke dalam basis data mereka, memberi tahu para korban secara langsung, atau menghapus seluruh koleksi tersebut.
Kasus 3: CRUD Lengkap di Supabase — web3safe-pal.com
Keamanan Tingkat Baris Dinonaktifkan, GraphQL Terbuka Sepenuhnya
| Parameter | Nilai |
|---|---|
| Domain Phishing | web3safe-pal.com (typosquat dari "SafePal") |
| Proyek Supabase | gzqsadraigchwdhblavp |
| Kunci Anon | Terungkap di /assets/index-b025f4a6.js (748 KB) |
| Tabel Basis Data | seeds — baca, sisipkan, perbarui, hapus |
| GraphQL | Introspeksi penuh + mutasi diaktifkan |
| Fungsi Tepi | send-wallet-import-email, send-email |
| Layanan Email | API Kirim Ulang (RESEND_API_KEY di variabel lingkungan) |
| Catatan Korban | ID 130–131 (ID 129 sebelumnya telah dihapus) |
| Bahasa Antarmuka Pengguna | Bahasa Rusia ("Dompet Utama", "Dompet Anda sedang dimuat...") |
Akses Penuh ke Basis Data — Membaca, Menulis, Menghapus
Kunci anon Supabase, yang terdapat dalam bundel JavaScript yang telah diminiaturkan, memberikan akses CRUD penuh ke seeds tabel:
ID dimulai dari 130 — artinya catatan nomor 1–129 sebelumnya telah dihapus oleh operator. Setidaknya 131 frasa benih telah diproses melalui sistem ini.
Fungsi Edge: Jejak Email
Ada dua Fungsi Edge Supabase yang aktif. Kami telah melakukan rekayasa balik terhadap send-email format masukan yang diharapkan dari fungsi tersebut dengan menguji berbagai payload:
Kunci API Resend (RESEND_API_KEY) disimpan dalam variabel lingkungan Supabase. Resend menyimpan catatan verifikasi pengirim dan data penagihan — jalur langsung lainnya menuju identitas operator.
Potensi Pengungkapan Identitas
Lokalisasi antarmuka pengguna dalam bahasa Rusia ("Основной кошелек", "Ваш кошелек загружается...") menunjukkan sebuah Operator yang berbahasa Rusia. Proyek Supabase (gzqsadraigchwdhblavp) terhubung ke akun yang memiliki riwayat tagihan. Layanan "Kirim Ulang Email" memiliki alamat email penerima. Introspeksi GraphQL memperlihatkan skema basis data secara lengkap. Kami telah menunjukkan akses tulis penuh — kita bisa saja mengganti setiap frasa benih yang dicuri dengan pesan peringatan kepada para korban, atau menghapus seluruh tabel. Operator tersebut tidak akan bisa memulihkan data tersebut.
Kasus 4: Pengering Skala Industri — aipolypredictor.xyz
19.000 frasa benih dalam 5,8 hari
| Parameter | Nilai |
|---|---|
| Domain Frontend | aipolypredictor.xyz ("PolySniper | Taruhan Orang Dalam Frontrun") |
| API C2 | api.yfhikblkhghdyteiuyf54.run |
| Alamat IP C2 | 172.67.168.147, 104.21.26.231 (Cloudflare) |
| Backend | Express.js (Node.js) v1.0.0 |
| Petugas Pendaftaran (Frontend) | NiceNIC International Group Co. |
| Petugas Pendaftaran (C2) | PDR Ltd. (PublicDomainRegistry.com) |
| Waktu Operasional | ~139 jam (dimulai pada ~10 Februari 2026 pukul 21.00 UTC) |
| Kit Pengering CDN | renderer-postcard.defex.cc (601 KB kode JavaScript yang diobfuskasi) |
| Bot Telegram | Aktif, terintegrasi untuk pemberitahuan |
| Batas Frekuensi | 10 permintaan/60 detik (satu-satunya batasan yang ditemukan) |
Skala yang Terungkap Melalui ID Berurutan
Kesalahan yang paling fatal: ID pekerjaan berurutan. Setiap pengiriman frasa benih menghasilkan ID yang terus bertambah, sehingga siapa pun dapat menghitung volume total:
Arsitektur Multi-Rantai
Server C2 menghasilkan kunci di seluruh rantai utama menggunakan jalur derivasi kedalaman 100:
Infrastruktur Kampanye
11 domain yang telah dikonfirmasi di 2 grup operator, dilacak berdasarkan ID Bundle:
| ID Paket | Domain | Status |
|---|---|---|
88ef78f5... | aipolypredictor.xyz | LANGSUNG |
4446ea5d... | solana.onspace.app, solxjup.onspace.app | LANGSUNG |
| Paket defex.cc | jup-v2.com, events-charizard.fun, events-llquid.fun, events-blackswan.fun, soljup.onspace.build | Campuran |
Analisis Muatan JavaScript
Tiga muatan JS yang disamarkan digunakan oleh drainer:
- wallet-connect.js (46 KB) — Mengelola antarmuka pengguna (UI) koneksi dompet, menyadap masukan seed. Pengaburan melalui rotasi array string.
- wallet-specific-modals.js (134 KB) — Berisi daftar kata lengkap BIP39 dalam bahasa Inggris dan Daftar kata Monero (1.626 kata). Pencegahan debugging melalui penggantian console.log/trace. Dukungan jendela pop-up multi-dompet.
- defex.cc/index.js (601 KB) — Disamarkan menggunakan Unicode dengan nama variabel dalam bahasa Mandarin. Logika drainer khusus Solana. Pengkode Base58, primitif derivasi kunci kriptografi. Versi 3.0.0.
Potensi Pengungkapan Identitas
Yang CORS: * header dan tidak adanya mekanisme otentikasi Siapa pun dapat mengajukan permintaan dan memantau perubahan nomor ID pekerjaan secara real-time. Integrasi bot Telegram ini berarti akun Telegram operator akan menerima pemberitahuan — dan metadata Telegram dapat diminta melalui surat perintah pengadilan. NiceNIC (penyedia layanan pendaftaran domain untuk frontend) adalah penyedia layanan pendaftaran domain yang dikenal aman yang telah kami telah diselidiki sebelumnya, tetapi PDR Ltd. (penyedia layanan pendaftaran domain C2) memang menanggapi permintaan dari pihak penegak hukum. Yang defex.cc Kit drainer ini melayani lebih dari 255 domain — jika defex.cc diretas, seluruh operasi DaaS dan semua pelanggannya akan terungkap.
Perbandingan Langsung: 4 Operasi, Pola yang Sama
| Metrik | mn19indexpre Express.js | web3ledgar Firebase | web3safe-pal Supabase | aipolypredictor Drainer C2 |
|---|---|---|---|---|
| Otentikasi | Tidak ada (token diabaikan) | Tidak ada | Kunci Anon di JS | Tidak ada (CORS: *) |
| Data Dapat Dibaca | Pesan/pengiriman ulang | Semua frasa benih | Semua frasa benih | ID Pekerjaan / skala |
| Data yang Dapat Ditulis | Ya (tanpa batas) | Ya | Ya (CRUD lengkap) | Ya (kirim) |
| Validasi Masukan | Nol | Nol | Nol | Minimal |
| Pembatasan Laju | Tidak ada | Tidak ada | Tidak ada | 10 permintaan per 60 detik |
| Dapat diidentifikasi | Tenant MS365 | Akun Google | Kirim Ulang + Penagihan Supabase | PDR + Telegram |
| Perkiraan Jumlah Korban | Tidak diketahui | 12 | 131+ | 19,000+ |
| Bahasa Operator | Tidak diketahui | Bahasa Inggris | Rusia | Tidak diketahui |
Mengapa Penipu Bukanlah Peretas
Buktinya sangat meyakinkan. Di keempat operasi tersebut, kami mengamati pola yang sama:
- Beli paket saringan siap pakai ($200–$500)
- Lakukan deployment di paket gratis (Firebase, Supabase)
- Biarkan konfigurasi default tetap seperti semula
- Gunakan token yang sudah ditentukan secara tetap; mereka tidak memverifikasinya
- Jangan pernah mengaktifkan RLS, jangan pernah membatasi CORS
- Menampilkan identitas mereka sendiri dalam metadata
- Gunakan ID berurutan yang menunjukkan skalanya
- Membuat alat eksfiltrasi khusus
- Gunakan saluran yang terenkripsi dan terotentikasi
- Acak pengenal, ganti infrastruktur
- Terapkan kontrol akses yang tepat
- Gunakan Tor/rantai proxy, pembayaran anonim
- Pisahkan identitas operasional dari layanan hosting
- Menerapkan teknik anti-forensik
Pelanggan Drainer-as-a-Service pada umumnya adalah seorang seorang pelaku rekayasa sosial yang memiliki kartu kredit, bukan seorang teknisi. Mereka tahu cara mendaftarkan domain dan menyisipkan kode ke dalam panel hosting. Mereka tidak tahu cara:
- Konfigurasikan aturan keamanan Firestore (akan memakan waktu 2 menit)
- Aktifkan Keamanan Tingkat Baris Supabase (akan memakan waktu 5 menit)
- Memvalidasi dan membersihkan data masukan (akan memakan waktu 30 menit)
- Gunakan UUID alih-alih bilangan bulat berurutan (hanya membutuhkan 1 baris kode)
- Batasi CORS hanya pada domain mereka sendiri (cukup dengan 1 baris konfigurasi)
Mereka bukanlah musuh yang cerdik. Mereka adalah orang-orang yang tidak bisa mengonfigurasi basis data.
Indikator Kompromi (IOC)
Domain
Alamat IP
Kunci API & ID Proyek
Kesimpulan: Sang Kaisar Tidak Memakai Pakaian
Kesimpulannya
Setiap operasi penipuan yang kami analisis bisa jadi sepenuhnya diretas, identitas penggunanya terungkap, dan sistemnya terganggu hanya dengan menggunakan peramban web, curl, dan dokumentasi yang tersedia untuk umum. Dalam setiap kasus, para penyerang membiarkan basis data mereka terbuka lebar, kunci API mereka tercantum dalam berkas JavaScript publik, identitas mereka tercantum dalam metadata, dan data korban mereka dapat diakses oleh siapa saja yang mau repot-repot mencarinya.
Pelajarannya sederhana: Penipu bukanlah peretas. Mereka adalah para pencuri toko yang membeli seperangkat alat pembuka kunci dari AliExpress namun lupa mengunci pintu depan rumah mereka sendiri. Alat-alat yang mereka gunakan sangat canggih — karena dibuat oleh orang lain. Para pelaku itu sendiri hanyalah amatir yang secara konsisten membahayakan infrastruktur mereka sendiri, data korban, dan identitas mereka sendiri di hadapan siapa pun yang memiliki pengetahuan teknis dasar.
Jika Anda pernah memasukkan frasa benih di salah satu situs ini — anggaplah dompet digital Anda telah diretas dan segera pindahkan dana Anda.
Semua temuan telah dilaporkan kepada penyedia layanan terkait (Google/Firebase, Supabase, Cloudflare, pendaftar domain) dan didokumentasikan untuk keperluan penegakan hukum. IOC di atas telah ditambahkan ke dalam PhishDestroy daftar penghancuran.


