Langsung ke konten utama
Kembali ke Berita
PENYELIDIKAN TERHADAP BEBERAPA KASUS

Penipu Bukanlah Peretas: 4 Sistem Backend Diulik, Semuanya Mudah Diretas

Firebase · Supabase · Express.js · Drainer-as-a-Service · Februari 2026

Infrastruktur Penipuan Terungkap
19,000+
Frasa Benih Dicuri (1 kampanye)
4
Akses Penuh ke Backend
0
Diperlukan Otentikasi
267+
Domain Phishing yang Terkait

 Pernyataan Penafian: Ini Adalah Analisis, Bukan Serangan

Semua yang diuraikan dalam artikel ini merupakan hasil dari analisis pasif dan data yang dapat diakses publik. Tidak ada sistem yang diretas. Tidak ada proses otentikasi yang dilewati. Dalam setiap kasus, kesalahan konfigurasi yang dilakukan para penipu sendiri lah yang membuat infrastruktur, data korban, dan identitas operasional mereka terpapar kepada siapa pun yang sekadar melihat. Setiap kunci API ditemukan dalam bundel JavaScript publik. Setiap basis data terbuka lebar karena desain yang dibuat oleh operator itu sendiri. Kami mendokumentasikan hal ini bukan untuk menyerang — melainkan untuk menunjukkan bahwa orang-orang yang mencuri kripto Anda bahkan tidak bisa menjaga keamanan peralatan mereka sendiri.

 Tesis Utama: Script Kiddies yang Menggunakan Alat-alat Curian

Ada mitos yang terus beredar di benak masyarakat bahwa penipu daring adalah "peretas" — para jenius teknis yang mampu membobol sistem dengan keahlian dan kecanggihan. Ini salah.

Para penipu kripto zaman sekarang adalah para script kiddies yang menggunakan perangkat yang dibeli. Mereka membeli paket "Drainer-as-a-Service" seharga $200–$500, menginstalnya di layanan hosting gratis atau murah, dan berharap korban mereka tidak menyadarinya. Mereka tidak menulis kode. Mereka tidak memahami jaringan. Mereka tentu saja tidak memahami keamanan.

Kami mengetahui hal ini karena pada Februari 2026, PhishDestroy menganalisis 4 jaringan penipuan yang beroperasi secara independen — dan dalam setiap kasus, kita sebenarnya bisa:

Tidak perlu eksploit. Tidak ada celah zero-day. Tidak ada "peretasan." Hanya membuka pintu depan yang mereka biarkan tidak terkunci.

 Kasus 1: API Hantu — server0002.mn19indexpre.xyz

 Express.js di Apache, Keamanan Nyata Nol

TIDAK ADA AUTENTIKASITIDAK ADA VALIDASI MASUKANTIDAK ADA BATASAN LAJUCORS: *
ParameterNilai
Domainserver0002.mn19indexpre.xyz
Alamat IP108.181.185.225
Tumpukan ServerApache/2.4.58 (Ubuntu) → Express.js (Node.js)
Spanduk SSHSSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13.11
Penerbit TLSLet's Encrypt (E7), berlaku Januari–April 2026
Penyedia Layanan DNSGoDaddy (ns39/ns40.domaincontrol.com)
Email (MX)mn19indexpre-xyz.mail.protection.outlook.com
Tenant MicrosoftNETORGFT19090185.onmicrosoft.com
Port yang Terbuka22 (SSH), 80 (HTTP→301), 443 (HTTPS)

 "Otentikasi" — Sebuah Lelucon

API ini dilengkapi dengan token Bearer yang sudah ditentukan secara tetap: thisisakeyforsecureserver. Tapi inilah intinya — token tersebut sebenarnya belum diverifikasi:

// No auth header → accepted POST / HTTP/1.1 Content-Type: application/json {"subject":"test","domain":"test","messages":["ping"]} → {"success":true}// Wrong token → also accepted Otorisasi: Pemegang wrong_token_completely → {"success":true}// Any content type → also accepted Jenis Konten: text/xml, text/plain, multipart/form-data → {"success":true}

 Validasi Tanpa Masukan

Setiap muatan injeksi yang kami uji diterima tanpa peringatan:

// SQL injection subjek: "' ATAU 1=1--"→ diterima subjek: "'; DROP TABLE messages;--"→ diterima// SSTI (Server-Side Template Injection) subjek: "{{7*7}}"→ diterima subjek: "{{config}}"→ diterima subjek: "{{self.__class__}}"→ diterima// SSRF (Server-Side Request Forgery) domain: "http://169.254.169.254/latest/meta-data/"→ diterima domain: "file:///etc/passwd"→ diterima// XSS stored payload subjek: "<script>alert(1)</script>"→ diterima

 Ciri Kinerja

Waktu respons POST yang konsisten sekitar 7,5 detik terlepas dari ukuran payload (menerima ukuran mulai dari 10 byte hingga 10 MB), yang mengindikasikan adanya penerusan email atau relay webhook di bagian backend. Permintaan GET merespons dalam 0,6 detik. 10 permintaan paralel selesai dalam 9,1 detik — tidak ada pembatasan laju yang diterapkan.

 Potensi Pengungkapan Identitas

ID penyewa Microsoft 365 NETORGFT19090185 adalah sebuah tautan langsung ke akun organisasi yang mendaftarkan domain ini. Ditambah dengan catatan pendaftaran GoDaddy dan alamat IP khusus (tidak melalui CDN), operator ini adalah mudah diidentifikasi melalui jalur hukum. Catatan SPF (include:secureserver.net) menegaskan bahwa layanan hosting email GoDaddy — semua metadata email dapat diakses melalui surat panggilan pengadilan.

 Kasus 2: Firebase Terbuka Lebar — web3ledgar.com

 Firestore Tanpa Aturan Keamanan

ATURAN FIRESTORE: TERBUKASEMUA DATA KORBAN DAPAT DIBACAKUNCI API DALAM JS PUBLIK12 KORBAN TERUNGKAP
ParameterNilai
Domain Phishingweb3ledgar.com (typosquat dari "Ledger")
Domain Alternatifweb3.ledgerscore.ltd
Proyek Firebaseweb3ledger-210ab
Kunci APIAIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8
ID Aplikasi1:1054258933515:web:9fb193fcd0093023f7fc0e
Paket JS/static/js/main.7a5ec2fa.js
Aturan FirestoreTerbuka lebar — baca/tulis tanpa otentikasi
Jumlah Korban12 catatan di users koleksi
Koleksi yang Ditemukanusers, transactions

 Data Korban — Dapat Diakses Sepenuhnya oleh Siapa Pun

Satu permintaan GET yang tidak terotentikasi ke API REST Firestore mengembalikan setiap frasa benih yang dicuri:

GET /v1/projects/web3ledger-210ab/databases/(default)/documents/users?pageSize=300 → 200 OK→ Jumlah dokumen: 12// Sample victim record (seed phrase redacted for safety) { "walletId": "W3L-65285520", "jenis dompet": "WalletConnect", "email": "[DITUTUPI]@gmail.com", "frasa benih": "████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", "createdAt": "2026-02-15T00:14:52.804Z", "status": "aktif" }

Di antara 12 catatan tersebut terdapat satu entri yang cukup mengungkap — seseorang telah menguji sistem tersebut dengan fbi@fbi.gov seperti yang tertera dalam email tersebut. Penipu tersebut mungkin sedang menguji sistemnya sendiri (berguna untuk identifikasi) atau mungkin sistem tersebut sudah diuji oleh orang lain sebelumnya.

 Alur Serangan

Situs phishing tersebut meniru antarmuka dompet Ledger. Korban mengklik "Hubungkan Dompet" → memasukkan frasa benih → frontend React menulis data secara langsung ke Firestore → penipu membaca data dari basis data terbuka yang sama. Sama sekali tidak ada server backend. Seluruh operasi ini berjalan di layanan gratis Google.

 Potensi Pengungkapan Identitas

ID Proyek Firebase web3ledger-210ab dan ID Aplikasi 1:1054258933515 adalah terhubung ke akun Google. Google menyimpan catatan penagihan, log IP, dan data pembuatan akun untuk semua proyek Firebase. Satu permintaan saja dari pihak penegak hukum kepada Google sudah cukup untuk mengungkap identitas operatornya. Selain itu, aturan Firestore yang sangat terbuka berarti kami bisa saja memasukkan catatan tersebut ke dalam basis data mereka, memberi tahu para korban secara langsung, atau menghapus seluruh koleksi tersebut.

 Kasus 3: CRUD Lengkap di Supabase — web3safe-pal.com

 Keamanan Tingkat Baris Dinonaktifkan, GraphQL Terbuka Sepenuhnya

RLS DINONAKTIFKANAKSES CRUD PENUHMENDUKUNG GRAPHQLFUNGSI EDGE YANG TERUNGKAPLOKALISASI BAHASA RUSIA
ParameterNilai
Domain Phishingweb3safe-pal.com (typosquat dari "SafePal")
Proyek Supabasegzqsadraigchwdhblavp
Kunci Anon Terungkap di /assets/index-b025f4a6.js (748 KB)
Tabel Basis Dataseeds — baca, sisipkan, perbarui, hapus
GraphQLIntrospeksi penuh + mutasi diaktifkan
Fungsi Tepi send-wallet-import-email, send-email
Layanan EmailAPI Kirim Ulang (RESEND_API_KEY di variabel lingkungan)
Catatan KorbanID 130–131 (ID 129 sebelumnya telah dihapus)
Bahasa Antarmuka Pengguna Bahasa Rusia ("Dompet Utama", "Dompet Anda sedang dimuat...")

 Akses Penuh ke Basis Data — Membaca, Menulis, Menghapus

Kunci anon Supabase, yang terdapat dalam bundel JavaScript yang telah diminiaturkan, memberikan akses CRUD penuh ke seeds tabel:

// READ — get all stolen seed phrases GET /rest/v1/seeds?select=*ℴ=id.asc → 200 OK [ {"id":130, "frasa":"████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", "nama":"Dompet Utama"}, {"id":131, "frasa":"████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", "nama":"Dompet Utama"} ] // INSERT — we can write to the scammer's database POST /rest/v1/seeds {"phrase":"PHISHDESTROY_WAS_HERE","name":"test"} → 201 Dibuat {"id":132} // UPDATE via GraphQL mutation { updateseedsCollection(filter:{id:{eq:131}}, set:{name:"PhishDestroy was here"}) { affectedCount } } → {"jumlah yang terpengaruh": 1}// DELETE via GraphQL mutation { deleteFromseedsCollection(filter:{id:{eq:131}}, atMost:1) { affectedCount } } → {"jumlah yang terpengaruh": 1}

ID dimulai dari 130 — artinya catatan nomor 1–129 sebelumnya telah dihapus oleh operator. Setidaknya 131 frasa benih telah diproses melalui sistem ini.

 Fungsi Edge: Jejak Email

Ada dua Fungsi Edge Supabase yang aktif. Kami telah melakukan rekayasa balik terhadap send-email format masukan yang diharapkan dari fungsi tersebut dengan menguji berbagai payload:

// Probing send-email endpoint {"seed":"test phrase","name":"test"} → 200 OK {"id":"f2749592-..."} {"seed_phrase":"...","wallet_name":"..."} → 400 "Data seed tidak disediakan." {"phrase":"...","name":"..."} → 400 "Data seed tidak disediakan."// The function accepts {seed, name} and sends to attacker via Resend API// Edge Function source (reconstructed from JS bundle):// NB.functions.invoke("send-wallet-import-email",// {body: {wallet_name, secret_phrase, ip_address}})

Kunci API Resend (RESEND_API_KEY) disimpan dalam variabel lingkungan Supabase. Resend menyimpan catatan verifikasi pengirim dan data penagihan — jalur langsung lainnya menuju identitas operator.

 Potensi Pengungkapan Identitas

Lokalisasi antarmuka pengguna dalam bahasa Rusia ("Основной кошелек", "Ваш кошелек загружается...") menunjukkan sebuah Operator yang berbahasa Rusia. Proyek Supabase (gzqsadraigchwdhblavp) terhubung ke akun yang memiliki riwayat tagihan. Layanan "Kirim Ulang Email" memiliki alamat email penerima. Introspeksi GraphQL memperlihatkan skema basis data secara lengkap. Kami telah menunjukkan akses tulis penuh — kita bisa saja mengganti setiap frasa benih yang dicuri dengan pesan peringatan kepada para korban, atau menghapus seluruh tabel. Operator tersebut tidak akan bisa memulihkan data tersebut.

 Kasus 4: Pengering Skala Industri — aipolypredictor.xyz

 19.000 frasa benih dalam 5,8 hari

Lebih dari 19.000 BENIH DICURIID PEKERJAAN BERURUTANTIDAK ADA BATASAN CORSDaaS KIT (defex.cc)11 DOMAIN TELAH DIKONFIRMASI
ParameterNilai
Domain Frontend aipolypredictor.xyz ("PolySniper | Taruhan Orang Dalam Frontrun")
API C2api.yfhikblkhghdyteiuyf54.run
Alamat IP C2 172.67.168.147, 104.21.26.231 (Cloudflare)
BackendExpress.js (Node.js) v1.0.0
Petugas Pendaftaran (Frontend)NiceNIC International Group Co.
Petugas Pendaftaran (C2)PDR Ltd. (PublicDomainRegistry.com)
Waktu Operasional~139 jam (dimulai pada ~10 Februari 2026 pukul 21.00 UTC)
Kit Pengering CDN renderer-postcard.defex.cc (601 KB kode JavaScript yang diobfuskasi)
Bot TelegramAktif, terintegrasi untuk pemberitahuan
Batas Frekuensi10 permintaan/60 detik (satu-satunya batasan yang ditemukan)

 Skala yang Terungkap Melalui ID Berurutan

Kesalahan yang paling fatal: ID pekerjaan berurutan. Setiap pengiriman frasa benih menghasilkan ID yang terus bertambah, sehingga siapa pun dapat menghitung volume total:

POST /api/check-seed-full { "frasa benih": "kalimat uji di sini", "bundleId": "88ef78f56e0837dd0339e40a882bf563", "kedalaman": 100, "domain": "aipolypredictor.xyz", "sourceInfo": {"nama dompet":"MetaMask", "isBot":false} } → {"success":true, "message":"Sedang diperiksa dalam antrian", "jobId":"19358"}// Next request: jobId 19359, then 19360...// ~19,000 seed phrases in ~139 hours = ~137 per hour

 Arsitektur Multi-Rantai

Server C2 menghasilkan kunci di seluruh rantai utama menggunakan jalur derivasi kedalaman 100:

⛓️
Rantai yang Menjadi Sasaran
ETH/BTC/SOL/XMR
🔑
Kedalaman Derivasi
100
🌐
Domain yang Telah Dikonfirmasi
11
🕸️
defex.cc Tertaut
255+

 Infrastruktur Kampanye

11 domain yang telah dikonfirmasi di 2 grup operator, dilacak berdasarkan ID Bundle:

ID PaketDomainStatus
88ef78f5...aipolypredictor.xyzLANGSUNG
4446ea5d...solana.onspace.app, solxjup.onspace.appLANGSUNG
Paket defex.cc jup-v2.com, events-charizard.fun, events-llquid.fun, events-blackswan.fun, soljup.onspace.build Campuran

 Analisis Muatan JavaScript

Tiga muatan JS yang disamarkan digunakan oleh drainer:

  • wallet-connect.js (46 KB) — Mengelola antarmuka pengguna (UI) koneksi dompet, menyadap masukan seed. Pengaburan melalui rotasi array string.
  • wallet-specific-modals.js (134 KB) — Berisi daftar kata lengkap BIP39 dalam bahasa Inggris dan Daftar kata Monero (1.626 kata). Pencegahan debugging melalui penggantian console.log/trace. Dukungan jendela pop-up multi-dompet.
  • defex.cc/index.js (601 KB) — Disamarkan menggunakan Unicode dengan nama variabel dalam bahasa Mandarin. Logika drainer khusus Solana. Pengkode Base58, primitif derivasi kunci kriptografi. Versi 3.0.0.

 Potensi Pengungkapan Identitas

Yang CORS: * header dan tidak adanya mekanisme otentikasi Siapa pun dapat mengajukan permintaan dan memantau perubahan nomor ID pekerjaan secara real-time. Integrasi bot Telegram ini berarti akun Telegram operator akan menerima pemberitahuan — dan metadata Telegram dapat diminta melalui surat perintah pengadilan. NiceNIC (penyedia layanan pendaftaran domain untuk frontend) adalah penyedia layanan pendaftaran domain yang dikenal aman yang telah kami telah diselidiki sebelumnya, tetapi PDR Ltd. (penyedia layanan pendaftaran domain C2) memang menanggapi permintaan dari pihak penegak hukum. Yang defex.cc Kit drainer ini melayani lebih dari 255 domain — jika defex.cc diretas, seluruh operasi DaaS dan semua pelanggannya akan terungkap.

 Perbandingan Langsung: 4 Operasi, Pola yang Sama

Metrik mn19indexpre
Express.js
web3ledgar
Firebase
web3safe-pal
Supabase
aipolypredictor
Drainer C2
OtentikasiTidak ada (token diabaikan)Tidak adaKunci Anon di JSTidak ada (CORS: *)
Data Dapat DibacaPesan/pengiriman ulangSemua frasa benihSemua frasa benihID Pekerjaan / skala
Data yang Dapat DitulisYa (tanpa batas)YaYa (CRUD lengkap)Ya (kirim)
Validasi MasukanNolNolNolMinimal
Pembatasan LajuTidak adaTidak adaTidak ada10 permintaan per 60 detik
Dapat diidentifikasiTenant MS365Akun GoogleKirim Ulang + Penagihan SupabasePDR + Telegram
Perkiraan Jumlah KorbanTidak diketahui12131+19,000+
Bahasa OperatorTidak diketahuiBahasa InggrisRusiaTidak diketahui

 Mengapa Penipu Bukanlah Peretas

Buktinya sangat meyakinkan. Di keempat operasi tersebut, kami mengamati pola yang sama:

 Apa yang Dilakukan Para Penipu
  • Beli paket saringan siap pakai ($200–$500)
  • Lakukan deployment di paket gratis (Firebase, Supabase)
  • Biarkan konfigurasi default tetap seperti semula
  • Gunakan token yang sudah ditentukan secara tetap; mereka tidak memverifikasinya
  • Jangan pernah mengaktifkan RLS, jangan pernah membatasi CORS
  • Menampilkan identitas mereka sendiri dalam metadata
  • Gunakan ID berurutan yang menunjukkan skalanya
 Apa yang Akan Dilakukan Para Peretas
  • Membuat alat eksfiltrasi khusus
  • Gunakan saluran yang terenkripsi dan terotentikasi
  • Acak pengenal, ganti infrastruktur
  • Terapkan kontrol akses yang tepat
  • Gunakan Tor/rantai proxy, pembayaran anonim
  • Pisahkan identitas operasional dari layanan hosting
  • Menerapkan teknik anti-forensik

Pelanggan Drainer-as-a-Service pada umumnya adalah seorang seorang pelaku rekayasa sosial yang memiliki kartu kredit, bukan seorang teknisi. Mereka tahu cara mendaftarkan domain dan menyisipkan kode ke dalam panel hosting. Mereka tidak tahu cara:

Mereka bukanlah musuh yang cerdik. Mereka adalah orang-orang yang tidak bisa mengonfigurasi basis data.

 Indikator Kompromi (IOC)

Domain

# Case 1: Express.js API server0002.mn19indexpre.xyz # Case 2: Firebase Stealer web3ledgar.com web3.ledgerscore.ltd # Case 3: Supabase Stealer web3safe-pal.com # Case 4: Drainer Campaign aipolypredictor.xyz API.yfhikblkhghdyteiuyf54.run yfhikblkhghdyteiuyf54.run renderer-postcard.defex.cc solana.onspace.app solxjup.onspace.app jupag.onspace.app jupiverse.onspace.app stakepayment.icu jup-v2.com events-charizard.fun events-llquid.fun events-blackswan.fun soljup.onspace.build

Alamat IP

108.181.185.225 # Case 1 — Express.js (dedicated) 172.67.168.147 / 104.21.26.231 # Case 4 — C2 API (Cloudflare) 172.67.178.251 / 104.21.67.171 # Case 4 — Frontend (Cloudflare) 172.67.209.39 / 104.21.37.139 # Case 4 — defex.cc (Cloudflare) 43.130.171.152 / 43.130.171.225 # Case 4 — onspace domains (Tencent)

Kunci API & ID Proyek

# Firebase (Case 2) Proyek: web3ledger-210ab Kunci API: AIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8 ID Aplikasi: 1:1054258933515:web:9fb193fcd0093023f7fc0e # Supabase (Case 3) Proyek: gzqsadraigchwdhblavp Kunci Anon: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9... # Campaign Tracking (Case 4) Paket 1: 88ef78f56e0837dd0339e40a882bf563 Paket 2: 4446ea5ddb308b2494db8ad4b12196c3 # Microsoft Tenant (Case 1) NETORGFT19090185.onmicrosoft.com

 Kesimpulan: Sang Kaisar Tidak Memakai Pakaian

 Kesimpulannya

Setiap operasi penipuan yang kami analisis bisa jadi sepenuhnya diretas, identitas penggunanya terungkap, dan sistemnya terganggu hanya dengan menggunakan peramban web, curl, dan dokumentasi yang tersedia untuk umum. Dalam setiap kasus, para penyerang membiarkan basis data mereka terbuka lebar, kunci API mereka tercantum dalam berkas JavaScript publik, identitas mereka tercantum dalam metadata, dan data korban mereka dapat diakses oleh siapa saja yang mau repot-repot mencarinya.

Pelajarannya sederhana: Penipu bukanlah peretas. Mereka adalah para pencuri toko yang membeli seperangkat alat pembuka kunci dari AliExpress namun lupa mengunci pintu depan rumah mereka sendiri. Alat-alat yang mereka gunakan sangat canggih — karena dibuat oleh orang lain. Para pelaku itu sendiri hanyalah amatir yang secara konsisten membahayakan infrastruktur mereka sendiri, data korban, dan identitas mereka sendiri di hadapan siapa pun yang memiliki pengetahuan teknis dasar.

Jika Anda pernah memasukkan frasa benih di salah satu situs ini — anggaplah dompet digital Anda telah diretas dan segera pindahkan dana Anda.

Semua temuan telah dilaporkan kepada penyedia layanan terkait (Google/Firebase, Supabase, Cloudflare, pendaftar domain) dan didokumentasikan untuk keperluan penegakan hukum. IOC di atas telah ditambahkan ke dalam PhishDestroy daftar penghancuran.

Bagikan Investigasi Ini

X / Twitter Telegram Reddit LinkedIn

Penyelidikan Terkait

BUYTRX Terbongkar: 55 Domain & Penipu yang Menyalahgunakan Persetujuan TRON
PENYELIDIKAN
BUYTRX Terbongkar: 55 Domain & Penipu yang Menyalahgunakan Persetujuan TRON
Crypto Drainer Toolkit: Para Penjual Kembali Angel Drainer Terbongkar
PENELITIAN MENDALAM
Crypto Drainer Toolkit: Para Penjual Kembali Angel Drainer Terbongkar
Keitaro TDS: 1.500 Panel Terungkap, Tak Ada Penggunaan yang Sah
PENYELIDIKAN
Keitaro TDS: 1.500 Panel Terungkap, Tak Ada Penggunaan yang Sah
Pemberitahuan mengenai transparansi. PhishDestroy adalah proyek independen yang bersifat non-komersial. Penelitian kami mungkin mencerminkan bias bawaan terhadap infrastruktur penipuan dan layanan yang mendukungnya. Kami mendorong para pembaca untuk mengevaluasi semua materi secara kritis dan mandiri. Baca pernyataan transparansi lengkap kami →