Tre operazioni di “drainer-as-a-service” analizzate a livello di codice. Kit di phishing generati dall’intelligenza artificiale con istruzioni di debug ancora in produzione. Un modello di affiliazione con una commissione dell’80% che alimenta una rapida espansione. E una rete archiviata che dimostra come le azioni di disturbo coordinate funzionino davvero. Questa è l’infrastruttura che sta dietro al prossimo portafoglio a cui stavi per collegarti.
~10 min di lettura· Aggiornato Marzo 2026· PhishDestroy Intelligence
3 reti di drenaggio attive Oltre 15 domini di phishing Commissione di affiliazione dell'80% 1 Rete archiviata
0
Domini di phishing
0
Funzionamento dello scolapasta
0
Utenti monitorati
0
Portafogli identificati
0
Ripetizioni forzate dell'invio dei segnali
0
% di commissione di affiliazione
La catena di attacchi in 9 fasi: dal falso airdrop al portafoglio vuoto
Ogni attacco di tipo “crypto drainer” segue una sequenza prevedibile. Ciò che rende pericolose le operazioni di tipo “drainer-as-a-service” non è l’innovazione, bensì la portata. La stessa catena di attacchi viene replicata su decine di domini, ognuno dei quali rappresenta una nuova trappola per vittime ignare. Ecco la sequenza esatta, estratta dal codice sorgente di TRXDrop, passo dopo passo.
Flusso completo dell'attacco di Drainer
Questa sequenza di 9 passaggi è stata ricostruita a partire dal codice sorgente decompilato di TRXDrop. Ogni passaggio è documentato con i relativi riferimenti al codice nel repository ScamIntelLogs.
La catena di un attacco di phishing nel mondo delle criptovalute in 9 fasi: dalla pubblicità fasulla su un airdrop allo svuotamento del portafoglio, fino al riciclaggio.
1
Annuncio falso su un airdrop La vittima vede un post in evidenza o un messaggio su Telegram che pubblicizza un airdrop TRX/SOL. Esempi di domini: trx-drop.com, tronrefund.com, trxairdrop.io.
2
Pagina di destinazione La pagina, dall'aspetto professionale, imita un vero airdrop della Fondazione TRON. I contatori per il conto alla rovescia e i contatori fasulli delle richieste creano un senso di urgenza.
3
Messaggio di WalletConnect Il sito avvia WalletConnect utilizzando un ID progetto rubato fbf5b42d9006502246e73447f5d50e33. La vittima collega il proprio portafoglio credendo che sia necessario per
effettuare la richiesta.
4
Richiesta di autorizzazione Drainer richiede autorizzazioni generiche per i token. La richiesta di firma
è volutamente vaga per nascondere ciò che viene
approvato.
5
Approvazione dei token La vittima firma un
approve()
transazione che conferisce al titolare del contratto "drainer" l'autorità illimitata
di spendere token specifici.
6
setApprovalForAll Una seconda transazione richiama
setApprovalForAll(), consentendo all'autore dell'attacco di assumere il controllo degli NFT e di tutti i tipi di token
presenti nel portafoglio.
7
Token di trasferimento Il contratto per lo scarico prevede un intervento immediato
transferFrom()
per spostare tutti i token approvati nella collezione
del portafoglio dell'autore dell'attacco.
8
Portafoglio Drain I token della catena nativa (TRX, SOL) vengono trasferiti per ultimi. Il
portafoglio viene svuotato completamente. Se la vittima rifiuta, il
drainer riprova fino a 50 volte prima di
consentire la fuga.
9
Fondi destinati all'operatore I fondi sottratti vengono trasferiti al portafoglio dell'operatore. TRXDrop
addebita una commissione di 30 TRX per ogni prelievo. Il resto va all'
affiliato che ha pubblicato la pagina di phishing.
50 tentativi di ricontatto forzati
Se una vittima clicca su "Rifiuta" nella finestra di richiesta di firma, il codice TRXDrop
riattiva immediatamente la richiesta. Questo ciclo si ripete
50 volte prima che alla vittima sia consentito chiudere
la finestra modale. La maggior parte degli utenti rinuncia e effettua l'accesso dopo 3-5 tentativi,
ritenendo che il sito presenti un malfunzionamento piuttosto che un intento malevolo. Questo non è
un bug. È una scelta progettuale.
Analisi approfondita di TRXDrop: codice generato dall’IA
con oltre 30 istruzioni di debug in produzione
API TRXDrop accessibile senza autenticazione — chiunque disponga dell'URL
può leggere i registri dei portafogli, i dati di pagamento e gli ID degli operatori.
TRXDrop è un rivenditore di Angel Drainer che prende di mira i portafogli TRON e Solana.
Ciò che contraddistingue questa operazione non è la sofisticatezza — anzi,
è proprio il contrario. Il codice sorgente rivela segni inequivocabili di
sviluppo assistito dall’intelligenza artificiale: struttura ripetitiva, commenti prolissi
e, cosa più rivelatrice, oltre 30 console.log istruzioni di debug rimaste nel codice di produzione.
Questi non sono i segni distintivi di uno sviluppatore esperto. Sono i segni distintivi di qualcuno che ha chiesto a un modello di linguaggio di grandi dimensioni (LLM) di scrivere un drainer e ha implementato il risultato senza verificarlo.
Indicatori di codice generato dall'IA
Il codice sorgente di TRXDrop contiene oltre 30 console.log istruzioni di debug nella versione di produzione. Messaggi del tipo console.log("Attempting wallet connection...") e console.log("Approval transaction sent") sono presenti ovunque. Nessuno sviluppatore professionista — e nessun criminale esperto — invia i log di debug all’ambiente di produzione. Si tratta di output grezzo generato da un LLM, distribuito così com’è.
Chiave di crittografia XOR
Tutte le comunicazioni tra il frontend di Drainer e il pannello di controllo backend sono crittografate con una chiave XOR hardcoded: TRX_SECURE_2024_PANEL_KEY. L'operazione XOR con una chiave statica è banalmente reversibile: un altro indizio di uno sviluppo basato sul copia-incolla.
Pannello di amministrazione di Crypto Drainer v1.2: 1.337 vittime, 12.450 dollari rubati, portafogli collegati e registro dei prelievi in tempo reale - SVELATO
Abuso di WalletConnect
ID del progetto WalletConnect fbf5b42d9006502246e73447f5d50e33 è integrato in tutti i 15+ domini. Una singola revoca di questo ID di progetto disabiliterebbe contemporaneamente la connettività dei portafogli su tutta la rete TRXDrop.
50 tentativi di ricontatto forzati
Il ciclo di richiesta di firma effettua 50 tentativi prima di consentire alla vittima di uscire. Questa tattica di pressione psicologica è hardcoded, non configurabile dagli affiliati: si tratta di una funzionalità fondamentale del kit Angel Drainer.
Commissione TRX del 30%
Ogni prelievo andato a buon fine genera una commissione di 30 TRX versata sul portafoglio dell'operatore. Ai tassi attuali, ciò corrisponde a circa 7-8 dollari USA per vittima: un margine esiguo che suggerisce che l'operazione punti più sul volume che sul valore.
Intelligenza operativa
Telegram:@STNlRAWbIaFLiH (ID utente: 6823931109) Portafoglio da collezione:TRAGn9E6hbTiQrYG5V4sk1gNv3JaWHSxak Catene interessate: TRON, Solana Kit di scarico: Angel Drainer (di seconda mano/personalizzato)
Infrastruttura di domini TRXDrop (oltre 15 domini)
Dominio
Tipo
Stato
trx-drop.com
Pagina di destinazione principale
Attivo
tronrefund.com
Esca per il rimborso
Attivo
tronfund.net
Incentivo finanziario
Attivo
trxfund.pro
Incentivo finanziario
Attivo
trxairdrop.io
Esca per airdrop
Attivo
trondrop.org
Esca per airdrop
Attivo
tronreward.com
Esca con ricompensa
Attivo
tronreward.net
Esca con ricompensa
Attivo
tronrefund.net
Esca per il rimborso
Attivo
trxfund.org
Incentivo finanziario
Attivo
trxdrop.com
Esca per airdrop
Attivo
trxdrop.org
Esca per airdrop
Attivo
trongiving.com
Esca in omaggio
Attivo
tronclaims.com
Incentivi per i sinistri
Attivo
trondrop.pro
Esca per airdrop
Attivo
NiceCrypto: La macchina che genera commissioni all’80%
Flusso delle commissioni di “Drainer-as-a-Service”: l’80% all’operatore affiliato, il 20% come commissione per lo sviluppatore — dal portafoglio della vittima, tramite smart contract, fino al riciclaggio.
NiceCrypto si basa su un principio semplice: offrire agli affiliati la commissione più alta nel mercato dei “drainer” e loro, in cambio, porteranno le vittime. Con una commissione dell’80%, NiceCrypto offre la ripartizione dei proventi più generosa che abbiamo mai documentato in qualsiasi operazione di “drainer-as-a-service”. L’operatore trattiene solo il 20%: un margine ridottissimo che funziona solo su larga scala.
Il calcolo è semplice. Se un affiliato svuota un portafoglio contenente 1.000 dollari in token, ne trattiene 800. NiceCrypto trattiene 200 $. Con oltre 8.454 $ di pagamenti agli affiliati documentati, l’operazione ha movimentato almeno 42.270 $ di fondi rubati — e questa cifra tiene conto solo dei pagamenti che possiamo osservare direttamente sulla blockchain.
Modello di ricavi: ripartizione 80/20
$8,454+ nei pagamenti documentati agli affiliati rappresenta il minimo, non il massimo. Con una commissione dell’80% per gli affiliati, il totale dei fondi sottratti elaborati da NiceCrypto supera $42,000 minimo. La cifra reale è probabilmente molto più alta, poiché non tutte le transazioni vengono rilevate nel nostro periodo di monitoraggio.
Espansione multi-chain
NiceCrypto è nato su TRON, ma i file di configurazione recuperati dalla loro infrastruttura rivelano un'espansione in corso verso Solana, Catene compatibili con EVM (Ethereum, BSC, Polygon) e TON. Quattro ecosistemi blockchain riuniti sotto un unico pannello di controllo.
Presenza sul forum
NiceCrypto recluta affiliati tramite wwh2club.to, un noto forum dedicato alla criminalità informatica. Il loro bot su Telegram @NCsetup_bot gestisce il processo di onboarding: i nuovi affiliati ricevono un kit di drainer già configurato entro pochi minuti dal primo contatto.
WasabiSquad Connection
Il dominio del sito web di NiceCrypto wasabihub.one suscita interrogativi su un possibile collegamento con l'operazione WasabiSquad. Per stabilire se si tratti di un'infrastruttura condivisa, di un cambio di marchio o di una coincidenza, sono necessarie ulteriori indagini.
Automazione di Telegram
Bot @NCsetup_bot automatizza la gestione degli affiliati: distribuzione dei kit di drenaggio, monitoraggio delle commissioni e erogazione dei pagamenti. L'operatore raramente deve interagire direttamente con gli affiliati.
IOC di NiceCrypto
Bot di Telegram:@NCsetup_bot Sito web:wasabihub.one Forum:wwh2club.to Commissione di affiliazione: 80% Pagamenti documentati: $8,454+ Catene: TRON (attivo), Solana (in espansione), EVM (in espansione), TON (in espansione)
L'80% va agli affiliati. Noi tratteniamo il 20%. Voi portate il traffico, noi ci occupiamo del codice. La configurazione richiede 5 minuti.
-- Pubblicità di NiceCrypto su wwh2club.to
717Team: Archiviato = Disruption Works
717Team è la prova che queste operazioni possono essere fermate. Con 125 membri e 85 portafogli monitorati, 717Team era un’operazione di “draining” di medie dimensioni che gestiva oltre 12 domini di phishing. Il totale confermato dei fondi sottratti, pari a 2.946,25 dollari, può sembrare modesto rispetto a operazioni di più ampia portata, ma ciò che conta davvero è il risultato: archiviato.
Nel nostro sistema di monitoraggio, il termine "archiviato" indica che l'operazione è stata interrotta al punto da cessare definitivamente. I domini sono stati disattivati. L'infrastruttura è stata distrutta. L'amministratore è stato smascherato. Il 717Team non ha cessato volontariamente le attività. È stato smantellato grazie a segnalazioni coordinate, alle rimozioni dei domini e alla condivisione di informazioni con i partner specializzati nella sicurezza blockchain.
Interruzione confermata
Lo stato “ARCHIVIATO” di 717Team non è un’etichetta che attribuiamo con leggerezza. Significa un’interruzione prolungata su più fronti: rimozioni dei domini, segnalazioni da parte dei provider di hosting, blocco dei portafogli e divulgazione dell’identità dell’amministratore. Il costo di proseguimento dell’operazione ha superato i ricavi. Ecco come si presenta un’interruzione riuscita.
Amministratore: @imdebank
Nome utente dell'amministratore su Telegram @imdebank (ID utente: 7149807602) è stato associato a RublevkaTeam, una rete separata di truffatori in lingua russa già documentata nella nostra indagine su TON. La condivisione degli amministratori tra diverse operazioni è un modello ricorrente.
Scala di rete
125 membri monitorati nei gruppi di Telegram. 85 portafogli identificati tramite analisi on-chain. $2,946.25 confermato esaurito. 717Team reclutato tramite lolz.live, un forum in lingua russa dedicato alla criminalità informatica.
Infrastruttura di dominio
Oltre 12 domini, tra cui checkscore.cc, cryptomus-payment.com, check-score.ru, e altri. Sono stati utilizzati diversi registrar di domini nel tentativo di opporsi alle rimozioni coordinate.
Operazioni dei bot
Bot di Telegram @team717_bot si occupava del coordinamento degli affiliati, del monitoraggio delle vittime e della distribuzione dei pagamenti. Il bot è stato disattivato nell’ambito dell’operazione di contrasto.
717Team IOC
Amministratore:@imdebank (ID: 7149807602) Gruppo collegato: RublevkaTeam Bot:@team717_bot Forum:lolz.live Membri: 125 su cingoli Portafogli: 85 identificati Confermato prosciugato: $2,946.25 Stato:ARCHIVIATO (Interrotto)
Anti-analisi: presente ma facile da aggirare
TRXDrop impiega due tecniche anti-analisi che fanno parte del repertorio standard degli strumenti utilizzati dai drainer. Entrambe sono progettate per ostacolare un’analisi superficiale. Nessuna delle due rappresenta però un ostacolo significativo per un analista esperto.
Trappole del debugger
A setInterval Il ciclo viene eseguito ogni 1.000 millisecondi, eseguendo un debugger messaggio. Quando DevTools è aperto, ciò interrompe continuamente l'esecuzione, dando l'impressione che la pagina sia bloccata. Bypass: Disattiva i punti di interruzione in DevTools (Ctrl+F8) oppure utilizzare l'opzione del menu contestuale "Non mettere mai in pausa qui". Tempo totale di bypass: 2 secondi.
Dirottamento della console
Il codice sovrascrive console.log, console.warn, e console.error con funzioni vuote per sopprimere l'output. È ironico, visto che lo sviluppatore ha lasciato più di 30 istruzioni di debug che proprio queste sostituzioni sono state progettate per nascondere. Bypass: Salva un riferimento ai metodi originali della console prima che la pagina venga caricata, oppure utilizza l'API nativa della console del browser. Tempo totale di bypass: 5 secondi.
L'ora dei dilettanti
La combinazione di codice generato dall’IA, istruzioni di debug in produzione, crittografia XOR statica e misure anti-analisi facilmente aggirabili dipinge un quadro chiaro: l’operatore di TRXDrop non è uno sviluppatore esperto. Si tratta di un truffatore che ha acquistato un kit di drenaggio e ha chiesto a un modello di linguaggio di grande scala (LLM) di personalizzarlo. Il pericolo non sta nella sofisticatezza, ma nell’accessibilità. Quando la barriera all’ingresso è «sai digitare un prompt?», il numero di operatori cresce in modo esponenziale.
Questo schema è ricorrente in tutto l’ecosistema dei “drainer-as-a-service”. Gli sviluppatori dei kit (in questo caso, Angel Drainer) possiedono una reale competenza tecnica. I rivenditori e gli affiliati che utilizzano questi kit spesso non ne dispongono. Il livello anti-analisi non esiste perché gli operatori abbiano una comprensione della ricerca sulla sicurezza, ma perché il kit viene fornito con tale funzione abilitata di default.
Prove e analisi delle fonti
Tutte le prove citate in questa indagine sono conservate nell'archivio PhishDestroy ScamIntelLogs. Ogni operazione dispone di una propria directory contenente file di configurazione, estratti di codice sorgente, elenchi di domini, indirizzi di wallet e informazioni raccolte su Telegram.
Prove relative a TRXDrop
15 domini, codice sorgente, chiavi XOR, ID WalletConnect, account Telegram dell'operatore, indirizzo del wallet.
Tutti gli indirizzi di portafoglio, gli elenchi di domini e gli identificatori degli operatori pubblicati nel presente rapporto sono stati comunicati ai team di sicurezza blockchain competenti e ai registrar di domini prima della pubblicazione. L’ID del progetto WalletConnect è stato segnalato per la revoca. Se gestite infrastrutture interessate da questi IOC, contattateci tramite @PhishDestroy_bot.
Proteggi il tuo portafoglio
Il servizio "Drainer-as-a-service" si sta espandendo. L'unica barriera all'ingresso è un messaggio su Telegram e qualche centinaio di dollari. La tua difesa inizia con la consapevolezza.
Non firmare mai alla cieca
Se un sito ti costringe a confermare ripetutamente l'autorizzazione, chiudilo immediatamente. Gli airdrop legittimi non richiedono mai approvazioni illimitate di token.
Verificare prima di collegare
Controlla l'età del dominio, verifica tramite i canali ufficiali del progetto e utilizza un portafoglio temporaneo per richiedere eventuali airdrop.
Utilizza i portafogli hardware
Conserva le somme ingenti su portafogli hardware. Non collegare mai il tuo portafoglio principale a siti non verificati.
Avviso sulla trasparenza. PhishDestroy è un progetto indipendente e senza fini di lucro. La nostra ricerca potrebbe riflettere un pregiudizio intrinseco nei confronti delle infrastrutture utilizzate per le truffe e dei servizi che le rendono possibili. Invitiamo i lettori a valutare tutto il materiale in modo critico e autonomo. Leggi la nostra dichiarazione completa sulla trasparenza →