ニュースに戻る

ScamIntelLogsの調査

「Crypto Drainer Toolkit」:あなたのウォレットを狙う「Angel Drainer」再販業者の実態

3つの「Drainer-as-a-Service」事業をコードレベルで徹底分析。デバッグ文が残ったまま本番環境で稼働しているAI生成のフィッシングキット。急速な拡大を後押しする80%の手数料率を誇るアフィリエイトモデル。そして、組織的な妨害が有効であることを証明する1つのアーカイブ済みネットワーク。これこそが、あなたがあと少しで接続しかけていた次のウォレットの背後にあるインフラなのです。

3つのアクティブ・ドレイナー・ネットワーク 15件以上のフィッシングドメイン 80%のアフィリエイト報酬 1 ネットワークのアーカイブ
暗号資産流出ネットワークの分析
0
フィッシングドメイン
0
ドレーナーの操作
0
追跡中のメンバー
0
特定されたウォレット
0
強制的なサイン再試行
0
% アフィリエイト手数料

9段階の攻撃チェーン:偽のエアドロップからウォレットの空っぽ化まで

あらゆる暗号資産ドレイナーは、予測可能な一連の手順に従っています。「ドレイナー・アズ・ア・サービス」型の攻撃が危険なのは、その革新性ではなく、その規模の大きさにあるのです。同じ攻撃チェーンが数十ものドメインに複製され、それぞれが何も疑わない被害者を待ち受ける新たな罠となります。以下に、TRXDropのソースコードから抽出した、その正確な手順を段階ごとに示します。

ドレイナー攻撃の全流れ

この9段階の連鎖は、逆コンパイルされたTRXDropのソースコードから再構築されたものです。各段階については、ScamIntelLogsリポジトリ内の対応するコード参照とともに記録されています。

9段階からなる暗号資産フィッシング攻撃の連鎖:偽のエアードロップ広告、ターゲットのクリック、フィッシング用ランディングページ、ウォレットの接続、悪意のある権限付与、取引の承認、トークンの流出、資金のミキシング、現金化
9段階からなる暗号資産フィッシング攻撃の連鎖――偽のエアドロップ広告からウォレットの資金流出、そして資金洗浄に至るまで。
1
偽のエアドロップ広告
被害者は、TRX/SOLのエアドロップを宣伝するプロモーション投稿やTelegramのメッセージを目にします。ドメインの例:trx-drop.com、tronrefund.com、trxairdrop.io。
2
ランディングページ
一見すると本物のように見えるこのページは、TRON財団による正規のエアドロップを装っています。カウントダウンタイマーや偽の受け取り件数カウンターが、緊急性を煽っています。
3
WalletConnectのプロンプト
サイトが盗まれたプロジェクトIDを使用してWalletConnectを開始する fbf5b42d9006502246e73447f5d50e33. 被害者は、それが請求に必要なものだと信じて、 自分のウォレットを接続してしまう。
4
許可の申請
Drainerは広範なトークン権限を要求します。署名プロンプトは、 何が承認されているのかを曖昧にするため、 意図的に曖昧にされています。
5
トークンの承認
被害者は……に署名する approve() ドレイナー契約に対し、特定のトークンについて無制限の支出 権限を付与するトランザクション。
6
setApprovalForAll
2番目のトランザクションが呼び出されます setApprovalForAll(), これにより、攻撃者はウォレット内のNFTおよびあらゆる種類のトークンを 制御できるようになってしまう。
7
トークンの移転
ドレイナーとの契約は直ちに発効します transferFrom() 承認されたトークンをすべて、攻撃者のコレクション ウォレットに移動する。
8
ドレイン・ウォレット
ネイティブチェーンのトークン(TRX、SOL)は最後に転送されます。 ウォレットの残高は完全に空になります。被害者が拒否した場合、 ドレイナーは最大 50回 エスケープを 許可する前に。
9
事業者への資金
盗まれた資金は、運営者のウォレットに送金されます。TRXDropは 1回の資金流出につき30 TRXの手数料を徴収します。残りは、 フィッシングページを展開したアフィリエイトに支払われます。

50回の強制再試行

被害者が署名プロンプトで「拒否」をクリックすると、TRXDrop コードが直ちにリクエストを再トリガーします。このループが繰り返されます 50回 被害者がモーダルを 閉じることが許可される前に。ほとんどのユーザーは、3~5回試みた後に諦めて署名してしまいます。 彼らは、サイトが不正なものではなく、単に不具合を起こしているのだと信じているからです。これは バグではありません。意図的な仕様なのです。

TRXDrop 徹底解説:AIが生成したコード 本番環境で30以上のデバッグ文が含まれている

セキュリティの比較:「認証が必要」(緑色の鍵)対「認証なし・完全に開放」(壊れた赤い鍵)
TRXDrop APIが認証なしで公開されている — URLを知っている人なら誰でも ウォレットのログ、支払いデータ、およびオペレーターIDを閲覧できる。

TRXDropは、TRONおよびSolanaの ウォレットを標的とする「Angel Drainer」の再販業者です。この手口の特徴は、その洗練度にあるのではなく―― むしろその正反対です。 ソースコードからは、 AIを活用した開発の紛れもない痕跡が確認できます。反復的な構造、冗長なコメント、 そして最も決定的なのは、30を超える console.log 本番環境のコードに残されたデバッグ用記述。

これらは経験豊富な開発者の手口ではありません。これらは、LLMに「ドレイナー」の作成を指示し、その出力を確認もせずにデプロイしてしまった人物の手口です。

AI生成コードのマーカー

TRXDropのコードベースには30以上の console.log 本番ビルド内のデバッグ出力。次のようなメッセージ console.log("Attempting wallet connection...") そして console.log("Approval transaction sent") 至る所に現れている。プロのデベロッパーなら――そして経験豊富な犯罪者なら――デバッグログを本番環境に公開することなどない。これはLLMが生成した生の出力を、そのままデプロイしたものだ。

XOR暗号化鍵

drainerのフロントエンドとバックエンドパネル間のすべての通信は、ハードコードされたXORキーを用いて暗号化されています: TRX_SECURE_2024_PANEL_KEY. 静的鍵を用いたXORは、当然ながら元に戻すことが可能であり、これもまた「コピー&ペースト開発」の兆候の一つである。

暗号資産窃取ツールの管理パネル v1.2:被害者1,337人、盗まれた金額12,450ドル、接続されたウォレット、リアルタイムの窃取ログが判明 - 暴露
暗号資産窃取ツールの管理パネル v1.2:被害者1,337人、盗まれた金額12,450ドル、接続されたウォレット、リアルタイムの窃取ログが判明 - 暴露

WalletConnectの悪用

WalletConnect プロジェクト ID fbf5b42d9006502246e73447f5d50e33 は、15以上のすべてのドメインに組み込まれています。このプロジェクトIDが1つでも無効化されると、TRXDropネットワーク全体のウォレット接続が同時に利用できなくなります。

50回の強制再試行

署名プロンプトのループは、被害者が終了することを許可する前に50回再試行します。この心理的圧力をかける手法はハードコードされており、アフィリエイトが設定を変更することはできません。これは「Angel Drainer」キットの中核となる機能です。

30 TRXの手数料

排水に成功するたびに、30 TRXの手数料が運営者のウォレットに送金されます。現在のレートでは、被害者1人あたり約7~8米ドルに相当します。この低い利益率は、この事業が価値よりも取引量に依存していることを示唆しています。

オペレーター・インテリジェンス

Telegram: @STNlRAWbIaFLiH (ユーザーID: 6823931109)
コレクション・ウォレット: TRAGn9E6hbTiQrYG5V4sk1gNv3JaWHSxak
対象となるチェーン: TRON、Solana
ドレーナーキット: エンジェル・ドレイナー(中古/カスタマイズ品)

TRXDrop ドメインインフラストラクチャ(15以上のドメイン)

ドメイン種類ステータス
trx-drop.com一次着陸アクティブ
tronrefund.com返金という餌アクティブ
tronfund.netファンドの誘引アクティブ
trxfund.proファンドの誘引アクティブ
trxairdrop.ioエアドロップの餌アクティブ
trondrop.orgエアドロップの餌アクティブ
tronreward.comおとり用餌アクティブ
tronreward.netおとり用餌アクティブ
tronrefund.net返金という餌アクティブ
trxfund.orgファンドの誘引アクティブ
trxdrop.comエアドロップの餌アクティブ
trxdrop.orgエアドロップの餌アクティブ
trongiving.comプレゼント用ルアーアクティブ
tronclaims.com請求の誘引アクティブ
trondrop.proエアドロップの餌アクティブ

NiceCrypto:80%の手数料を生み出すマシン

「Drainer-as-a-Service」の運用手数料の配分:被害者のウォレットからスマートコントラクトを通じて、80%がオペレーターに、20%が開発者に支払われる
「Drainer-as-a-Service」の手数料配分:アフィリエイト事業者に80%、開発者手数料として20% — 被害者のウォレットからスマートコントラクトを経由して資金洗浄へと流れる。

NiceCryptoは、あるシンプルな理念に基づいて運営されています。それは、「アフィリエイトにドレイナー市場で最高の報酬を支払えば、彼らは被害者を連れてくる」というものです。 80%というコミッション率により、NiceCryptoは、私たちが調査した「ドレイナー・アズ・ア・サービス」事業の中で最も手厚いアフィリエイト報酬分配率を提供しています。運営者はわずか20%しか受け取らず、これは大規模に展開して初めて成り立つ、紙一重の利益率です。

計算は単純明快だ。アフィリエイトが1,000ドル分のトークンを含むウォレットから資金を引き出せば、800ドルを手にすることになる。 NiceCryptoは200ドルを受け取ります。記録されているアフィリエイトへの支払いが8,454ドル以上あることから、この事業は少なくとも42,270ドル相当の盗まれた資金を処理してきたことになります――しかも、この数字はオンチェーン上で直接確認できる支払い分のみを反映したものです。

収益モデル:80対20の配分

$8,454+ アフィリエイトへの記録された支払額は、上限ではなく下限を表しています。アフィリエイト手数料率が80%の場合、NiceCryptoを通じて処理された盗難資金の総額は $42,000 最低値です。監視対象期間にはすべての取引が網羅されているわけではないため、実際の数値はこれよりもかなり高い可能性があります。

マルチチェーン展開

NiceCryptoはTRON上でスタートしましたが、同社のインフラから復元された設定ファイルによると、現在、 ソラナ, EVM互換チェーン (イーサリアム、BSC、ポリゴン)、および TON. 1つのドレーナーパネルに集約された4つのブロックチェーン・エコシステム。

フォーラムへの参加状況

NiceCryptoは、以下の方法を通じてアフィリエイトを募集しています wwh2club.to、よく知られたサイバー犯罪フォーラムです。そのTelegramボット @NCsetup_bot オンボーディングを担当――新規アフィリエイトは、連絡を受けてから数分以内に設定済みのドレイナーキットを受け取ります。

WasabiSquad コネクション

NiceCryptoのウェブサイトのドメイン wasabihub.one これにより、WasabiSquadの活動との関連性が疑われている。これがインフラの共有なのか、ブランド名の変更なのか、あるいは単なる偶然なのかについては、さらなる調査が必要である。

Telegramの自動化

ボット @NCsetup_bot アフィリエイト管理を自動化します。具体的には、ドレイナーキットの導入、コミッションの追跡、および報酬の支払いです。運営者がアフィリエイトと直接やり取りする必要はほとんどありません。

NiceCrypto の IOC

Telegramボット: @NCsetup_bot
ウェブサイト: wasabihub.one
フォーラム: wwh2club.to
アフィリエイト報酬: 80%
記録された支払い額: $8,454+
チェーン: TRON(稼働中)、Solana(拡大中)、EVM(拡大中)、TON(拡大中)

アフィリエイトパートナーには80%を還元します。当社は20%を受け取ります。トラフィックは貴社で集めていただき、コードの管理は当社が行います。設定には5分しかかかりません。
-- wwh2club.to 上の NiceCrypto の広告

717Team:アーカイブ済み = ディスラプション・ワークス

717Teamは、こうした活動を阻止できることを証明しています。125人のメンバーと85の追跡対象ウォレットを抱える717Teamは、12以上のフィッシングドメインを運用していた中規模の資金流出グループでした。 確認された資金流出総額2,946.25ドルは、より大規模な組織と比べると控えめに見えるかもしれませんが、真に重要なのはその結果です: アーカイブ済み.

当社の追跡システムにおいて、「アーカイブ済み」とは、その活動が停止に至るほどに妨害されたことを意味します。ドメインはテイクダウンされ、インフラは破壊され、管理者は身元を暴かれました。717Teamは自発的に活動を停止したわけではありません。組織的な通報、ドメインのテイクダウン、そしてブロックチェーンセキュリティパートナーとの情報共有を通じて、活動を停止させられたのです。

障害の発生が確認されました

717Teamの「ARCHIVED」ステータスは、私たちが軽々しく付けるラベルではありません。これは、ドメインのテイクダウン、ホスティングプロバイダーからの通報、ウォレットのフラグ付け、管理者の身元の暴露など、複数の側面にわたる持続的な妨害活動を意味します。この事業の継続にかかるコストが収益を上回ったのです。これこそが、妨害活動の成功というものです。

管理者:@imdebank

Telegramの管理者のユーザー名 @imdebank (ユーザーID: 7149807602)は、以下と関連付けられている ルブレフカチーム、これは、以前当方のTON調査で報告された、別のロシア語圏の詐欺ネットワークである。運営者間の連携は、繰り返し見られるパターンである。

ネットワーク規模

125名の会員 Telegramのグループを通じて追跡された。 85個の財布 オンチェーン分析を通じて特定された。 $2,946.25 排水が完了したことが確認されました。717Teamは以下を通じて募集されました lolz.live、ロシア語のサイバー犯罪フォーラム。

ドメインインフラストラクチャ

以下を含む12以上のドメイン checkscore.cc, cryptomus-payment.com, check-score.ru、など。組織的なテイクダウンに対抗するため、複数のドメイン登録業者が利用された。

ボットの運用

Telegramボット @team717_bot アフィリエイトの調整、被害者の追跡、および報酬の分配を管理していた。このボットは、活動阻止の一環として無効化された。

717チーム IOCs

管理者: @imdebank (ID: 7149807602)
関連グループ: ルブレフカチーム
ボット: @team717_bot
フォーラム: lolz.live
メンバー: 125件を追跡中
財布: 85件が特定された
「Drained」と確認されました: $2,946.25
ステータス:アーカイブ済み(中断)

アンチ分析:存在はするが、回避するのは容易

TRXDropは、ドレイナーのツールキットで標準的に用いられる2つの分析回避手法を採用している。いずれも、ざっとした調査を妨げることを目的としている。しかし、熟練したアナリストにとっては、いずれも大きな障害とはならない。

デバッガーのトラップ

A setInterval このループは1,000ミリ秒ごとに実行され、 debugger ステートメント。DevTools が開いていると、これにより実行が継続的に一時停止され、ページがフリーズしているように見えてしまいます。 バイパス: DevTools でブレークポイントを無効にする (Ctrl+F8) または、コンテキストメニューの「ここで一時停止しない」オプションを使用します。バイパスにかかる合計時間:2秒。

コンソールの乗っ取り

このコードは上書きします console.log, console.warn、および console.error 出力を抑制するための空の関数を使用している。皮肉なことに、開発者は、これらのオーバーライドによって隠されるはずのデバッグ文を30個以上残していたのだ。 バイパス: ページが読み込まれる前に、元のコンソールメソッドへの参照を保存しておくか、ブラウザのネイティブコンソールAPIを使用してください。バイパスにかかる合計時間:5秒。

アマチュアの時間

AIが生成したコード、本番環境でのデバッグステートメント、静的XOR暗号化、そして簡単に回避できる解析防止策が組み合わさっていることから、TRXDropの運営者は熟練した開発者ではないということが明らかです。彼らは、ドレイナーキットを購入し、LLMに指示を出してそれをカスタマイズさせた詐欺師に過ぎません。 危険なのはその洗練度ではなく、その「手軽さ」にある。「プロンプトを入力できるか」という程度の参入障壁しか存在しない場合、運営者の数は指数関数的に増加する。

この傾向は、「Drainer-as-a-Service」のエコシステム全体に見られるものです。キットの開発者(この場合はAngel Drainer)は確かな技術力を有していますが、これらのキットを展開する再販業者や提携業者の多くは、そうした技術力を持ち合わせていません。分析対策機能が存在する理由は、オペレーターがセキュリティ研究を理解しているからではなく、キットがデフォルトでその機能を有効にした状態で出荷されているからです。

証拠および情報源分析

本調査で参照されたすべての証拠は、PhishDestroy ScamIntelLogs リポジトリに保存されています。各作戦には、設定ファイル、ソースコードの抜粋、ドメインリスト、ウォレットアドレス、およびTelegramのインテリジェンス情報を含む専用のディレクトリが用意されています。

TRXDropの証拠

15のドメイン、ソースコード、XORキー、WalletConnect ID、Telegramの運営者、ウォレットアドレス。

GitHubで閲覧する

NiceCryptoの証拠

設定ファイル、アフィリエイトの支払い記録、マルチチェーン展開計画、フォーラムの投稿。

GitHubで閲覧する

717チーム・エビデンス

メンバーリスト、ウォレットアドレス、ドメインインフラ、管理者情報、混乱の経緯。

GitHubで閲覧する

責任ある情報開示

本レポートで公開されたすべてのウォレットアドレス、ドメインリスト、およびオペレーター識別子は、公開前に関連するブロックチェーンセキュリティチームおよびドメイン登録機関に共有されています。WalletConnectプロジェクトIDについては、無効化の依頼が行われています。これらのIOCの影響を受けるインフラを運用されている場合は、以下を通じてご連絡ください。 @PhishDestroy_bot.

お財布を守りましょう

「Drainer-as-a-service」は拡大しつつある。参入障壁は、Telegramのメッセージと数百ドルだけだ。防御の第一歩は、事態を認識することから始まる。

決して無条件に署名してはいけない

サイトが繰り返し署名を求める場合は、直ちにそのサイトを閉じてください。正当なエアドロップでは、無制限のトークン承認を要求することは決してありません。

接続する前に確認してください

ドメインの登録期間を確認し、プロジェクトの公式チャネルを通じて情報を確認した上で、エアドロップの受け取りには使い捨てウォレットを使用してください。

ハードウェアウォレットを使用する

多額の資産はハードウェアウォレットに保管してください。主要なウォレットを、信頼性が確認されていないサイトに絶対に接続しないでください。

脅威を報告する

排水口を見つけた? こちらに報告してください @PhishDestroy_bot または、以下のURLでドメインを確認してください analyze.destroy.tools.

ドメインを報告する ドメインを分析する

この調査を共有する

X / Twitter Telegram Reddit LinkedIn

関連する調査

BUYTRXの全貌:55のドメインとTRONの承認権限を悪用する攻撃
調査
BUYTRXの全貌:55のドメインとTRONの承認権限を悪用する攻撃
Trust Walletのフィッシング事件:23万9000ドルが盗まれ、6人の運営者が特定される
徹底調査
Trust Walletのフィッシング事件:23万9000ドルが盗まれ、6人の運営者が特定される
暗号資産フィッシングの解剖:8つの実在するシードフレーズ窃取ツールのリバースエンジニアリング
徹底調査
暗号資産フィッシングの解剖:8つの実在するシードフレーズ窃取ツールのリバースエンジニアリング
透明性に関するお知らせ。 PhishDestroyは、非営利の独立プロジェクトです。当プロジェクトの調査には、詐欺インフラやそれを可能にするサービスに対する固有の偏見が反映されている可能性があります。読者の皆様には、すべての情報を批判的かつ独自に評価していただくようお願いいたします。 当社の透明性に関する声明全文はこちら →