코드 수준에서 분석한 세 가지 ‘드레이너-어-서비스(Drainer-as-a-Service)’ 운영 사례. 디버그 문구가 그대로 남아 있는 AI 생성 피싱 키트가 여전히 운영 중입니다. 80%의 수수료를 제공하는 제휴 모델이 급속한 확장을 부추기고 있습니다. 그리고 조직적인 공격이 효과적임을 입증하는 하나의 아카이브된 네트워크. 이것이 바로 여러분이 아슬아슬하게 연결할 뻔했던 다음 지갑의 배후에 있는 인프라입니다.
~10분 정도 소요되는 글· 업데이트됨 2026년 3월· PhishDestroy 인텔리전스
3개의 활성 배수망 15개 이상의 피싱 도메인 80% 제휴 수수료 1 네트워크 아카이브
0
피싱 도메인
0
배수구 작동
0
추적된 회원
0
확인된 지갑
0
강제 재시도
0
% 제휴 수수료
9단계 공격 체인: 가짜 에어드롭에서 지갑 비움까지
모든 암호화폐 탈취 공격은 예측 가능한 순서를 따릅니다. ‘서비스형 탈취(drainer-as-a-service)’ 운영이 위험한 이유는 혁신 때문이 아니라 그 규모 때문입니다. 동일한 공격 체인이 수십 개의 도메인에 걸쳐 복제되며, 각 도메인은 의심하지 않는 피해자들을 위한 새로운 함정이 됩니다. 다음은 TRXDrop의 소스 코드에서 추출한 정확한 공격 순서를 단계별로 정리한 것입니다.
드레이너 공격 전 과정
이 9단계 체인은 디컴파일된 TRXDrop 소스 코드를 바탕으로 재구성되었습니다. 각 단계는 ScamIntelLogs 저장소에 해당 코드 참조와 함께 문서화되어 있습니다.
9단계로 이루어진 암호화폐 피싱 공격 과정 — 가짜 에어드롭 광고부터 지갑 자금 탈취, 자금 세탁에 이르기까지.
1
가짜 에어드랍 광고 피해자는 TRX/SOL 에어드롭을 홍보하는 광고 게시물이나 Telegram 메시지를 보게 됩니다. 도메인 예시: trx-drop.com, tronrefund.com, trxairdrop.io.
2
랜딩 페이지 전문적으로 보이는 이 페이지는 정식 TRON 재단의 에어드롭을 모방하고 있습니다. 카운트다운 타이머와 가짜 수령 횟수 카운터가 긴박감을 조성합니다.
3
WalletConnect 안내 메시지 해당 사이트가 도난당한 프로젝트 ID를 사용하여 WalletConnect를 시작합니다 fbf5b42d9006502246e73447f5d50e33. 피해자는 보상금을 수령하기 위해 필수 절차라고 믿고
지갑을 연결합니다.
4
권한 요청 Drainer는 광범위한 토큰 권한을 요청합니다. 서명 요청 메시지는
승인 대상이 무엇인지 알 수 없도록
의도적으로 모호하게 작성되었습니다.
5
토큰 승인 피해자가 서명한다
approve()
드레이너 계약에 특정 토큰에 대한 무제한 지출
권한을 부여하는 트랜잭션.
6
setApprovalForAll 두 번째 트랜잭션은 다음을 호출합니다.
setApprovalForAll(), 이로 인해 공격자는 지갑 내의 NFT 및 모든 종류의 토큰에 대한
제어권을 얻게 됩니다.
7
토큰 이체 드레이너 계약에 대한 연락이 즉시 들어옵니다
transferFrom()
승인된 모든 토큰을 공격자의 컬렉션
지갑으로 이동시키기 위해.
8
지갑 비우기 네이티브 체인 토큰(TRX, SOL)은 마지막에 이체됩니다.
지갑의 잔액이 완전히 비워집니다. 피해자가 이를 거부할 경우,
드레이너는 최대 50번 탈출을
허용하기 전에.
9
운영자에게 지급되는 자금 도난당한 자금은 운영자의 지갑으로 이체됩니다. TRXDrop은
각 자금 유출 건당 30 TRX의 수수료를 부과합니다. 나머지는
피싱 페이지를 배포한 제휴 파트너에게 지급됩니다.
50회의 강제 재시도
피해자가 서명 요청 창에서 “거부”를 클릭하면, TRXDrop
코드가 즉시 요청을 다시 실행합니다. 이 루프가 반복됩니다.
50번 피해자가 모달 창을
닫을 수 있게 되기 전입니다. 대부분의 사용자는 3~5번 시도한 후,
사이트에 오류가 생긴 것으로 여기고 악의적인 의도라고는 생각하지 않은 채 포기하고 로그인합니다. 이는
버그가 아닙니다. 의도된 설계입니다.
TRXDrop 심층 분석: AI가 생성한 코드
실제 운영 환경에 30개 이상의 디버그 문이 포함된 사례
인증 절차 없이 TRXDrop API가 노출됨 — URL만 알고 있는 사람이라면
누구나 지갑 로그, 결제 데이터 및 운영자 ID를 열람할 수 있습니다.
TRXDrop은 TRON 및 Solana
지갑을 노리는 ‘Angel Drainer’ 리셀러입니다. 이 공격의 특징은 정교함이 아니라—오히려
정반대입니다. 소스 코드를 살펴보면 AI가 개발에 관여했음을
명백히 보여주는 특징들이 드러납니다. 반복적인 구조, 장황한 주석,
그리고 무엇보다도 30개가 넘는 console.log 프로덕션 코드에 남아 있는 디버그 문.
이는 숙련된 개발자의 흔적이 아닙니다. 이는 LLM에게 드레이너를 작성하도록 지시하고, 검토도 없이 그 결과를 그대로 배포한 사람의 흔적입니다.
AI 생성 코드 표시기
TRXDrop 코드베이스에는 30개 이상의 console.log 프로덕션 빌드에 포함된 디버그 문. 다음과 같은 메시지: console.log("Attempting wallet connection...") 그리고 console.log("Approval transaction sent") 전반적으로 나타납니다. 전문 개발자라면 — 그리고 노련한 범죄자라면 — 디버그 로깅을 프로덕션 환경에 배포하지 않습니다. 이것은 LLM이 생성한 원본 출력물을 그대로 배포한 것입니다.
XOR 암호화 키
드레이너 프론트엔드와 백엔드 패널 간의 모든 통신은 하드코딩된 XOR 키를 사용하여 암호화됩니다: TRX_SECURE_2024_PANEL_KEY. 고정 키를 사용하는 XOR 연산은 너무나도 쉽게 역산할 수 있는데, 이는 ‘복사-붙여넣기’식 개발의 또 다른 징후입니다.
1,337명의 피해자, 12,450달러 탈취, 연결된 지갑 및 실시간 탈취 내역을 보여주는 ‘Crypto drainer’ 관리자 패널 v1.2 - 실체 폭로
WalletConnect 악용
WalletConnect 프로젝트 ID fbf5b42d9006502246e73447f5d50e33 15개 이상의 모든 도메인에 내장되어 있습니다. 이 프로젝트 ID가 단 한 번만 취소되더라도 TRXDrop 네트워크 전체의 지갑 연결이 동시에 중단될 것입니다.
50회의 강제 재시도
서명 요청 루프는 피해자가 종료할 수 있도록 허용하기 전에 50회까지 재시도합니다. 이러한 심리적 압박 전술은 하드코딩되어 있어 제휴사가 설정할 수 없으며, 이는 ‘Angel Drainer’ 키트의 핵심 기능입니다.
30 TRX 수수료
드레인이 성공할 때마다 운영자 지갑으로 30 TRX의 수수료가 지급됩니다. 현재 환율 기준으로 이는 피해자 1명당 약 7~8 USD에 해당하며, 이 낮은 마진으로 미루어 볼 때 이 운영은 가치보다는 거래량에 의존하고 있음을 시사합니다.
Drainer-as-a-Service 수수료 흐름: 제휴 운영자에게 80%, 개발자 수수료 20% — 피해자의 지갑에서 스마트 계약을 거쳐 자금 세탁으로 이어짐.
NiceCrypto는 ‘제휴사에게 드레이너 시장에서 가장 높은 수수료를 지급하면, 그들이 피해자를 데려올 것’이라는 단순한 원칙을 바탕으로 운영됩니다. 80%의 수수료를 제공하는 NiceCrypto는 우리가 조사한 그 어떤 ‘드레이너-어-서비스(drainer-as-a-service)’ 운영 사례 중에서도 가장 관대한 제휴사 수익 분배율을 제시합니다. 운영자는 단 20%만을 가져가는데, 이는 대규모로 운영될 때만 가능한 극히 적은 마진입니다.
계산은 간단합니다. 제휴사가 토큰 1,000달러가 들어 있는 지갑을 털면, 그중 800달러를 챙깁니다. NiceCrypto는 200달러를 가져갑니다. 기록된 제휴사 지급액이 8,454달러 이상인 점을 고려할 때, 이 운영진은 최소 42,270달러 상당의 도난 자금을 처리한 셈입니다. 그리고 이 수치는 온체인에서 직접 확인할 수 있는 지급액만을 반영한 것입니다.
수익 모델: 80/20 분배
$8,454+ 제휴사에 대한 기록된 지급액은 상한선이 아닌 하한선을 나타냅니다. 제휴 수수료율이 80%일 경우, NiceCrypto를 통해 처리된 총 탈취 자금 규모는 $42,000 최소치입니다. 모니터링 대상 범위 내에 모든 거래가 포함되지는 않았기 때문에 실제 수치는 이보다 훨씬 더 높을 가능성이 큽니다.
다중 체인 확장
NiceCrypto는 TRON에서 시작되었지만, 해당 인프라에서 복구된 구성 파일을 통해 다음과 같은 분야로 활발히 확장하고 있는 것으로 드러났습니다. 솔라나, EVM 호환 체인 (이더리움, BSC, 폴리곤), 그리고 TON. 하나의 제어 패널 아래에 통합된 네 가지 블록체인 생태계.
포럼 활동 현황
NiceCrypto는 다음을 통해 제휴 파트너를 모집합니다. wwh2club.to, 잘 알려진 사이버 범죄 포럼입니다. 이 포럼의 Telegram 봇 @NCsetup_bot 온보딩을 처리합니다. -- 신규 제휴사는 연락을 받은 지 몇 분 만에 미리 구성된 드레이너 키트를 받게 됩니다.
WasabiSquad 연결
NiceCrypto의 웹사이트 도메인 wasabihub.one 이는 ‘WasabiSquad’ 작전과의 연관성에 대한 의문을 제기한다. 이것이 공동 인프라인지, 브랜드 변경인지, 아니면 우연의 일치인지는 추가 조사가 필요하다.
Telegram 자동화
봇 @NCsetup_bot 제휴사 관리를 자동화합니다: 드레이너 키트 배포, 수수료 추적, 지급금 분배 등을 처리합니다. 운영자는 제휴사와 직접 소통할 필요가 거의 없습니다.
NiceCrypto IOC
Telegram 봇:@NCsetup_bot 웹사이트:wasabihub.one 포럼:wwh2club.to 제휴 수수료: 80% 기록된 지급 내역: $8,454+ 체인: TRON (운영 중), Solana (확장 중), EVM (확장 중), TON (확장 중)
717Team은 이러한 사기 행각을 막을 수 있다는 사실을 증명해 줍니다. 125명의 구성원과 85개의 추적된 지갑을 보유한 717Team은 12개 이상의 피싱 도메인을 운영하던 중규모 자금 탈취 조직이었습니다. 확인된 총 탈취 금액인 2,946.25달러는 대규모 조직에 비하면 적게 보일 수 있지만, 진정한 핵심은 그 결과입니다: 보관됨.
저희 추적 시스템에서 “보관됨(archived)”이란 해당 운영이 중단될 정도로 방해받았음을 의미합니다. 도메인이 제거되었고, 인프라가 파괴되었으며, 관리자의 신원이 드러났습니다. 717Team은 자발적으로 운영을 중단한 것이 아닙니다. 이는 조직적인 신고, 도메인 제거, 그리고 블록체인 보안 파트너들과의 정보 공유를 통해 운영이 중단된 것입니다.
장애 발생 확인
717Team의 ‘ARCHIVED’ 상태는 우리가 가볍게 붙이는 꼬리표가 아닙니다. 이는 도메인 제거, 호스팅 업체 신고, 지갑 신고, 관리자 신원 노출 등 여러 측면에서 지속적인 방해를 받았음을 의미합니다. 해당 운영의 지속 비용이 수익을 초과했습니다. 이것이 바로 성공적인 방해가 어떤 모습인지 보여주는 사례입니다.
관리자: @imdebank
Telegram 관리자 계정 @imdebank (사용자 ID: 7149807602)는 다음과 관련이 있는 것으로 밝혀졌다 루블레브카팀, 이는 이전에 TON 조사에서 확인된 별도의 러시아어 사기 네트워크입니다. 운영자 간 정보 공유는 반복적으로 나타나는 양상입니다.
네트워크 규모
125명의 회원 Telegram 그룹을 통해 추적되었다. 지갑 85개 온체인 분석을 통해 확인되었습니다. $2,946.25 배수 완료 확인. 717팀을 통해 모집 lolz.live, 러시아어 사이버 범죄 포럼.
도메인 인프라
다음 도메인을 포함한 12개 이상의 도메인 checkscore.cc, cryptomus-payment.com, check-score.ru, 그 외 여러 곳. 조직적인 제거 조치에 대응하기 위해 여러 도메인 등록 업체를 활용했다.
봇 운영
Telegram 봇 @team717_bot 제휴사 조정, 피해자 추적, 지급금 분배를 관리했습니다. 이 봇은 차단 조치의 일환으로 비활성화되었습니다.
TRXDrop은 드레이너 툴킷의 표준 전술에 포함된 두 가지 분석 회피 기법을 활용합니다. 이 두 기법 모두 대충 훑어보는 식의 검사를 방해하기 위해 고안된 것이지만, 숙련된 분석가에게는 의미 있는 장애물이 되지 않습니다.
디버거 트랩
A setInterval 이 루프는 1,000밀리초마다 실행되며, 다음을 수행합니다. debugger 메시지. DevTools가 열려 있으면 실행이 계속 일시 중지되어 페이지가 멈춘 것처럼 보입니다. 우회: DevTools에서 중단점을 비활성화하려면 (Ctrl+F8) 또는 컨텍스트 메뉴의 “이곳에서 일시 정지하지 않음” 옵션을 사용하세요. 총 우회 시간: 2초.
콘솔 탈취
이 코드는 덮어씁니다 console.log, console.warn, 그리고 console.error 출력을 억제하기 위해 빈 함수를 사용했습니다. 아이러니한 점은, 개발자가 바로 이 오버라이드가 숨기도록 설계된 30개 이상의 디버그 문장을 남겨두었다는 사실입니다. 우회: 페이지가 로드되기 전에 원래 콘솔 메서드에 대한 참조를 저장하거나, 브라우저의 기본 콘솔 API를 사용하세요. 총 우회 시간: 5초.
아마추어의 시간
AI가 생성한 코드, 운영 환경 내 디버그 문, 정적 XOR 암호화, 그리고 아주 쉽게 우회할 수 있는 분석 방지 기법이 결합된 점은 한 가지 사실을 분명히 보여줍니다. TRXDrop의 운영자는 숙련된 개발자가 아닙니다. 이들은 ‘드레이너 키트’를 구입한 뒤, 대규모 언어 모델(LLM)에게 이를 맞춤 설정하도록 지시한 사기꾼일 뿐입니다. 위험한 점은 정교함이 아니라 접근성입니다. 진입 장벽이 “프롬프트를 입력할 수 있는가”에 불과할 때, 운영자의 수는 기하급수적으로 늘어납니다.
이러한 양상은 ‘드레이너-어-서비스(Drainer-as-a-Service)’ 생태계 전반에 걸쳐 일관되게 나타납니다. 키트 개발사(이 경우 Angel Drainer)는 진정한 기술력을 갖추고 있습니다. 반면, 이러한 키트를 배포하는 리셀러와 제휴사들은 대개 그러한 기술력을 갖추지 못하고 있습니다. 분석 방어 계층이 존재하는 이유는 운영자들이 보안 연구를 이해하기 때문이 아니라, 키트가 기본적으로 이 기능이 활성화된 상태로 제공되기 때문입니다.
증거 및 정보원 분석
이번 조사에서 인용된 모든 증거 자료는 PhishDestroy ScamIntelLogs 저장소에 보관되어 있습니다. 각 작전마다 구성 파일, 소스 코드 발췌문, 도메인 목록, 지갑 주소 및 Telegram 정보 등이 포함된 별도의 디렉터리가 마련되어 있습니다.
본 보고서에 공개된 모든 지갑 주소, 도메인 목록 및 운영자 식별자는 보고서가 발간되기 전에 관련 블록체인 보안 팀 및 도메인 등록 기관에 공유되었습니다. WalletConnect 프로젝트 ID는 무효화 처리를 요청했습니다. 이러한 IOC의 영향을 받는 인프라를 운영하고 계신 경우, 다음을 통해 당사에 연락해 주시기 바랍니다. @PhishDestroy_bot.
지갑을 안전하게 지키세요
‘드레이너-어-서비스(Drainer-as-a-service)’가 확산되고 있습니다. 진입 장벽은 Telegram 메시지 한 통과 수백 달러에 불과합니다. 방어책은 인식에서 시작됩니다.
무턱대고 서명하지 마세요
사이트에서 반복적으로 서명 요청을 강요한다면, 즉시 해당 사이트를 닫으세요. 정당한 에어드랍은 절대 무제한 토큰 승인을 요구하지 않습니다.
연결하기 전에 확인하세요
도메인 개설 기간을 확인하고, 공식 프로젝트 채널을 통해 진위를 확인한 뒤, 에어드롭 수령 시 일회용 지갑을 사용하세요.
하드웨어 지갑 사용
대량의 자산을 하드웨어 지갑에 보관하세요. 절대 주 지갑을 검증되지 않은 사이트에 연결하지 마세요.
투명성 공지. PhishDestroy는 비영리 독립 프로젝트입니다. 저희의 연구 결과에는 사기 인프라 및 이를 가능하게 하는 서비스에 대한 내재된 편향이 반영되어 있을 수 있습니다. 독자 여러분께서는 모든 자료를 비판적이고 독립적인 시각으로 평가해 주시기를 당부드립니다. 투명성 선언문 전문 보기 →