Três operações de “drainer-as-a-service” analisadas em nível de código. Kits de phishing gerados por IA com instruções de depuração ainda em produção. Um modelo de afiliados com comissão de 80% impulsionando uma rápida expansão. E uma rede arquivada que comprova que a interrupção coordenada funciona. Essa é a infraestrutura por trás da próxima carteira à qual você quase se conectou.
~10 min de leitura· Atualizado Março de 2026· PhishDestroy Intelligence
3 redes de drenagem ativas Mais de 15 domínios de phishing 80% de comissão de afiliado 1 Rede arquivada
0
Domínios de phishing
0
Operações do escorredor
0
Membros monitorados
0
Carteiras identificadas
0
Re-tentativas forçadas de sinalização
0
% de comissão de afiliado
A cadeia de ataque em 9 etapas: do airdrop falso à carteira vazia
Todo drainer de criptomoedas segue uma sequência previsível. O que torna perigosas as operações do tipo “drainer como serviço” não é a inovação — é a escala. A mesma cadeia de ataque é replicada em dezenas de domínios, cada um deles uma nova armadilha para vítimas desavisadas. Aqui está a sequência exata extraída do código-fonte do TRXDrop, passo a passo.
Fluxo completo do ataque do Drainer
Essa sequência de 9 etapas foi reconstruída a partir do código-fonte descompilado do TRXDrop. Cada etapa está documentada com as referências de código correspondentes no repositório ScamIntelLogs.
Cadeia de ataque de phishing de criptomoedas em 9 etapas — desde um anúncio falso de airdrop, passando pelo esvaziamento da carteira, até a lavagem de dinheiro.
1
Anúncio falso sobre airdrop A vítima vê uma publicação promovida ou uma mensagem no Telegram anunciando um airdrop de TRX/SOL. Exemplos de domínios: trx-drop.com, tronrefund.com, trxairdrop.io.
2
Página de destino A página, com aparência profissional, imita um airdrop legítimo da Fundação TRON. Contadores de contagem regressiva e contadores falsos de resgates criam uma sensação de urgência.
3
Mensagem do WalletConnect O site inicia o WalletConnect usando um ID de projeto roubado fbf5b42d9006502246e73447f5d50e33. A vítima vincula sua carteira, acreditando que isso é necessário para
receber o pagamento.
4
Solicitação de permissão O Drainer solicita amplas permissões de token. A mensagem solicitando a assinatura
é intencionalmente vaga para ocultar o que está sendo
aprovado.
5
Aprovação de token A vítima assina um
approve()
transação que concede ao contratante do drainer autoridade ilimitada
para gastar tokens específicos.
6
setApprovalForAll Uma segunda transação chama
setApprovalForAll(), concedendo ao invasor o controle sobre os NFTs e todos os tipos de tokens
na carteira.
7
Tokens de transferência Contrato de drenagem com chamada imediata
transferFrom()
para transferir todos os tokens aprovados para a carteira
do invasor.
8
Carteira Drain Os tokens da cadeia nativa (TRX, SOL) são transferidos por último. A
carteira é esvaziada completamente. Se a vítima recusar, o
drainer tenta novamente até 50 vezes antes
de permitir a fuga.
9
Recursos para a operadora Os fundos roubados são encaminhados para a carteira do operador. O TRXDrop
cobra uma comissão de 30 TRX por transação. O restante vai para o
afiliado que criou a página de phishing.
50 tentativas de repetição forçadas
Se a vítima clicar em “Rejeitar” na solicitação de assinatura, o código do TRXDrop
reativa imediatamente a solicitação. Esse ciclo se repete
50 vezes antes que a vítima tenha permissão para fechar
a janela modal. A maioria dos usuários desiste e faz o login após 3 a 5 tentativas,
acreditando que o site esteja com algum problema técnico, e não que seja malicioso. Isso não é
um bug. É intencional.
Análise aprofundada do TRXDrop: código gerado por IA
com mais de 30 instruções de depuração em produção
API do TRXDrop exposta sem autenticação — qualquer pessoa com a URL
pode acessar os registros da carteira, os dados de pagamento e os IDs dos operadores.
O TRXDrop é um revendedor do Angel Drainer que tem como alvo carteiras
da TRON e da Solana. O que diferencia essa operação não é a sofisticação —
é exatamente o contrário. O código-fonte revela sinais inconfundíveis de
desenvolvimento assistido por IA: estrutura repetitiva, comentários prolixos
e, o mais revelador, mais de 30 console.log instruções de depuração que permaneceram no código de produção.
Esses não são sinais de um desenvolvedor experiente. São sinais de alguém que pediu a um LLM para escrever um drainer e implantou o resultado sem revisão.
Marcadores de código gerado por IA
A base de código do TRXDrop contém mais de 30 console.log instruções de depuração na versão de produção. Mensagens como console.log("Attempting wallet connection...") e console.log("Approval transaction sent") aparecem por toda parte. Nenhum desenvolvedor profissional — e nenhum criminoso experiente — envia registros de depuração para o ambiente de produção. Trata-se de uma saída bruta do LLM, implantada tal como está.
Chave de criptografia XOR
Todas as comunicações entre o front-end do drainer e o painel de back-end são criptografadas com uma chave XOR codificada de forma fixa: TRX_SECURE_2024_PANEL_KEY. O XOR com uma chave estática é trivialmente reversível — mais um indicador de desenvolvimento do tipo “copiar e colar”.
Painel de administração do Crypto Drainer v1.2 exibindo 1.337 vítimas, US$ 12.450 roubados, carteiras conectadas e registro de saques em tempo real — REVELADO
Uso indevido do WalletConnect
ID do projeto WalletConnect fbf5b42d9006502246e73447f5d50e33 está incorporado em todos os mais de 15 domínios. Uma única revogação desse ID de projeto desativaria simultaneamente a conectividade das carteiras em toda a rede TRXDrop.
50 tentativas de repetição forçadas
O ciclo de solicitação de assinatura tenta 50 vezes antes de permitir que a vítima saia. Essa tática de pressão psicológica está codificada de forma fixa, não sendo configurável pelos afiliados — trata-se de um recurso essencial do kit Angel Drainer.
30% de comissão da TRX
Cada roubo bem-sucedido gera uma comissão de 30 TRX para a carteira do operador. Pelas taxas atuais, isso equivale a aproximadamente US$ 7 a 8 por vítima — uma margem baixa, o que sugere que a operação depende mais do volume do que do valor.
Inteligência do Operador
Telegram:@STNlRAWbIaFLiH (ID do usuário: 6823931109) Carteira da coleção:TRAGn9E6hbTiQrYG5V4sk1gNv3JaWHSxak Redes visadas: TRON, Solana Kit de drenagem: Angel Drainer (revendido/personalizado)
Infraestrutura de domínios da TRXDrop (mais de 15 domínios)
Domínio
Tipo
Status
trx-drop.com
Página inicial
Ativo
tronrefund.com
Isca do reembolso
Ativo
tronfund.net
Atrativo do fundo
Ativo
trxfund.pro
Atrativo do fundo
Ativo
trxairdrop.io
Isca para a distribuição aérea
Ativo
trondrop.org
Isca para a distribuição aérea
Ativo
tronreward.com
Isca de recompensa
Ativo
tronreward.net
Isca de recompensa
Ativo
tronrefund.net
Isca do reembolso
Ativo
trxfund.org
Atrativo do fundo
Ativo
trxdrop.com
Isca para a distribuição aérea
Ativo
trxdrop.org
Isca para a distribuição aérea
Ativo
trongiving.com
Isca para sorteio
Ativo
tronclaims.com
Atrativo das reivindicações
Ativo
trondrop.pro
Isca para a distribuição aérea
Ativo
NiceCrypto: A máquina de comissões de 80%
Fluxo de comissões do “Drainer-as-a-Service”: 80% para o operador afiliado, 20% de taxa para o desenvolvedor — da carteira da vítima, passando pelo contrato inteligente, até a lavagem de dinheiro.
A NiceCrypto opera com base em uma proposta simples: oferecer aos afiliados a maior comissão do mercado de drainer, e eles trarão as vítimas. Com uma comissão de 80%, a NiceCrypto oferece a divisão de lucros mais generosa que já documentamos em qualquer operação do tipo “drainer-as-a-service”. O operador fica com apenas 20% — uma margem mínima que só funciona em grande escala.
A conta é simples. Se um afiliado esvaziar uma carteira contendo US$ 1.000 em tokens, ele fica com US$ 800. A NiceCrypto fica com US$ 200. Com mais de US$ 8.454 em pagamentos documentados a afiliados, a operação já processou, no mínimo, US$ 42.270 em fundos roubados — e esse valor representa apenas os pagamentos que podemos observar diretamente na blockchain.
Modelo de receita: divisão 80/20
$8,454+ nos pagamentos documentados a afiliados representa o valor mínimo, não o máximo. Com uma taxa de afiliados de 80%, o total de fundos roubados processados pela NiceCrypto ultrapassa $42,000 mínimo. O número real provavelmente é significativamente maior, já que nem todas as transações são captadas em nossa janela de monitoramento.
Expansão para várias cadeias
O NiceCrypto teve início na TRON, mas os arquivos de configuração recuperados de sua infraestrutura revelam uma expansão ativa para Solana, Cadeias compatíveis com EVM (Ethereum, BSC, Polygon) e TON. Quatro ecossistemas de blockchain sob um único painel de controle.
Presença no fórum
A NiceCrypto recruta afiliados por meio de wwh2club.to, um fórum conhecido por promover o crime cibernético. O bot deles no Telegram @NCsetup_bot cuida da integração — os novos afiliados recebem um kit de integração já configurado poucos minutos após o contato.
Conexão WasabiSquad
Domínio do site da NiceCrypto wasabihub.one levanta dúvidas sobre uma possível conexão com a operação WasabiSquad. Para determinar se se trata de uma infraestrutura compartilhada, uma mudança de marca ou uma coincidência, é necessário realizar uma investigação mais aprofundada.
Automação do Telegram
Bot @NCsetup_bot automatiza a gestão de afiliados: implantação de kits de drenagem, acompanhamento de comissões e distribuição de pagamentos. O operador raramente precisa interagir diretamente com os afiliados.
IOCs do NiceCrypto
Bot do Telegram:@NCsetup_bot Site:wasabihub.one Fórum:wwh2club.to Comissão de afiliado: 80% Pagamentos registrados: $8,454+ Correntes: TRON (em atividade), Solana (em expansão), EVM (em expansão), TON (em expansão)
80% para os afiliados. Nós ficamos com 20%. Você traz o tráfego, nós cuidamos do código. A configuração leva 5 minutos.
-- Anúncio da NiceCrypto no site wwh2club.to
717Team: Arquivado = Disruption Works
A 717Team é a prova de que essas operações podem ser interrompidas. Com 125 membros e 85 carteiras rastreadas, a 717Team era uma operação de “draining” de médio porte que operava mais de 12 domínios de phishing. O total confirmado de fundos desviados, de US$ 2.946,25, pode parecer modesto em comparação com operações maiores, mas o que realmente importa é o resultado: arquivado.
Em nosso sistema de rastreamento, “arquivado” significa que a operação foi interrompida a ponto de ser encerrada. Domínios foram retirados do ar. A infraestrutura foi destruída. O administrador foi identificado. A 717Team não encerrou suas atividades voluntariamente. Ela foi desativada por meio de denúncias coordenadas, remoções de domínios e compartilhamento de informações com parceiros de segurança de blockchain.
Interrupção confirmada
O status “ARQUIVADO” da 717Team não é um rótulo que atribuímos levianamente. Significa uma interferência contínua em várias frentes: remoções de domínios, denúncias de provedores de hospedagem, sinalização de carteiras e exposição da identidade do administrador. O custo de manter a operação ultrapassou sua receita. É assim que se parece uma interferência bem-sucedida.
Administrador: @imdebank
Nome de usuário do administrador no Telegram @imdebank (ID do usuário: 7149807602) tem sido associado a Equipe Rublevka, uma rede fraudulenta separada que opera em russo, já documentada anteriormente em nossa investigação sobre a TON. O compartilhamento de administradores entre operações é um padrão recorrente.
Escala da rede
125 membros rastreados em grupos do Telegram. 85 carteiras identificados por meio de análise na cadeia. $2,946.25 confirmado como esgotado. Equipe 717 recrutada por meio de lolz.live, um fórum sobre crimes cibernéticos em língua russa.
Infraestrutura de domínios
Mais de 12 domínios, incluindo checkscore.cc, cryptomus-payment.com, check-score.ru, entre outros. Vários registradores de domínios foram utilizados na tentativa de resistir a remoções coordenadas.
Operações com bots
Bot do Telegram @team717_bot coordenava a rede de afiliados, o rastreamento das vítimas e a distribuição dos pagamentos. O bot foi desativado como parte da operação de desmantelamento.
IOCs da Equipe 717
Admin:@imdebank (ID: 7149807602) Grupo associado: Equipe Rublevka Bot:@team717_bot Fórum:lolz.live Membros: 125 rastreados Carteiras: 85 identificados Confirmado como esvaziado: $2,946.25 Status:ARQUIVADO (Interrompido)
Anti-análise: presente, mas fácil de contornar
O TRXDrop utiliza duas técnicas anti-análise que são comuns no manual de táticas dos drainer. Ambas foram projetadas para dificultar uma análise superficial. Nenhuma delas representa um obstáculo significativo para um analista experiente.
Armadilhas do depurador
A setInterval O loop é acionado a cada 1.000 milissegundos, executando um debugger instrução. Quando o DevTools está aberto, isso interrompe a execução continuamente, dando a impressão de que a página está travada. Desvio: Desativar pontos de interrupção no DevTools (Ctrl+F8) ou use a opção do menu de contexto “Nunca fazer pausa aqui”. Tempo total de ignorar: 2 segundos.
Sequestro de console
O código sobrescreve console.log, console.warn, e console.error com funções vazias para suprimir a saída. É irônico, considerando que o desenvolvedor deixou mais de 30 instruções de depuração que essas substituições foram projetadas para ocultar. Desvio: Armazene uma referência aos métodos originais do console antes que a página seja carregada ou use a API nativa do console do navegador. Tempo total de contorno: 5 segundos.
Hora dos Amadores
A combinação de código gerado por IA, instruções de depuração em ambiente de produção, criptografia XOR estática e medidas anti-análise facilmente contornáveis deixa uma imagem clara: o operador do TRXDrop não é um desenvolvedor experiente. Trata-se de um golpista que comprou um kit de drenagem e solicitou a um LLM que o personalizasse. O perigo não está na sofisticação — está na acessibilidade. Quando a barreira de entrada é “você consegue digitar um prompt?”, o número de operadores cresce exponencialmente.
Esse padrão é consistente em todo o ecossistema do “drainer-as-a-service”. Os desenvolvedores do kit (neste caso, a Angel Drainer) possuem capacidade técnica genuína. Os revendedores e afiliados que implantam esses kits, muitas vezes, não a possuem. A camada anti-análise não existe porque os operadores entendem de pesquisa em segurança — ela existe porque o kit é fornecido com essa camada ativada por padrão.
Evidências e Inteligência de Fontes
Todas as evidências mencionadas nesta investigação estão armazenadas no repositório PhishDestroy ScamIntelLogs. Cada operação possui seu próprio diretório, contendo arquivos de configuração, trechos de código-fonte, listas de domínios, endereços de carteiras e informações do Telegram.
Evidências do TRXDrop
15 domínios, código-fonte, chaves XOR, ID do WalletConnect, operador do Telegram, endereço da carteira.
Todos os endereços de carteiras, listas de domínios e identificadores de operadores publicados neste relatório foram compartilhados com as equipes de segurança de blockchain e registradores de domínios relevantes antes da publicação. O ID do Projeto WalletConnect foi comunicado para revogação. Se você opera uma infraestrutura afetada por esses IOCs, entre em contato conosco por meio de @PhishDestroy_bot.
Proteja sua carteira
O serviço de “Drainer-as-a-service” está se expandindo. A barreira à entrada é uma mensagem no Telegram e algumas centenas de dólares. Sua defesa começa com a conscientização.
Nunca assine sem ler
Se um site exibir repetidamente solicitações de assinatura, feche-o imediatamente. Airdrops legítimos nunca exigem aprovações ilimitadas de tokens.
Verifique antes de conectar
Verifique a idade do domínio, confirme a informação pelos canais oficiais do projeto e use uma carteira descartável para resgatar qualquer airdrop.
Use carteiras de hardware
Mantenha grandes quantidades de criptomoedas em carteiras de hardware. Nunca conecte sua carteira principal a sites não verificados.
Aviso de transparência. O PhishDestroy é um projeto independente e sem fins lucrativos. Nossa pesquisa pode refletir um viés inerente contra a infraestrutura de golpes e os serviços que a possibilitam. Incentivamos os leitores a avaliarem todo o material de forma crítica e independente. Leia nossa declaração de transparência completa →