Набор инструментов Crypto Drainer: как реселлеры Angel Drainer пытаются опустошить ваш кошелек
Три сервиса по краже данных, разобранные на уровне исходного кода. Созданные с помощью ИИ фишинговые наборы, в которых до сих пор присутствуют отладочные комментарии. Партнерская программа с 80-процентной комиссией, способствующая стремительному росту. И одна заархивированная сеть, доказывающая, что скоординированные атаки приносят результат. Это и есть инфраструктура, стоящая за тем кошельком, к которому вы чуть не подключились.
~10 минут чтения· Обновлено Март 2026 года· PhishDestroy Intelligence
3 сети активных дренажных систем Более 15 фишинговых доменов 80 % партнерской комиссии 1 Сеть (архив)
0
Фишинговые домены
0
Работа с дренажными системами
0
Отслеживаемые участники
0
Выявленные кошельки
0
Повторные попытки отправки сигнала
0
% Партнерская комиссия
Цепочка атак из 9 шагов: от поддельного аирдропа до опустошенного кошелька
Каждая криптовалютная афера по ограблению кошельков следует предсказуемой схеме. Опасность операций типа «драйнер-как-услуга» заключается не в инновациях, а в их масштабах. Одна и та же цепочка атак тиражируется на десятках доменов, каждый из которых становится новой ловушкой для ничего не подозревающих жертв. Ниже приводится точная пошаговая схема, извлеченная из исходного кода TRXDrop.
Полный цикл атаки «Дрейнер»
Эта цепочка из 9 шагов была восстановлена на основе декомпилированного исходного кода TRXDrop. Каждый шаг сопровождается документацией с указанием соответствующих фрагментов кода в репозитории ScamIntelLogs.
9-этапная цепочка криптофишинговой атаки — от поддельной рекламы аирдропа до опустошения кошелька и отмывания средств.
1
Реклама с фальшивым аирдропом Жертва видит рекламный пост или сообщение в Telegram, в котором рекламируется аирдроп TRX/SOL. Примеры доменов: trx-drop.com, tronrefund.com, trxairdrop.io.
2
Целевая страница Страница, выглядящая профессионально, имитирует официальный аирдроп фонда TRON. Таймеры обратного отсчета и поддельные счетчики заявок создают ощущение срочности.
3
Запрос WalletConnect Сайт запускает WalletConnect с использованием украденного идентификатора проекта fbf5b42d9006502246e73447f5d50e33. Потерпевший подключает свой кошелек, полагая, что это необходимо для получения выплаты.
4
Запрос на разрешение Drainer запрашивает широкие права доступа к токенам. Запрос на подпись намеренно сформулирован нечетко, чтобы скрыть суть того, что именно утверждается.
setApprovalForAll Вторая транзакция вызывает setApprovalForAll(), что дает злоумышленнику контроль над NFT и всеми типами токенов в кошельке.
7
Токены перевода Необходимо немедленно связаться с подрядчиком по установке водостоков transferFrom() переместить все утвержденные токены в кошелек коллекции злоумышленника.
8
Кошелек Drain Токены собственной цепочки (TRX, SOL) переводятся в последнюю очередь. Кошелек полностью опустошается. Если жертва отклоняет запрос, злоумышленник повторяет попытку до 50 раз прежде чем разрешить выход.
9
Средства оператору Похищенные средства поступают на кошелек оператора. TRXDrop взимает комиссию в размере 30 TRX за каждую операцию по снятию средств. Остальная сумма перечисляется партнеру, разместившему фишинговую страницу.
50 попыток повторного подключения
Если жертва нажмет «Отклонить» в окне запроса на подпись, код TRXDrop немедленно повторно запускает запрос. Этот цикл повторяется 50 раз прежде чем жертве будет разрешено закрыть модальное окно. Большинство пользователей сдаются и вводят данные после 3–5 попыток, полагая, что на сайте произошел сбой, а не злонамеренная атака. Это не ошибка. Это сделано специально.
TRXDrop: подробный анализ — код, сгенерированный ИИ, с более чем 30 отладочными операторами в производственной среде
API TRXDrop доступно без аутентификации — любой, у кого есть URL-адрес, может прочитать журналы кошельков, данные о платежах и идентификаторы операторов.
TRXDrop — это реселлер программы Angel Drainer, нацеленный на кошельки TRON и Solana. Отличительной чертой этой операции является не ее изощренность, а как раз обратное. Исходный код содержит явные признаки разработки с использованием искусственного интеллекта: повторяющаяся структура, многосложные комментарии и, что наиболее показательно, более 30 console.log отладочные операторы, оставшиеся в производственном коде.
Это не признаки опытного разработчика. Это признаки человека, который попросил LLM написать код, который вызывает сбой, и развернул полученный результат без проверки.
Маркеры кода, сгенерированного ИИ
Код TRXDrop содержит более 30 console.log отладочные операторы в производственной сборке. Сообщения типа console.log("Attempting wallet connection...") и console.log("Approval transaction sent") встречаются повсюду. Ни один профессиональный разработчик — да и ни один опытный преступник — не отправляет отладочные логи в производственную среду. Это необработанный вывод LLM, развернутый без изменений.
Ключ шифрования XOR
Весь обмен данными между интерфейсом пользователя Drainer и серверной панелью шифруется с помощью жестко запрограммированного ключа XOR: TRX_SECURE_2024_PANEL_KEY. Операция XOR со статическим ключом легко поддается обратному преобразованию — ещё один признак разработки методом «копировать-вставить».
Административная панель программы для кражи криптовалюты версии 1.2: 1 337 жертв, похищенные 12 450 долларов, подключенные кошельки и журнал краж в режиме реального времени — РАСКРЫТО
Злоупотребление функцией WalletConnect
Идентификатор проекта WalletConnect fbf5b42d9006502246e73447f5d50e33 встроено во все более чем 15 доменов. Однократная отмена действия этого идентификатора проекта приведет к одновременному отключению связи кошельков по всей сети TRXDrop.
50 попыток повторного подключения
Цикл запросов на подпись повторяется 50 раз, прежде чем жертве будет разрешено выйти. Эта тактика психологического давления жестко запрограммирована и не поддается настройке партнерами — это одна из основных функций набора «Angel Drainer».
30 комиссионных TRX
За каждый успешный слив на кошелек оператора перечисляется комиссия в размере 30 TRX. По текущему курсу это составляет примерно 7–8 долларов США на одного пострадавшего — столь низкая маржа свидетельствует о том, что успех операции зависит скорее от объема, чем от стоимости.
Интеллектуальные решения для операторов
Telegram:@STNlRAWbIaFLiH (Идентификатор пользователя: 6823931109) Кошелек для коллекции:TRAGn9E6hbTiQrYG5V4sk1gNv3JaWHSxak Целевые сети: TRON, Solana Набор для дренажа: Angel Drainer (подержанный/модифицированный)
Инфраструктура доменов TRXDrop (более 15 доменов)
Домен
Тип
Статус
trx-drop.com
Главная страница
Активный
tronrefund.com
Приманка для возврата
Активный
tronfund.net
Приманка для фондов
Активный
trxfund.pro
Приманка для фондов
Активный
trxairdrop.io
Приманка для аирдропа
Активный
trondrop.org
Приманка для аирдропа
Активный
tronreward.com
Приманка с наградой
Активный
tronreward.net
Приманка с наградой
Активный
tronrefund.net
Приманка для возврата
Активный
trxfund.org
Приманка для фондов
Активный
trxdrop.com
Приманка для аирдропа
Активный
trxdrop.org
Приманка для аирдропа
Активный
trongiving.com
Приманка для ловли
Активный
tronclaims.com
Приманка для клиентов
Активный
trondrop.pro
Приманка для аирдропа
Активный
NiceCrypto: машина, приносящая 80 % комиссионных
Схема комиссионных в модели «Drainer-as-a-Service»: 80 % — оператору-партнеру, 20 % — комиссия разработчику — от кошелька жертвы через смарт-контракт до отмывания средств.
NiceCrypto работает по простому принципу: предложите партнерам самые высокие выплаты на рынке «дрейнеров», и они приведут вам жертв. Предлагая комиссию в размере 80%, NiceCrypto обеспечивает самые щедрые условия партнерской программы из всех, что нам удалось зафиксировать среди сервисов, предоставляющих «дрейнеры как услугу». Оператор оставляет себе всего 20% — крайне низкую маржу, которая окупается только при большом масштабе деятельности.
Расчет прост. Если партнер опустошает кошелек, содержащий токены на сумму 1 000 долларов, он оставляет себе 800 долларов. NiceCrypto забирает 200 долларов. Учитывая, что сумма задокументированных выплат партнерам превышает 8 454 доллара, в рамках этой операции было обработано не менее 42 270 долларов похищенных средств — и эта цифра учитывает только те выплаты, которые мы можем непосредственно отследить в блокчейне.
Модель распределения доходов: соотношение 80/20
8 454 долларов и более в документально подтвержденных выплатах партнерам представляет собой минимальный, а не максимальный показатель. При партнерской ставке в 80 % общая сумма похищенных средств, обработанных NiceCrypto, превышает 42 000 долларов минимум. Реальная цифра, вероятно, значительно выше, поскольку не все транзакции попадают в поле зрения нашего мониторинга.
Расширение на несколько цепочек
Проект NiceCrypto стартовал на платформе TRON, однако файлы конфигурации, извлеченные из его инфраструктуры, свидетельствуют о активном расширении в направлении Соляная равнина, Цепочки, совместимые с EVM (Ethereum, BSC, Polygon) и Тон. Четыре блокчейн-экосистемы под единым управлением.
Присутствие на форуме
NiceCrypto привлекает партнеров через wwh2club.to, известный форум киберпреступников. Их бот в Telegram @NCsetup_bot обеспечивает адаптацию новых партнеров — в течение нескольких минут после обращения они получают готовый набор инструментов.
WasabiSquad: связь
Домен веб-сайта NiceCrypto wasabihub.one вызывает вопросы о возможной связи с операцией WasabiSquad. Требуется дополнительное расследование, чтобы выяснить, идет ли речь об общей инфраструктуре, ребрендинге или просто о совпадении.
Автоматизация Telegram
Бот @NCsetup_bot автоматизирует управление партнерской программой: развертывание наборов для сбора данных, отслеживание комиссионных и распределение выплат. Оператору редко приходится напрямую взаимодействовать с партнерами.
Показатели угрозы NiceCrypto
Бот в Telegram:@NCsetup_bot Веб-сайт:wasabihub.one Форум:wwh2club.to Партнерская комиссия: 80 % Зарегистрированные выплаты: 8 454 долларов и более Цепи: TRON (активный), Solana (в стадии расширения), EVM (в стадии расширения), TON (в стадии расширения)
80 % — партнерам. Мы оставляем себе 20 %. Вы привлекаете трафик, мы занимаемся кодом. Настройка занимает 5 минут.
-- Реклама NiceCrypto на сайте wwh2club.to
717Team: Архив = Работает с перебоями
717Team — это доказательство того, что подобные операции можно пресечь. Насчитывая 125 участников и 85 отслеженных кошельков, 717Team представляла собой среднемасштабную операцию по сбору средств, в рамках которой использовалось более 12 фишинговых доменов. Подтвержденная общая сумма похищенных средств в размере 2 946,25 долларов США может показаться скромной по сравнению с более крупными операциями, но главное — это результат: архивировано.
В нашей системе отслеживания термин «архивированный» означает, что деятельность была сорвана до такой степени, что пришлось прекратить работу. Домены заблокированы. Инфраструктура уничтожена. Администратор раскрыт. Команда 717Team не прекратила свою деятельность добровольно. Ее деятельность была прекращена благодаря скоординированному информированию, блокировке доменов и обмену оперативной информацией с партнерами по обеспечению безопасности блокчейна.
Сбой подтвержден
Статус «АРХИВИРОВАНО» от 717Team — это не ярлык, который мы присваиваем легкомысленно. Он означает длительные сбои по целому ряду направлений: закрытие доменов, жалобы хостинг-провайдеров, блокировка кошельков и раскрытие личности администратора. Затраты на продолжение деятельности превысили доходы. Вот как выглядит успешное пресечение деятельности.
Администратор: @imdebank
Администратор Telegram @imdebank (Идентификатор пользователя: 7149807602) связывают с RublevkaTeam, отдельная мошенническая сеть, действующая на русском языке, о которой ранее упоминалось в нашем расследовании по TON. Совместное использование администраторских прав в рамках нескольких операций — это типичная практика.
Масштаб сети
125 участников отслеживается в группах Telegram. 85 кошельков выявленные в ходе анализа блокчейна. 2 946,25 долларов подтверждено, что команда 717Team ушла lolz.live, русскоязычный форум, посвященный киберпреступности.
Инфраструктура домена
12 и более доменов, включая checkscore.cc, cryptomus-payment.com, check-score.ruи другие. Использование нескольких регистраторов доменов в попытке противостоять скоординированным мерам по блокировке сайтов.
Работа с ботами
Бот в Telegram @team717_bot осуществлял координацию деятельности партнёров, отслеживание жертв и распределение выплат. Бот был отключен в рамках операции по пресечению его деятельности.
TRXDrop использует две методики противодействия анализу, которые являются стандартными в арсенале инструментов для кражи средств. Обе они призваны затруднить поверхностную проверку. Однако ни одна из них не представляет собой серьезного препятствия для опытного аналитика.
Ловушки отладчика
A setInterval цикл запускается каждые 1 000 миллисекунд, выполняя debugger заявление. Когда DevTools открыты, это приводит к постоянной приостановке выполнения, из-за чего создается впечатление, что страница зависла. Обходной путь: Отключить точки останова в DevTools (Ctrl+F8) или воспользуйтесь пунктом контекстного меню «Никогда не делать здесь паузу». Общее время пропуска: 2 секунды.
Перехват консоли
Код перезаписывает console.log, console.warn, и console.error с помощью пустых функций для подавления вывода. Ирония судьбы, учитывая, что разработчик оставил более 30 отладочных операторов, которые эти переопределения и призваны скрыть. Обходной путь: Сохраните ссылку на исходные методы консоли до загрузки страницы или воспользуйтесь встроенным API консоли браузера. Общее время обхода: 5 секунд.
Час любителей
Сочетание кода, сгенерированного ИИ, отладочных операторов в производственной среде, статического шифрования XOR и легко обходимых мер защиты от анализа дает четкое представление: оператор TRXDrop — не опытный разработчик. Это мошенник, который купил готовый набор для слива средств и попросил LLM настроить его под свои нужды. Опасность заключается не в изощренности, а в доступности. Когда единственным барьером для входа является умение ввести запрос, число таких операторов растет в геометрической прогрессии.
Эта закономерность характерна для всей экосистемы «Drainer-as-a-service». Разработчики наборов (в данном случае — Angel Drainer) обладают реальными техническими навыками. А вот реселлеры и партнеры, внедряющие эти наборы, зачастую таковыми не обладают. Уровень защиты от анализа существует не потому, что операторы разбираются в исследованиях в области безопасности, — он существует потому, что в наборе он включен по умолчанию.
Сбор доказательств и анализ источников информации
Все доказательства, упомянутые в рамках данного расследования, хранятся в репозитории PhishDestroy ScamIntelLogs. Каждая операция имеет собственный каталог, содержащий файлы конфигурации, фрагменты исходного кода, списки доменов, адреса кошельков и аналитические данные из Telegram.
Все адреса кошельков, списки доменов и идентификаторы операторов, опубликованные в данном отчете, были переданы соответствующим группам по безопасности блокчейнов и регистраторам доменов до публикации. Идентификатор проекта WalletConnect был передан для аннулирования. Если вы управляете инфраструктурой, затронутой этими индикаторами угрозы (IOC), свяжитесь с нами через @PhishDestroy_bot.
Берегите свой кошелек
Модель «Drainer-as-a-service» набирает обороты. Все, что нужно для входа в эту сферу, — это сообщение в Telegram и несколько сотен долларов. Ваша защита начинается с осведомленности.
Никогда не подписывайте документы, не ознакомившись с их содержанием
Если сайт постоянно запрашивает подтверждение подписи, немедленно закройте его. Легитимные аирдропы никогда не требуют неограниченного количества подтверждений на расходование токенов.
Проверьте перед подключением
Проверьте возраст домена, убедитесь в подлинности через официальные каналы проекта и используйте одноразовый кошелек для получения вознаграждений в рамках аирдропа.
Используйте аппаратные кошельки
Храните крупные суммы на аппаратных кошельках. Ни в коем случае не подключайте свой основной кошелек к непроверенным сайтам.
Уведомление о прозрачности. PhishDestroy — это некоммерческий проект, основанный на работе волонтеров. Наши исследования могут отражать некоторую предвзятость в отношении мошеннической инфраструктуры и сервисов, способствующих её функционированию. Мы призываем читателей критически и независимо оценивать все представленные материалы. Ознакомьтесь с полным текстом нашего заявления о прозрачности →
