Три сервиса по краже данных, проанализированные на уровне исходного кода. Созданные с помощью ИИ фишинговые наборы, в которых до сих пор присутствуют отладочные операторы. Партнерская модель с комиссией в 80 %, способствующая стремительному росту. И одна заархивированная сеть, доказывающая, что скоординированные атаки приносят результат. Вот такая инфраструктура стоит за тем кошельком, к которому вы чуть не подключились.
~10 минут чтения· Обновлено Март 2026 года· PhishDestroy Intelligence
3 сети активных дренажных систем Более 15 фишинговых доменов 80 % партнерской комиссии 1 Сеть (в архиве)
0
Фишинговые домены
0
Работа с дренажными системами
0
Отслеживаемые участники
0
Выявленные кошельки
0
Принудительные повторные попытки отправки сигнала
0
% Партнерская комиссия
Цепочка атак из 9 шагов: от поддельного аирдропа до опустошенного кошелька
Каждая криптовалютная атака типа «дрейнер» следует предсказуемой последовательности действий. Опасность операций «дрейнер-как-услуга» заключается не в инновациях, а в их масштабе. Одна и та же цепочка атак тиражируется на десятках доменов, каждый из которых становится новой ловушкой для ничего не подозревающих жертв. Ниже приведена точная последовательность действий, извлеченная из исходного кода TRXDrop, шаг за шагом.
Полный цикл атаки «Дрейнер»
Эта цепочка из 9 шагов была восстановлена на основе декомпилированного исходного кода TRXDrop. Каждый шаг задокументирован с указанием соответствующих ссылок на код в репозитории ScamIntelLogs.
9-этапная цепочка криптофишинговой атаки — от поддельной рекламы аирдропа до опустошения кошелька и отмывания средств.
1
Реклама с фальшивым аирдропом Жертва видит рекламный пост или сообщение в Telegram, в котором анонсируется аирдроп TRX/SOL. Примеры доменов: trx-drop.com, tronrefund.com, trxairdrop.io.
2
Целевая страница Страница, выглядящая профессионально, имитирует официальный аирдроп фонда TRON. Таймеры обратного отсчёта и поддельные счётчики заявок создают ощущение срочности.
3
Запрос WalletConnect Сайт запускает WalletConnect с использованием украденного идентификатора проекта fbf5b42d9006502246e73447f5d50e33. Потерпевший подключает свой кошелек, полагая, что это необходимо для
получения вознаграждения.
4
Запрос на разрешение Drainer запрашивает широкие права доступа к токенам. Запрос на подпись
намеренно сформулирован неопределённо, чтобы скрыть, что именно
утверждается.
5
Утверждение токена Потерпевший подписывает
approve()
транзакция, предоставляющая подрядчику по сбору средств неограниченные полномочия
по расходованию определенных токенов.
6
setApprovalForAll Вторая транзакция вызывает
setApprovalForAll(), что дает злоумышленнику контроль над NFT и всеми типами токенов
в кошельке.
7
Токены перевода Контракт на услуги по дренажу вступает в силу немедленно
transferFrom()
чтобы переместить все утвержденные токены в колекцию
кошелька злоумышленника.
8
Кошелек Drain Токены собственной цепочки (TRX, SOL) переводятся в последнюю очередь.
Кошелек полностью опустошается. Если жертва отклоняет запрос,
злоумышленник повторяет попытку до 50 раз прежде чем
разрешить побег.
9
Средства оператору Похищенные средства перечисляются на кошелек оператора. TRXDrop
взимает комиссию в размере 30 TRX за каждую операцию по снятию средств. Остальная сумма поступает
партнёру, разместившему фишинговую страницу.
50 принудительных повторных попыток
Если жертва нажмет «Отклонить» в окне запроса на подписание, код TRXDrop
немедленно повторно запускает запрос. Этот цикл повторяется
50 раз прежде чем пользователю будет разрешено закрыть
модальное окно. Большинство пользователей сдаются и входят в систему после 3–5 попыток,
считая, что на сайте произошел сбой, а не злонамеренное действие. Это не
ошибка. Так задумано.
Подробный анализ TRXDrop: код, сгенерированный ИИ,
содержащий более 30 операторов отладки в производственной среде
API TRXDrop доступно без аутентификации — любой, у кого есть URL-адрес,
может прочитать журналы кошельков, данные о платежах и идентификаторы операторов.
TRXDrop — это реселлер схемы «Angel Drainer», нацеленный на кошельки TRON и Solana.
Особенность этой операции заключается не в её изощрённости —
а как раз в обратном. Исходный код содержит несомненные признаки
разработки с использованием ИИ: повторяющаяся структура, многосложные комментарии
и, что наиболее показательно, более 30 console.log отладочные операторы, оставшиеся в производственном коде.
Это не признаки опытного разработчика. Это признаки человека, который попросил LLM написать дрейнер и развернул полученный результат без проверки.
Маркеры кода, сгенерированного ИИ
Код TRXDrop содержит более 30 console.log отладочные операторы в производственной сборке. Сообщения типа console.log("Attempting wallet connection...") и console.log("Approval transaction sent") встречаются повсеместно. Ни один профессиональный разработчик — да и ни один опытный преступник — не отправляет отладочные логи в производственную среду. Это необработанный вывод LLM, развернутый без изменений.
Ключ шифрования XOR
Весь обмен данными между интерфейсом пользователя Drainer и серверной панелью шифруется с помощью жестко запрограммированного ключа XOR: TRX_SECURE_2024_PANEL_KEY. Операция XOR со статическим ключом тривиально обратима — ещё один признак разработки методом «копировать-вставить».
Административная панель программы для кражи криптовалюты версии 1.2: 1 337 жертв, похищенные 12 450 долларов, подключенные кошельки и журнал краж в режиме реального времени — РАСКРЫТО
Злоупотребление функцией WalletConnect
Идентификатор проекта WalletConnect fbf5b42d9006502246e73447f5d50e33 встроен во все более чем 15 доменов. Однократная отмена действия этого идентификатора проекта приведет к одновременному отключению связи кошельков по всей сети TRXDrop.
50 принудительных повторных попыток
Цикл запросов на подпись повторяется 50 раз, прежде чем жертве будет разрешено выйти. Эта тактика психологического давления жестко запрограммирована и не поддается настройке партнерами — это одна из ключевых функций набора «Angel Drainer».
30 Комиссия TRX
За каждый успешный вывод средств на кошелек оператора перечисляется комиссия в размере 30 TRX. По текущим курсам это составляет примерно 7–8 долларов США на одну жертву — низкая маржа, что свидетельствует о том, что операция ориентирована на объем, а не на прибыль.
Интеллектуальные решения для операторов
Telegram:@STNlRAWbIaFLiH (Идентификатор пользователя: 6823931109) Кошелек для коллекции:TRAGn9E6hbTiQrYG5V4sk1gNv3JaWHSxak Целевые цепочки: TRON, Solana Комплект для слива воды: Angel Drainer (подержанный/модифицированный)
Схема распределения комиссионных в сервисе «Drainer-as-a-Service»: 80 % — партнёру-оператору, 20 % — комиссия разработчику — из кошелька жертвы через смарт-контракт на отмывание средств.
NiceCrypto работает по простому принципу: предложите партнерам самые высокие выплаты на рынке «дрейнеров», и они приведут жертв. Предлагая комиссию в размере 80%, NiceCrypto обеспечивает самые щедрые условия для партнеров из всех сервисов «дрейнер-как-услуга», которые мы зафиксировали. Оператор оставляет себе всего 20% — крайне небольшую маржу, которая окупается только при больших объемах.
Расчет прост. Если партнер опустошает кошелек, содержащий токены на сумму 1 000 долларов, он оставляет себе 800 долларов. NiceCrypto забирает 200 долларов. Учитывая, что сумма задокументированных выплат партнёрам составляет более 8 454 долларов, эта операция позволила отмыть как минимум 42 270 долларов похищённых средств — и эта цифра учитывает только те выплаты, которые мы можем непосредственно отследить в блокчейне.
Модель распределения доходов: соотношение 80/20
$8,454+ в документально подтвержденных выплатах партнерам представляет собой минимальный, а не максимальный показатель. При партнерской ставке 80 % общая сумма похищенных средств, обработанных NiceCrypto, превышает $42,000 минимум. Реальная цифра, вероятно, значительно выше, поскольку не все транзакции попадают в зону нашего мониторинга.
Расширение на несколько цепочек
NiceCrypto запустился на TRON, однако файлы конфигурации, извлеченные из их инфраструктуры, свидетельствуют об активном расширении в направлении Солана, Цепочки, совместимые с EVM (Ethereum, BSC, Polygon) и TON. Четыре блокчейн-экосистемы под одной панелью управления.
Присутствие на форуме
NiceCrypto привлекает партнёров через wwh2club.to, известный форум, посвящённый киберпреступности. Их бот в Telegram @NCsetup_bot обеспечивает адаптацию новых партнеров — в течение нескольких минут после обращения новые партнеры получают готовый набор инструментов для привлечения клиентов.
WasabiSquad Connection
Домен веб-сайта NiceCrypto wasabihub.one вызывает вопросы о возможной связи с операцией WasabiSquad. Требуется дополнительное расследование, чтобы выяснить, идет ли речь об общей инфраструктуре, смене бренда или просто о совпадении.
Автоматизация Telegram
Бот @NCsetup_bot автоматизирует управление партнерской программой: развертывание наборов для сбора данных, отслеживание комиссионных и распределение выплат. Оператору редко приходится напрямую взаимодействовать с партнерами.
IOC-коды NiceCrypto
Бот в Telegram:@NCsetup_bot Веб-сайт:wasabihub.one Форум:wwh2club.to Партнерская комиссия: 80% Зафиксированные выплаты: $8,454+ Цепи: TRON (активный), Solana (растущий), EVM (растущий), TON (растущий)
80 % — партнерам. Мы оставляем себе 20 %. Вы привлекаете трафик, а мы занимаемся кодом. Настройка занимает 5 минут.
-- Реклама NiceCrypto на сайте wwh2club.to
717Team: Архив = «Disruption Works»
717Team — это доказательство того, что подобные операции можно пресечь. Насчитывая 125 участников и 85 отслеженных кошельков, 717Team представляла собой среднемасштабную группировку, занимавшуюся «дрейнингом» и управлявшую более чем 12 фишинговыми доменами. Подтверждённая общая сумма похищенных средств в размере 2 946,25 долларов может показаться скромной по сравнению с более крупными операциями, но главное — это результат: архивировано.
В нашей системе отслеживания термин «архивированный» означает, что деятельность была сорвана до такой степени, что приостановилась. Домены подверглись ликвидации. Инфраструктура уничтожена. Администратор раскрыт. Команда 717Team не прекратила свою деятельность добровольно. Ее деятельность была прекращена благодаря скоординированному информированию, ликвидациям доменов и обмену оперативной информацией с партнерами по обеспечению безопасности блокчейна.
Сбой подтвержден
Статус «АРХИВИРОВАНО» от 717Team — это не ярлык, который мы присваиваем легкомысленно. Он означает длительные сбои по нескольким направлениям: ликвидации доменов, жалобы хостинг-провайдеров, блокировка кошельков и раскрытие личности администратора. Затраты на продолжение деятельности превысили доходы. Именно так выглядит успешное пресечение деятельности.
Администратор: @imdebank
Аккаунт администратора в Telegram @imdebank (Идентификатор пользователя: 7149807602) связывают с RublevkaTeam, отдельная мошенническая сеть, действующая на русском языке, о которой ранее упоминалось в нашем расследовании по TON. Совместное использование административных прав между операциями является типичной схемой.
Масштаб сети
125 участников отслеживается в группах Telegram. 85 кошельков выявленные в ходе анализа данных цепочки блоков. $2,946.25 подтверждено, что ресурсы исчерпаны. Команда 717 набрана через lolz.live, русскоязычный форум, посвящённый киберпреступности.
Инфраструктура домена
12 и более доменов, включая checkscore.cc, cryptomus-payment.com, check-score.ru, и другие. Использование нескольких регистраторов доменов в попытке противостоять скоординированным мерам по ликвидациям сайтов.
Работа ботов
Бот в Telegram @team717_bot осуществлял координацию деятельности партнёров, отслеживание жертв и распределение выплат. Бот был отключен в рамках операции по пресечению его деятельности.
TRXDrop использует два метода противодействия анализу, которые являются стандартными в арсенале инструментов «дрейнеров». Оба метода призваны затруднить поверхностную проверку. Ни один из них не представляет собой серьезного препятствия для опытного аналитика.
Ловушки отладчика
A setInterval Цикл запускается каждые 1 000 миллисекунд, выполняя debugger заявление. Когда DevTools открыты, это приводит к постоянной приостановке выполнения, из-за чего создается впечатление, что страница зависла. Обходной путь: Отключить точки останова в DevTools (Ctrl+F8) или воспользуйтесь пунктом контекстного меню «Никогда не делать здесь паузу». Общее время пропуска: 2 секунды.
Взлом консоли
Код перезаписывает console.log, console.warn, и console.error с помощью пустых функций для подавления вывода. Ирония судьбы, учитывая, что разработчик оставил более 30 отладочных операторов, которые эти переопределения и призваны скрыть. Обходной путь: Сохраните ссылку на исходные методы консоли до начала загрузки страницы или воспользуйтесь встроенным API консоли браузера. Общее время обхода: 5 секунд.
«Час любителей»
Сочетание кода, сгенерированного ИИ, отладочных операторов в производственной среде, статического шифрования XOR и легко обходимых мер защиты от анализа даёт чёткое представление: оператор TRXDrop — не квалифицированный разработчик. Это мошенник, который купил готовый набор для слива средств и попросил LLM настроить его под свои нужды. Опасность заключается не в изощрённости, а в доступности. Когда единственным барьером для входа является умение «ввести команду», число операторов растёт в геометрической прогрессии.
Эта закономерность наблюдается во всей экосистеме «Drainer-as-a-service». Разработчики наборов (в данном случае — Angel Drainer) обладают подлинными техническими навыками. А вот реселлеры и партнёры, внедряющие эти наборы, зачастую таковыми не обладают. Уровень защиты от анализа существует не потому, что операторы разбираются в исследованиях в области безопасности, — он существует потому, что этот набор поставляется с включенной по умолчанию защитой.
Сбор доказательств и анализ источников информации
Все доказательства, на которые ссылаются в рамках данного расследования, хранятся в репозитории PhishDestroy ScamIntelLogs. Каждая операция имеет собственный каталог, содержащий файлы конфигурации, фрагменты исходного кода, списки доменов, адреса кошельков и разведывательные данные из Telegram.
Все адреса кошельков, списки доменов и идентификаторы операторов, опубликованные в данном отчете, были переданы соответствующим группам по безопасности блокчейнов и регистраторам доменов до публикации. Идентификатор проекта WalletConnect был передан для аннулирования. Если вы управляете инфраструктурой, затронутой этими IOC, свяжитесь с нами через @PhishDestroy_bot.
Защитите свой кошелек
Модель «Drainer-as-a-service» набирает обороты. Для входа в эту сферу достаточно одного сообщения в Telegram и нескольких сотен долларов. Ваша защита начинается с осведомленности.
Никогда не подписывайте документы, не ознакомившись с их содержанием
Если сайт постоянно выдает запросы на авторизацию, немедленно закройте его. Легитимные аирдропы никогда не требуют неограниченного количества разрешений на отправку токенов.
Проверьте перед подключением
Проверьте возраст домена, убедитесь в подлинности информации через официальные каналы проекта и используйте одноразовый кошелек для получения вознаграждений в рамках аирдропа.
Используйте аппаратные кошельки
Храните крупные суммы на аппаратных кошельках. Никогда не подключайте свой основной кошелек к непроверенным сайтам.
Уведомление о прозрачности. PhishDestroy — это некоммерческий независимый проект. Наши исследования могут отражать некоторую предвзятость в отношении мошеннической инфраструктуры и сервисов, способствующих её функционированию. Мы призываем читателей критически и независимо оценивать все материалы. Ознакомьтесь с полным текстом нашего заявления о прозрачности →