Kod düzeyinde incelenen üç “drainer-as-a-service” operasyonu. Hata ayıklama ifadeleri hâlâ mevcut olan, yapay zeka tarafından üretilmiş kimlik avı kitleri. Hızlı büyümeyi besleyen %80 komisyonlu bir ortaklık modeli. Ve koordineli bir saldırının işe yaradığını kanıtlayan arşivlenmiş bir ağ. İşte, az kalsın bağlanacağınız bir sonraki cüzdanın ardındaki altyapı budur.
~10 dakikalık okuma süresi· Güncellendi Mart 2026· PhishDestroy İstihbarat
3 Aktif Süzme Ağı 15'ten fazla kimlik avı alan adı %80 Ortaklık Komisyonu 1 Ağ Arşivi
0
Kimlik Avı Alan Adları
0
Süzgeç İşlemleri
0
İzlenen Üyeler
0
Tespit Edilen Cüzdanlar
0
Zorunlu İşaret Yeniden Denemeleri
0
% Ortaklık Komisyonu
9 Adımlı Saldırı Zinciri: Sahte Airdrop’tan Boş Cüzdana
Her kripto para boşaltma saldırısı öngörülebilir bir akış izler. “Hizmet olarak boşaltma” operasyonlarını tehlikeli kılan şey yenilikçilik değil, ölçeğidir. Aynı saldırı zinciri düzinelerce alan adında tekrarlanır ve her biri, hiçbir şeyden haberi olmayan kurbanlar için yeni bir tuzak oluşturur. İşte TRXDrop’un kaynak kodundan çıkarılan tam saldırı akışı, adım adım.
Tam Süzgeç Saldırısı Akışı
Bu 9 adımlık zincir, derlemesi kaldırılmış TRXDrop kaynak kodundan yeniden oluşturulmuştur. Her adım, ScamIntelLogs deposunda ilgili kod referanslarıyla birlikte belgelenmiştir.
9 aşamalı kripto dolandırıcılık saldırı zinciri — sahte airdrop reklamından cüzdanın boşaltılmasına ve para aklamaya kadar.
1
Sahte Airdrop Reklamı Mağdur, TRX/SOL airdrop’unu tanıtan bir sponsorlu gönderi veya Telegram mesajı görür. Örnek alan adları: trx-drop.com, tronrefund.com, trxairdrop.io.
2
Açılış Sayfası Profesyonel görünümlü sayfa, meşru bir TRON Vakfı airdrop’unu taklit ediyor. Geri sayım sayaçları ve sahte talep sayaçları aciliyet hissi yaratıyor.
3
WalletConnect İstem Mesajı Site, çalınan Proje Kimliği'ni kullanarak WalletConnect'i başlatıyor fbf5b42d9006502246e73447f5d50e33. Mağdur, bunun tazminat talebinde bulunmak için gerekli olduğunu düşünerek
cüzdanını bağlar.
4
İzin Talebi Drainer, geniş kapsamlı token izinleri talep ediyor. İmza isteği,
neyin onaylandığını belirsiz kılmak amacıyla
kasıtlı olarak muğlak tutulmuştur.
5
Token Onayı Mağdur bir belge imzalar
approve()
Drainer sözleşmesine belirli tokenlar üzerinde sınırsız harcama
yetkisi tanıyan işlem.
6
setApprovalForAll İkinci bir işlem şu şekilde çağrılır:
setApprovalForAll(), saldırgana cüzdandaki NFT’ler ve tüm token türleri
üzerinde kontrol hakkı verir.
7
Transfer Jetonları Drainer sözleşmesi derhal yürürlüğe girer
transferFrom()
onaylanmış tüm token'ları saldırganın koleksiyon
cüzdanına aktarmak.
8
Cüzdanı Boşalt Yerel zincir tokenleri (TRX, SOL) en son aktarılır.
Cüzdan tamamen boşaltılır. Kurban reddederse,
boşaltıcı en fazla 50 kez kaçışa
izin vermeden önce.
9
Operatöre Ödenecek Tutarlar Çalınan fonlar operatörün cüzdanına aktarılır. TRXDrop
her aktarım için 30 TRX komisyon alır. Geri kalanı ise
oltalama sayfasını yayınlayan iş ortağına gider.
50 Zorunlu Yeniden Deneme
Mağdur, imza isteminde “Reddet” seçeneğine tıklarsa, TRXDrop
kodu isteği derhal yeniden tetikler. Bu döngü tekrar eder
50 kez kurbanın modali kapatmasına
izin verilmeden önce. Çoğu kullanıcı, sitenin kötü niyetli değil de
bir arıza yaşadığını düşünerek 3-5 denemeden sonra pes edip oturum açar. Bu bir
hata değildir. Tasarım gereğidir.
TRXDrop Derinlemesine İnceleme: Yapay Zeka Tarafından Oluşturulan Kod
Üretim Ortamında 30'dan Fazla Hata Ayıklama İfadesi İçeren
TRXDrop API’si kimlik doğrulama gerektirmeden erişime açık — URL’ye sahip herkes
cüzdan günlüklerini, ödeme verilerini ve operatör kimliklerini okuyabilir.
TRXDrop, TRON ve Solana
cüzdanlarını hedef alan bir Angel Drainer satıcısıdır. Bu operasyonu diğerlerinden ayıran şey, gelişmişliği değil — tam
tersidir. Kaynak kodu,
yapay zeka destekli geliştirmenin açık işaretlerini ortaya koyuyor: tekrarlayan yapı, ayrıntılı yorumlar
ve en belirgin olarak, 30'dan fazla console.log üretim kodunda kalan hata ayıklama ifadeleri.
Bunlar deneyimli bir geliştiricinin izleri değil. Bunlar, bir LLM’ye bir “drainer” yazmasını söyleyen ve çıktıyı incelemeye almadan devreye alan birinin izleridir.
Yapay Zeka Tarafından Oluşturulan Kod İşaretleyicileri
TRXDrop kod tabanında 30'dan fazla console.log Üretim sürümündeki hata ayıklama ifadeleri. Şu tür mesajlar: console.log("Attempting wallet connection...") ve console.log("Approval transaction sent") her yerde karşımıza çıkıyor. Hiçbir profesyonel yazılımcı — ve hiçbir deneyimli suçlu — hata ayıklama günlüklerini üretim ortamına göndermez. Bu, olduğu gibi devreye alınmış, işlenmemiş bir LLM çıktısıdır.
XOR Şifreleme Anahtarı
Drainer ön ucu ile arka uç paneli arasındaki tüm iletişim, sabit kodlanmış bir XOR anahtarıyla şifrelenir: TRX_SECURE_2024_PANEL_KEY. Statik anahtarlı XOR işlemi son derece kolay bir şekilde tersine çevrilebilir — bu da “kopyala-yapıştır” tarzı yazılım geliştirmenin bir başka göstergesidir.
Crypto Drainer yönetici paneli v1.2: 1.337 mağdur, çalınan 12.450 dolar, bağlı cüzdanlar ve gerçek zamanlı para çekme günlüğü - ORTAYA ÇIKTI
WalletConnect'in Kötüye Kullanımı
WalletConnect Proje Kimliği fbf5b42d9006502246e73447f5d50e33 15’ten fazla alanın tümüne entegre edilmiştir. Bu proje kimliğinin tek bir kez iptal edilmesi, TRXDrop ağının tamamında cüzdan bağlantısını aynı anda devre dışı bırakacaktır.
50 Zorunlu Yeniden Deneme
İmza istem döngüsü, kurbanın çıkmasına izin vermeden önce 50 kez yeniden deneme yapar. Bu psikolojik baskı taktiği sabit kodlanmıştır ve iş ortakları tarafından yapılandırılamaz; bu, Angel Drainer kitinin temel bir özelliğidir.
30 TRX Komisyon
Her başarılı para çekme işlemi, operatörün cüzdanına 30 TRX tutarında komisyon gönderir. Mevcut kurlara göre bu, kurban başına yaklaşık 7-8 ABD doları tutarındadır; bu düşük marj, operasyonun değerden çok hacme dayandığını göstermektedir.
Operatör Zekası
Telegram:@STNlRAWbIaFLiH (Kullanıcı Kimliği: 6823931109) Koleksiyon Cüzdanı:TRAGn9E6hbTiQrYG5V4sk1gNv3JaWHSxak Hedef Alınan Zincirler: TRON, Solana Süzgeç Seti: Angel Drainer (ikinci el/özelleştirilmiş)
TRXDrop Alan Adı Altyapısı (15'ten fazla alan adı)
Etki Alanı
Tür
Durum
trx-drop.com
Birincil iniş
Etkin
tronrefund.com
Para iadesi tuzağı
Etkin
tronfund.net
Fon cazibesi
Etkin
trxfund.pro
Fon cazibesi
Etkin
trxairdrop.io
Airdrop tuzağı
Etkin
trondrop.org
Airdrop tuzağı
Etkin
tronreward.com
Ödül yemi
Etkin
tronreward.net
Ödül yemi
Etkin
tronrefund.net
Para iadesi tuzağı
Etkin
trxfund.org
Fon cazibesi
Etkin
trxdrop.com
Airdrop tuzağı
Etkin
trxdrop.org
Airdrop tuzağı
Etkin
trongiving.com
Hediye tuzağı
Etkin
tronclaims.com
Tazminat vaatleri
Etkin
trondrop.pro
Airdrop tuzağı
Etkin
NiceCrypto: %80 Komisyon Makinesi
“Drainer-as-a-Service” komisyon akışı: %80’i iş ortağı operatöre, %20’si geliştirici ücretine — kurbanın cüzdanından akıllı sözleşme yoluyla kara para aklamaya.
NiceCrypto, basit bir ilkeyle çalışır: Ortaklara “drainer” piyasasındaki en yüksek komisyonu verin, onlar da kurbanları getirsin. %80 komisyon oranıyla NiceCrypto, "hizmet olarak drainer" operasyonları arasında kaydettiğimiz en cömert ortaklık payını sunuyor. Operatör sadece %20'sini kendine ayırıyor; bu, ancak büyük ölçekte işe yarayan, son derece düşük bir kâr marjıdır.
Hesaplama oldukça basit. Bir ortak, içinde 1.000 dolarlık token bulunan bir cüzdanı boşaltırsa, 800 dolarını kendine alır. NiceCrypto ise 200 dolar alır. 8.454 doların üzerinde belgelenmiş ortaklık ödemesiyle, bu operasyon en az 42.270 dolarlık çalınan fonu işlemiştir — ve bu rakam, blok zincirinde doğrudan gözlemleyebildiğimiz ödemeleri yansıtmaktadır.
Gelir Modeli: 80/20 Paylaşımı
$8,454+ Bağlı kuruluşlara yapılan belgelenmiş ödemelerdeki tutar, üst sınır değil, alt sınırı temsil etmektedir. %80’lik bir bağlı kuruluş payı oranında, NiceCrypto tarafından işlenen toplam çalınan fon tutarı şunu aşmaktadır: $42,000 asgari. Gerçek rakam muhtemelen çok daha yüksektir, zira tüm işlemler izleme kapsamımıza girmiyor.
Çoklu Zincir Genişlemesi
NiceCrypto, TRON üzerinde faaliyete başlamıştı; ancak altyapılarından kurtarılan yapılandırma dosyaları, şu platformlara yönelik aktif bir genişlemeyi ortaya koyuyor: Solana, EVM uyumlu zincirler (Ethereum, BSC, Polygon) ve TON. Tek bir kontrol paneli altında dört blok zinciri ekosistemi.
Forumda Varlığı
NiceCrypto, aşağıdaki kanallar aracılığıyla iş ortakları arıyor: wwh2club.to, bilinen bir siber suç forumu. Telegram botları @NCsetup_bot kayıt sürecini yönetir — yeni iş ortakları, iletişime geçtikten birkaç dakika içinde önceden yapılandırılmış bir drainer kiti alırlar.
WasabiSquad Bağlantısı
NiceCrypto'nun web sitesi alan adı wasabihub.one WasabiSquad operasyonu ile olası bir bağlantı konusunda soru işaretleri uyandırıyor. Bunun ortak bir altyapı mı, marka değişikliği mi yoksa bir tesadüf mü olduğu, daha ayrıntılı bir soruşturma gerektiriyor.
Telegram Otomasyonu
Bot @NCsetup_bot ortaklık yönetimini otomatikleştirir: drainer kitlerinin dağıtımı, komisyon takibi ve ödeme dağıtımı. Operatörün ortaklarla doğrudan etkileşime girmesi nadiren gerekir.
NiceCrypto IOC'leri
Telegram Botu:@NCsetup_bot Web sitesi:wasabihub.one Forum:wwh2club.to Ortaklık Komisyonu: 80% Kayıtlı Ödemeler: $8,454+ Zincirler: TRON (aktif), Solana (genişleme aşamasında), EVM (genişleme aşamasında), TON (genişleme aşamasında)
%80’i iş ortaklarına verilir. %20’si bize kalır. Siz trafiği sağlayın, kod işini biz hallederiz. Kurulum 5 dakika sürer.
-- wwh2club.to sitesindeki NiceCrypto reklamı
717Team: Arşivlenmiş = Disruption Works
717Team, bu tür operasyonların durdurulabileceğinin kanıtıdır. 125 üye ve 85 izlenen cüzdana sahip olan 717Team, 12’den fazla kimlik avı alan adını işleten orta ölçekli bir para sızdırma operasyonuydu. Doğrulanmış toplam 2.946,25 dolarlık dolandırıcılık tutarı, daha büyük operasyonlara kıyasla mütevazı görünebilir, ancak asıl önemli olan sonuçtur: arşivlenmiş.
İzleme sistemimizde “arşivlenmiş” ifadesi, operasyonun tamamen durdurulacak kadar kesintiye uğradığı anlamına gelir. Alan adları kapatıldı. Altyapı imha edildi. Yönetici kimliği ortaya çıktı. 717Team kendi isteğiyle faaliyetlerini sonlandırmadı. Koordineli ihbarlar, alan adlarının kaldırmaları ve blok zinciri güvenlik ortaklarıyla istihbarat paylaşımı yoluyla faaliyetleri durduruldu.
Kesinti Onaylandı
717Team’in “ARŞİVLENMİŞ” statüsü, bizim hafife alarak verdiğimiz bir etiket değildir. Bu, birçok farklı alanda sürdürülen engelleme faaliyetlerini ifade eder: alan adlarının kaldırmaları, barındırma sağlayıcılarının ihbarları, cüzdanların işaretlenmesi ve yönetici kimliğinin ifşa edilmesi. Operasyonu sürdürmenin maliyeti, elde edilen geliri aştı. İşte başarılı bir engelleme böyle olur.
Yönetici: @imdebank
Telegram yönetici kullanıcı adı @imdebank (Kullanıcı Kimliği: 7149807602) ile ilişkilendirilmiştir Rublevka Ekibi, daha önce TON soruşturmamızda belgelendiği üzere, Rusça konuşan ayrı bir dolandırıcılık ağı. Operasyonlar arası yönetici paylaşımı, sıkça görülen bir örüntüdür.
Ağ Ölçeği
125 üye Telegram grupları üzerinden takip edildi. 85 cüzdan zincir üstü analiz yoluyla tespit edildi. $2,946.25 boşaltıldığı doğrulandı. 717Team şu yolla işe alındı: lolz.live, Rusça bir siber suç forumu.
Etki Alanı Altyapısı
Aşağıdakiler dahil 12'den fazla alan adı checkscore.cc, cryptomus-payment.com, check-score.ru, ve diğerleri. Koordineli kaldırma girişimlerine karşı koymak amacıyla birden fazla alan adı kayıt kuruluşu kullanıldı.
Bot İşlemleri
Telegram botu @team717_bot ortaklık koordinasyonunu, mağdur takibini ve ödeme dağıtımını yönetti. Bot, operasyonun bir parçası olarak devre dışı bırakıldı.
TRXDrop, “drainer” araç seti kılavuzunda standart olarak yer alan iki analiz önleme tekniğini kullanır. Her ikisi de yüzeysel incelemeleri engellemek üzere tasarlanmıştır. Ancak bu tekniklerin hiçbiri, deneyimli bir analist için anlamlı bir engel teşkil etmez.
Hata Ayıklama Tuzakları
A setInterval Döngü her 1.000 milisaniyede bir tetiklenir ve bir debugger bildirim. DevTools açıkken bu durum, yürütmeyi sürekli olarak duraklatır ve sayfanın donmuş gibi görünmesine neden olur. Baypas: DevTools’ta kesme noktalarını devre dışı bırakın (Ctrl+F8) ya da bağlam menüsündeki “Burada asla duraklatma” seçeneğini kullanın. Toplam atlama süresi: 2 saniye.
Konsol Ele Geçirme
Kod, mevcut içeriğin üzerine yazıyor console.log, console.warnve console.error çıktıyı engellemek için boş işlevler kullanılarak. Bu, geliştiricinin bu yeniden tanımlamaların gizlemeye yönelik olduğu 30'dan fazla hata ayıklama ifadesini bırakmış olması göz önüne alındığında oldukça ironik. Baypas: Sayfa yüklenmeden önce orijinal konsol yöntemlerine bir referans kaydedin ya da tarayıcının kendi konsol API’sini kullanın. Toplam atlama süresi: 5 saniye.
Amatör Saati
Yapay zeka tarafından üretilen kod, üretim ortamındaki hata ayıklama ifadeleri, statik XOR şifreleme ve kolayca atlatılabilen analiz önleme önlemlerinin bir araya gelmesi net bir tablo ortaya koyuyor: TRXDrop’un operatörü yetenekli bir geliştirici değil. Bu kişi, bir “drainer” kiti satın alıp büyük dil modeline (LLM) bunu özelleştirmesi için talimat veren bir dolandırıcıdır. Tehlike, bu sistemin karmaşıklığında değil, erişilebilirliğinde yatıyor. Giriş engeli “bir komut yazabilir misin?” düzeyindeyken, operatörlerin sayısı katlanarak artıyor.
Bu eğilim, “hizmet olarak drainer” ekosisteminin genelinde tutarlı bir şekilde görülmektedir. Kit geliştiricileri (bu örnekte Angel Drainer), gerçek bir teknik yetkinliğe sahiptir. Oysa bu kitleri kullanan satıcılar ve iş ortakları genellikle bu yetkinliğe sahip değildir. Analiz önleme katmanı, operatörlerin güvenlik araştırmalarını anladıkları için mevcut değildir; bu katman, kitin varsayılan olarak etkinleştirilmiş halde sunulması nedeniyle mevcuttur.
Kanıtlar ve Kaynak İstihbaratı
Bu soruşturmada atıfta bulunulan tüm kanıtlar, PhishDestroy ScamIntelLogs veri havuzunda saklanmaktadır. Her operasyonun, yapılandırma dosyaları, kaynak kod alıntıları, etki alanı listeleri, cüzdan adresleri ve Telegram istihbaratını içeren kendine ait bir dizini bulunmaktadır.
TRXDrop Kanıtı
15 alan adı, kaynak kodu, XOR anahtarları, WalletConnect kimliği, Telegram operatörü, cüzdan adresi.
Bu raporda yayınlanan tüm cüzdan adresleri, alan adı listeleri ve operatör tanımlayıcıları, yayınlanmadan önce ilgili blok zinciri güvenlik ekipleriyle ve alan adı kayıt kuruluşlarıyla paylaşılmıştır. WalletConnect Proje Kimliği’nin iptal edilmesi için bildirimde bulunulmuştur. Bu IOC’lerden etkilenen bir altyapıyı işletiyorsanız, bizimle şu adres üzerinden iletişime geçin: @PhishDestroy_bot.
Cüzdanınızı Koruyun
“Drainer-as-a-service” hizmeti giderek yaygınlaşıyor. Bu alana giriş için gereken tek şey bir Telegram mesajı ve birkaç yüz dolar. Kendinizi korumak için öncelikle farkında olmalısınız.
Asla Körü Körüne İmza Atmayın
Bir site sürekli olarak imza talebinde bulunuyorsa, o siteyi derhal kapatın. Meşru airdrop’lar asla sınırsız token onayı talep etmez.
Bağlanmadan Önce Kontrol Edin
Alan adının yaşını kontrol edin, resmi proje kanalları aracılığıyla doğrulayın ve herhangi bir airdrop talebinde geçici cüzdan kullanın.
Donanım Cüzdanlarını Kullanın
Büyük tutarları donanım cüzdanlarında saklayın. Asla ana cüzdanınızı doğrulanmamış sitelere bağlamayın.
Şeffaflık bildirimi. PhishDestroy, ticari amaç gütmeyen, bağımsız bir projedir. Araştırmalarımız, dolandırıcılık altyapısına ve bunu mümkün kılan hizmetlere karşı içsel bir önyargı içerebilir. Okuyucularımızı, tüm materyalleri eleştirel ve bağımsız bir şekilde değerlendirmeye davet ediyoruz. Şeffaflık beyanımızın tamamını okuyun →