Haberlere Geri Dön

ScamIntelLogs Soruşturması

Crypto Drainer Araç Seti: Cüzdanınızı Hedef Alan Angel Drainer Satıcılarının İç Yüzü

Kod düzeyinde incelenen üç “drainer-as-a-service” operasyonu. Hata ayıklama ifadeleri hâlâ mevcut olan, yapay zeka tarafından üretilmiş kimlik avı kitleri. Hızlı büyümeyi besleyen %80 komisyonlu bir ortaklık modeli. Ve koordineli bir saldırının işe yaradığını kanıtlayan arşivlenmiş bir ağ. İşte, az kalsın bağlanacağınız bir sonraki cüzdanın ardındaki altyapı budur.

3 Aktif Süzme Ağı 15'ten fazla kimlik avı alan adı %80 Ortaklık Komisyonu 1 Ağ Arşivi
Kripto Para Çalma Ağlarının Analizi
0
Kimlik Avı Alan Adları
0
Süzgeç İşlemleri
0
İzlenen Üyeler
0
Tespit Edilen Cüzdanlar
0
Zorunlu İşaret Yeniden Denemeleri
0
% Ortaklık Komisyonu

9 Adımlı Saldırı Zinciri: Sahte Airdrop’tan Boş Cüzdana

Her kripto para boşaltma saldırısı öngörülebilir bir akış izler. “Hizmet olarak boşaltma” operasyonlarını tehlikeli kılan şey yenilikçilik değil, ölçeğidir. Aynı saldırı zinciri düzinelerce alan adında tekrarlanır ve her biri, hiçbir şeyden haberi olmayan kurbanlar için yeni bir tuzak oluşturur. İşte TRXDrop’un kaynak kodundan çıkarılan tam saldırı akışı, adım adım.

Tam Süzgeç Saldırısı Akışı

Bu 9 adımlık zincir, derlemesi kaldırılmış TRXDrop kaynak kodundan yeniden oluşturulmuştur. Her adım, ScamIntelLogs deposunda ilgili kod referanslarıyla birlikte belgelenmiştir.

9 adımlı kripto dolandırıcılık saldırı zinciri: sahte airdrop ilanı, hedef tıklamalar, dolandırıcılık açılış sayfası, cüzdanın bağlanması, kötü niyetli izin, işlemin onaylanması, token çalınması, fon karıştırıcı, paranın çekilmesi
9 aşamalı kripto dolandırıcılık saldırı zinciri — sahte airdrop reklamından cüzdanın boşaltılmasına ve para aklamaya kadar.
1
Sahte Airdrop Reklamı
Mağdur, TRX/SOL airdrop’unu tanıtan bir sponsorlu gönderi veya Telegram mesajı görür. Örnek alan adları: trx-drop.com, tronrefund.com, trxairdrop.io.
2
Açılış Sayfası
Profesyonel görünümlü sayfa, meşru bir TRON Vakfı airdrop’unu taklit ediyor. Geri sayım sayaçları ve sahte talep sayaçları aciliyet hissi yaratıyor.
3
WalletConnect İstem Mesajı
Site, çalınan Proje Kimliği'ni kullanarak WalletConnect'i başlatıyor fbf5b42d9006502246e73447f5d50e33. Mağdur, bunun tazminat talebinde bulunmak için gerekli olduğunu düşünerek cüzdanını bağlar.
4
İzin Talebi
Drainer, geniş kapsamlı token izinleri talep ediyor. İmza isteği, neyin onaylandığını belirsiz kılmak amacıyla kasıtlı olarak muğlak tutulmuştur.
5
Token Onayı
Mağdur bir belge imzalar approve() Drainer sözleşmesine belirli tokenlar üzerinde sınırsız harcama yetkisi tanıyan işlem.
6
setApprovalForAll
İkinci bir işlem şu şekilde çağrılır: setApprovalForAll(), saldırgana cüzdandaki NFT’ler ve tüm token türleri üzerinde kontrol hakkı verir.
7
Transfer Jetonları
Drainer sözleşmesi derhal yürürlüğe girer transferFrom() onaylanmış tüm token'ları saldırganın koleksiyon cüzdanına aktarmak.
8
Cüzdanı Boşalt
Yerel zincir tokenleri (TRX, SOL) en son aktarılır. Cüzdan tamamen boşaltılır. Kurban reddederse, boşaltıcı en fazla 50 kez kaçışa izin vermeden önce.
9
Operatöre Ödenecek Tutarlar
Çalınan fonlar operatörün cüzdanına aktarılır. TRXDrop her aktarım için 30 TRX komisyon alır. Geri kalanı ise oltalama sayfasını yayınlayan iş ortağına gider.

50 Zorunlu Yeniden Deneme

Mağdur, imza isteminde “Reddet” seçeneğine tıklarsa, TRXDrop kodu isteği derhal yeniden tetikler. Bu döngü tekrar eder 50 kez kurbanın modali kapatmasına izin verilmeden önce. Çoğu kullanıcı, sitenin kötü niyetli değil de bir arıza yaşadığını düşünerek 3-5 denemeden sonra pes edip oturum açar. Bu bir hata değildir. Tasarım gereğidir.

TRXDrop Derinlemesine İnceleme: Yapay Zeka Tarafından Oluşturulan Kod Üretim Ortamında 30'dan Fazla Hata Ayıklama İfadesi İçeren

Güvenlik karşılaştırması: Kimlik Doğrulama Gerekli (yeşil kilit) ile Kimlik Doğrulama Yok – Tamamen Açık (kırık kırmızı kilit)
TRXDrop API’si kimlik doğrulama gerektirmeden erişime açık — URL’ye sahip herkes cüzdan günlüklerini, ödeme verilerini ve operatör kimliklerini okuyabilir.

TRXDrop, TRON ve Solana cüzdanlarını hedef alan bir Angel Drainer satıcısıdır. Bu operasyonu diğerlerinden ayıran şey, gelişmişliği değil — tam tersidir. Kaynak kodu, yapay zeka destekli geliştirmenin açık işaretlerini ortaya koyuyor: tekrarlayan yapı, ayrıntılı yorumlar ve en belirgin olarak, 30'dan fazla console.log üretim kodunda kalan hata ayıklama ifadeleri.

Bunlar deneyimli bir geliştiricinin izleri değil. Bunlar, bir LLM’ye bir “drainer” yazmasını söyleyen ve çıktıyı incelemeye almadan devreye alan birinin izleridir.

Yapay Zeka Tarafından Oluşturulan Kod İşaretleyicileri

TRXDrop kod tabanında 30'dan fazla console.log Üretim sürümündeki hata ayıklama ifadeleri. Şu tür mesajlar: console.log("Attempting wallet connection...") ve console.log("Approval transaction sent") her yerde karşımıza çıkıyor. Hiçbir profesyonel yazılımcı — ve hiçbir deneyimli suçlu — hata ayıklama günlüklerini üretim ortamına göndermez. Bu, olduğu gibi devreye alınmış, işlenmemiş bir LLM çıktısıdır.

XOR Şifreleme Anahtarı

Drainer ön ucu ile arka uç paneli arasındaki tüm iletişim, sabit kodlanmış bir XOR anahtarıyla şifrelenir: TRX_SECURE_2024_PANEL_KEY. Statik anahtarlı XOR işlemi son derece kolay bir şekilde tersine çevrilebilir — bu da “kopyala-yapıştır” tarzı yazılım geliştirmenin bir başka göstergesidir.

Crypto Drainer yönetici paneli v1.2: 1.337 mağdur, çalınan 12.450 dolar, bağlı cüzdanlar ve gerçek zamanlı para çekme günlüğü - ORTAYA ÇIKTI
Crypto Drainer yönetici paneli v1.2: 1.337 mağdur, çalınan 12.450 dolar, bağlı cüzdanlar ve gerçek zamanlı para çekme günlüğü - ORTAYA ÇIKTI

WalletConnect'in Kötüye Kullanımı

WalletConnect Proje Kimliği fbf5b42d9006502246e73447f5d50e33 15’ten fazla alanın tümüne entegre edilmiştir. Bu proje kimliğinin tek bir kez iptal edilmesi, TRXDrop ağının tamamında cüzdan bağlantısını aynı anda devre dışı bırakacaktır.

50 Zorunlu Yeniden Deneme

İmza istem döngüsü, kurbanın çıkmasına izin vermeden önce 50 kez yeniden deneme yapar. Bu psikolojik baskı taktiği sabit kodlanmıştır ve iş ortakları tarafından yapılandırılamaz; bu, Angel Drainer kitinin temel bir özelliğidir.

30 TRX Komisyon

Her başarılı para çekme işlemi, operatörün cüzdanına 30 TRX tutarında komisyon gönderir. Mevcut kurlara göre bu, kurban başına yaklaşık 7-8 ABD doları tutarındadır; bu düşük marj, operasyonun değerden çok hacme dayandığını göstermektedir.

Operatör Zekası

Telegram: @STNlRAWbIaFLiH (Kullanıcı Kimliği: 6823931109)
Koleksiyon Cüzdanı: TRAGn9E6hbTiQrYG5V4sk1gNv3JaWHSxak
Hedef Alınan Zincirler: TRON, Solana
Süzgeç Seti: Angel Drainer (ikinci el/özelleştirilmiş)

TRXDrop Alan Adı Altyapısı (15'ten fazla alan adı)

Etki AlanıTürDurum
trx-drop.comBirincil inişEtkin
tronrefund.comPara iadesi tuzağıEtkin
tronfund.netFon cazibesiEtkin
trxfund.proFon cazibesiEtkin
trxairdrop.ioAirdrop tuzağıEtkin
trondrop.orgAirdrop tuzağıEtkin
tronreward.comÖdül yemiEtkin
tronreward.netÖdül yemiEtkin
tronrefund.netPara iadesi tuzağıEtkin
trxfund.orgFon cazibesiEtkin
trxdrop.comAirdrop tuzağıEtkin
trxdrop.orgAirdrop tuzağıEtkin
trongiving.comHediye tuzağıEtkin
tronclaims.comTazminat vaatleriEtkin
trondrop.proAirdrop tuzağıEtkin

NiceCrypto: %80 Komisyon Makinesi

“Drainer-as-a-Service” hizmetinin operasyonel komisyon akışı: Kurbanın cüzdanından akıllı sözleşme aracılığıyla operatöre %80, geliştiriciye %20 ücret
“Drainer-as-a-Service” komisyon akışı: %80’i iş ortağı operatöre, %20’si geliştirici ücretine — kurbanın cüzdanından akıllı sözleşme yoluyla kara para aklamaya.

NiceCrypto, basit bir ilkeyle çalışır: Ortaklara “drainer” piyasasındaki en yüksek komisyonu verin, onlar da kurbanları getirsin. %80 komisyon oranıyla NiceCrypto, "hizmet olarak drainer" operasyonları arasında kaydettiğimiz en cömert ortaklık payını sunuyor. Operatör sadece %20'sini kendine ayırıyor; bu, ancak büyük ölçekte işe yarayan, son derece düşük bir kâr marjıdır.

Hesaplama oldukça basit. Bir ortak, içinde 1.000 dolarlık token bulunan bir cüzdanı boşaltırsa, 800 dolarını kendine alır. NiceCrypto ise 200 dolar alır. 8.454 doların üzerinde belgelenmiş ortaklık ödemesiyle, bu operasyon en az 42.270 dolarlık çalınan fonu işlemiştir — ve bu rakam, blok zincirinde doğrudan gözlemleyebildiğimiz ödemeleri yansıtmaktadır.

Gelir Modeli: 80/20 Paylaşımı

$8,454+ Bağlı kuruluşlara yapılan belgelenmiş ödemelerdeki tutar, üst sınır değil, alt sınırı temsil etmektedir. %80’lik bir bağlı kuruluş payı oranında, NiceCrypto tarafından işlenen toplam çalınan fon tutarı şunu aşmaktadır: $42,000 asgari. Gerçek rakam muhtemelen çok daha yüksektir, zira tüm işlemler izleme kapsamımıza girmiyor.

Çoklu Zincir Genişlemesi

NiceCrypto, TRON üzerinde faaliyete başlamıştı; ancak altyapılarından kurtarılan yapılandırma dosyaları, şu platformlara yönelik aktif bir genişlemeyi ortaya koyuyor: Solana, EVM uyumlu zincirler (Ethereum, BSC, Polygon) ve TON. Tek bir kontrol paneli altında dört blok zinciri ekosistemi.

Forumda Varlığı

NiceCrypto, aşağıdaki kanallar aracılığıyla iş ortakları arıyor: wwh2club.to, bilinen bir siber suç forumu. Telegram botları @NCsetup_bot kayıt sürecini yönetir — yeni iş ortakları, iletişime geçtikten birkaç dakika içinde önceden yapılandırılmış bir drainer kiti alırlar.

WasabiSquad Bağlantısı

NiceCrypto'nun web sitesi alan adı wasabihub.one WasabiSquad operasyonu ile olası bir bağlantı konusunda soru işaretleri uyandırıyor. Bunun ortak bir altyapı mı, marka değişikliği mi yoksa bir tesadüf mü olduğu, daha ayrıntılı bir soruşturma gerektiriyor.

Telegram Otomasyonu

Bot @NCsetup_bot ortaklık yönetimini otomatikleştirir: drainer kitlerinin dağıtımı, komisyon takibi ve ödeme dağıtımı. Operatörün ortaklarla doğrudan etkileşime girmesi nadiren gerekir.

NiceCrypto IOC'leri

Telegram Botu: @NCsetup_bot
Web sitesi: wasabihub.one
Forum: wwh2club.to
Ortaklık Komisyonu: 80%
Kayıtlı Ödemeler: $8,454+
Zincirler: TRON (aktif), Solana (genişleme aşamasında), EVM (genişleme aşamasında), TON (genişleme aşamasında)

%80’i iş ortaklarına verilir. %20’si bize kalır. Siz trafiği sağlayın, kod işini biz hallederiz. Kurulum 5 dakika sürer.
-- wwh2club.to sitesindeki NiceCrypto reklamı

717Team: Arşivlenmiş = Disruption Works

717Team, bu tür operasyonların durdurulabileceğinin kanıtıdır. 125 üye ve 85 izlenen cüzdana sahip olan 717Team, 12’den fazla kimlik avı alan adını işleten orta ölçekli bir para sızdırma operasyonuydu. Doğrulanmış toplam 2.946,25 dolarlık dolandırıcılık tutarı, daha büyük operasyonlara kıyasla mütevazı görünebilir, ancak asıl önemli olan sonuçtur: arşivlenmiş.

İzleme sistemimizde “arşivlenmiş” ifadesi, operasyonun tamamen durdurulacak kadar kesintiye uğradığı anlamına gelir. Alan adları kapatıldı. Altyapı imha edildi. Yönetici kimliği ortaya çıktı. 717Team kendi isteğiyle faaliyetlerini sonlandırmadı. Koordineli ihbarlar, alan adlarının kaldırmaları ve blok zinciri güvenlik ortaklarıyla istihbarat paylaşımı yoluyla faaliyetleri durduruldu.

Kesinti Onaylandı

717Team’in “ARŞİVLENMİŞ” statüsü, bizim hafife alarak verdiğimiz bir etiket değildir. Bu, birçok farklı alanda sürdürülen engelleme faaliyetlerini ifade eder: alan adlarının kaldırmaları, barındırma sağlayıcılarının ihbarları, cüzdanların işaretlenmesi ve yönetici kimliğinin ifşa edilmesi. Operasyonu sürdürmenin maliyeti, elde edilen geliri aştı. İşte başarılı bir engelleme böyle olur.

Yönetici: @imdebank

Telegram yönetici kullanıcı adı @imdebank (Kullanıcı Kimliği: 7149807602) ile ilişkilendirilmiştir Rublevka Ekibi, daha önce TON soruşturmamızda belgelendiği üzere, Rusça konuşan ayrı bir dolandırıcılık ağı. Operasyonlar arası yönetici paylaşımı, sıkça görülen bir örüntüdür.

Ağ Ölçeği

125 üye Telegram grupları üzerinden takip edildi. 85 cüzdan zincir üstü analiz yoluyla tespit edildi. $2,946.25 boşaltıldığı doğrulandı. 717Team şu yolla işe alındı: lolz.live, Rusça bir siber suç forumu.

Etki Alanı Altyapısı

Aşağıdakiler dahil 12'den fazla alan adı checkscore.cc, cryptomus-payment.com, check-score.ru, ve diğerleri. Koordineli kaldırma girişimlerine karşı koymak amacıyla birden fazla alan adı kayıt kuruluşu kullanıldı.

Bot İşlemleri

Telegram botu @team717_bot ortaklık koordinasyonunu, mağdur takibini ve ödeme dağıtımını yönetti. Bot, operasyonun bir parçası olarak devre dışı bırakıldı.

717 Takımı IOC’leri

Yönetici: @imdebank (ID: 7149807602)
İlgili Grup: Rublevka Ekibi
Bot: @team717_bot
Forum: lolz.live
Üyeler: 125 paletli
Cüzdanlar: 85 tespit edildi
Boşaltıldığı Doğrulandı: $2,946.25
Durum:ARŞİVLENMİŞ (İptal Edildi)

Analiz Önleme: Mevcut, ancak Aşılması Kolay

TRXDrop, “drainer” araç seti kılavuzunda standart olarak yer alan iki analiz önleme tekniğini kullanır. Her ikisi de yüzeysel incelemeleri engellemek üzere tasarlanmıştır. Ancak bu tekniklerin hiçbiri, deneyimli bir analist için anlamlı bir engel teşkil etmez.

Hata Ayıklama Tuzakları

A setInterval Döngü her 1.000 milisaniyede bir tetiklenir ve bir debugger bildirim. DevTools açıkken bu durum, yürütmeyi sürekli olarak duraklatır ve sayfanın donmuş gibi görünmesine neden olur. Baypas: DevTools’ta kesme noktalarını devre dışı bırakın (Ctrl+F8) ya da bağlam menüsündeki “Burada asla duraklatma” seçeneğini kullanın. Toplam atlama süresi: 2 saniye.

Konsol Ele Geçirme

Kod, mevcut içeriğin üzerine yazıyor console.log, console.warnve console.error çıktıyı engellemek için boş işlevler kullanılarak. Bu, geliştiricinin bu yeniden tanımlamaların gizlemeye yönelik olduğu 30'dan fazla hata ayıklama ifadesini bırakmış olması göz önüne alındığında oldukça ironik. Baypas: Sayfa yüklenmeden önce orijinal konsol yöntemlerine bir referans kaydedin ya da tarayıcının kendi konsol API’sini kullanın. Toplam atlama süresi: 5 saniye.

Amatör Saati

Yapay zeka tarafından üretilen kod, üretim ortamındaki hata ayıklama ifadeleri, statik XOR şifreleme ve kolayca atlatılabilen analiz önleme önlemlerinin bir araya gelmesi net bir tablo ortaya koyuyor: TRXDrop’un operatörü yetenekli bir geliştirici değil. Bu kişi, bir “drainer” kiti satın alıp büyük dil modeline (LLM) bunu özelleştirmesi için talimat veren bir dolandırıcıdır. Tehlike, bu sistemin karmaşıklığında değil, erişilebilirliğinde yatıyor. Giriş engeli “bir komut yazabilir misin?” düzeyindeyken, operatörlerin sayısı katlanarak artıyor.

Bu eğilim, “hizmet olarak drainer” ekosisteminin genelinde tutarlı bir şekilde görülmektedir. Kit geliştiricileri (bu örnekte Angel Drainer), gerçek bir teknik yetkinliğe sahiptir. Oysa bu kitleri kullanan satıcılar ve iş ortakları genellikle bu yetkinliğe sahip değildir. Analiz önleme katmanı, operatörlerin güvenlik araştırmalarını anladıkları için mevcut değildir; bu katman, kitin varsayılan olarak etkinleştirilmiş halde sunulması nedeniyle mevcuttur.

Kanıtlar ve Kaynak İstihbaratı

Bu soruşturmada atıfta bulunulan tüm kanıtlar, PhishDestroy ScamIntelLogs veri havuzunda saklanmaktadır. Her operasyonun, yapılandırma dosyaları, kaynak kod alıntıları, etki alanı listeleri, cüzdan adresleri ve Telegram istihbaratını içeren kendine ait bir dizini bulunmaktadır.

TRXDrop Kanıtı

15 alan adı, kaynak kodu, XOR anahtarları, WalletConnect kimliği, Telegram operatörü, cüzdan adresi.

GitHub'da görüntüle

NiceCrypto Kanıtı

Yapılandırma dosyaları, ortaklık ödeme kayıtları, çoklu zincir genişleme planları, forum gönderileri.

GitHub'da görüntüle

717Takımı Kanıtları

Üye listeleri, cüzdan adresleri, alan adı altyapısı, yönetici bilgileri, kesinti zaman çizelgesi.

GitHub'da görüntüle

Sorumlu Bildirim

Bu raporda yayınlanan tüm cüzdan adresleri, alan adı listeleri ve operatör tanımlayıcıları, yayınlanmadan önce ilgili blok zinciri güvenlik ekipleriyle ve alan adı kayıt kuruluşlarıyla paylaşılmıştır. WalletConnect Proje Kimliği’nin iptal edilmesi için bildirimde bulunulmuştur. Bu IOC’lerden etkilenen bir altyapıyı işletiyorsanız, bizimle şu adres üzerinden iletişime geçin: @PhishDestroy_bot.

Cüzdanınızı Koruyun

“Drainer-as-a-service” hizmeti giderek yaygınlaşıyor. Bu alana giriş için gereken tek şey bir Telegram mesajı ve birkaç yüz dolar. Kendinizi korumak için öncelikle farkında olmalısınız.

Asla Körü Körüne İmza Atmayın

Bir site sürekli olarak imza talebinde bulunuyorsa, o siteyi derhal kapatın. Meşru airdrop’lar asla sınırsız token onayı talep etmez.

Bağlanmadan Önce Kontrol Edin

Alan adının yaşını kontrol edin, resmi proje kanalları aracılığıyla doğrulayın ve herhangi bir airdrop talebinde geçici cüzdan kullanın.

Donanım Cüzdanlarını Kullanın

Büyük tutarları donanım cüzdanlarında saklayın. Asla ana cüzdanınızı doğrulanmamış sitelere bağlamayın.

Tehditleri Bildir

Bir sızıntı noktası mı buldunuz? Bunu şu adrese bildirin: @PhishDestroy_bot ya da şu adresten alan adlarını kontrol edin: analiz.destroy.tools.

Bir Alan Adını Bildir Bir Etki Alanını Analiz Etme

Bu Araştırmayı Paylaş

X / Twitter Telegram Reddit LinkedIn

İlgili Soruşturmalar

BUYTRX Ortaya Çıktı: 55 Alan Adı ve TRON Onay Hırsızı
SORUŞTURMA
BUYTRX Ortaya Çıktı: 55 Alan Adı ve TRON Onay Hırsızı
Trust Wallet Kimlik Avı Paneli: 239 bin dolar çalındı, 6 operatör
KAPSAMLI SORUŞTURMA
Trust Wallet Kimlik Avı Paneli: 239 bin dolar çalındı, 6 operatör
Kripto Kimlik Avının Anatomisi: Tersine Mühendislik Yöntemiyle İncelenen 8 Gerçek Tohum İfadesi Çalma Yöntemi
KAPSAMLI SORUŞTURMA
Kripto Kimlik Avının Anatomisi: Tersine Mühendislik Yöntemiyle İncelenen 8 Gerçek Tohum İfadesi Çalma Yöntemi
Şeffaflık bildirimi. PhishDestroy, ticari amaç gütmeyen, bağımsız bir projedir. Araştırmalarımız, dolandırıcılık altyapısına ve bunu mümkün kılan hizmetlere karşı içsel bir önyargı içerebilir. Okuyucularımızı, tüm materyalleri eleştirel ve bağımsız bir şekilde değerlendirmeye davet ediyoruz. Şeffaflık beyanımızın tamamını okuyun →