Dolandırıcılar Hacker Değildir: İncelenen 4 Arka Uç Sistemi, Hepsi de Son Derece Kolayca Ele Geçirildi
Firebase · Supabase · Express.js · Drainer-as-a-Service · Şubat 2026

Yasal Uyarı: Analiz, Saldırı Değil
Bu makalede sunulan her şey, aşağıdakilerin sonucudur: pasif analiz ve kamuya açık veriler. Hiçbir sisteme izinsiz giriş yapılmadı. Hiçbir kimlik doğrulama atlanmadı. Her durumda, dolandırıcıların kendi yanlış yapılandırmaları, altyapılarını, mağdur verilerini ve operasyonel kimliklerini sadece bakmakla yetinen herkese açık hale getirdi. Her API anahtarı, herkese açık JavaScript paketlerinde bulundu. Her veritabanı, operatörlerin kendi tasarımları nedeniyle tamamen açıktı. Bunu saldırmak için değil, kripto varlıklarınızı çalan kişilerin kendi aletlerini bile güvence altına alamıyorlar.
Ana Tez: Çalınmış Araçları Kullanan Script Kiddies
Halkın zihninde, çevrimiçi dolandırıcıların “hackerlar” olduğu — yani beceriyle ve ustalıkla sistemlere sızan teknik dehalar olduğu — yönünde yaygın bir yanılgı vardır. Bu yanlış.
Günümüzün kripto dolandırıcıları şunlardır: satın aldıkları araç setlerini kullanan script kiddies. 200–500 dolarlık “Drainer-as-a-Service” paketleri satın alırlar, bunları ücretsiz ya da ucuz barındırma hizmetlerinde kurarlar ve kurbanlarının bunu fark etmemesi için dua ederler. Kod yazmazlar. Ağ teknolojisinden anlamazlar. Güvenlik konusundan ise kesinlikle hiçbir şey bilmezler.
Bunu biliyoruz çünkü Şubat 2026’da PhishDestroy, şunları analiz etti: 4 ayrı dolandırıcılık operasyonu — ve her bir durumda, şunları yapabilirdik:
- Çalınan tüm mağdur verilerini oku (tohum cümleleri, e-posta adresleri, IP adresleri, cüzdan türleri)
- Değiştirildi veya silindi dolandırıcının veri tabanı
- Operatörün kimliği tespit edildi açığa çıkan API anahtarları, e-posta adresleri ve altyapı parmak izleri yoluyla
- Dolandırıcıya yönelik saldırıyı yeniden canlandırdı — kendilerinin açık bıraktığı aynı güvenlik açıklarını kullanarak
Herhangi bir güvenlik açığı istismarı gerekmez. Sıfır gün saldırısı yok. “Hackleme” yok. Sadece kilitlemeden bıraktıkları ön kapıyı açarak.
Örnek 1: The Phantom API — server0002.mn19indexpre.xyz
Apache üzerinde Express.js, Hiçbir Gerçek Güvenlik Yok
| Parametre | Değer |
|---|---|
| Etki Alanı | server0002.mn19indexpre.xyz |
| IP Adresi | 108.181.185.225 |
| Sunucu Yığını | Apache/2.4.58 (Ubuntu) → Express.js (Node.js) |
| SSH Afişi | SSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13.11 |
| TLS Sertifika Veren Kuruluş | Let's Encrypt (E7), geçerlilik süresi Ocak–Nisan 2026 |
| DNS Kayıt Kuruluşu | GoDaddy (ns39/ns40.domaincontrol.com) |
| E-posta (MX) | mn19indexpre-xyz.mail.protection.outlook.com |
| Microsoft Kiracısı | NETORGFT19090185.onmicrosoft.com |
| Açık Bağlantı Noktaları | 22 (SSH), 80 (HTTP→301), 443 (HTTPS) |
"Kimlik Doğrulama" — Bir Şaka
API, sabit kodlanmış bir Bearer jetonu ile birlikte gelir: thisisakeyforsecureserver. Ama asıl önemli olan şu ki — token aslında doğrulanmamıştır:
Giriş Doğrulaması Yapılmaması
Test ettiğimiz her enjeksiyon yükü, herhangi bir uyarı olmaksızın kabul edildi:
Performans Parmak İzi
Yük boyutundan bağımsız olarak POST isteklerinde yaklaşık 7,5 saniyelik tutarlı yanıt süresi (10 bayt ile 10 MB arası kabul ediliyor); bu durum, arka uçta e-posta yönlendirme veya webhook aktarımının yapıldığını düşündürüyor. GET istekleri 0,6 saniyede yanıtlanıyor. 10 paralel istek 9,1 saniyede tamamlanıyor — herhangi bir istek hızı sınırlaması uygulanmıyor.
Anonimlik Kaldırma Potansiyeli
Microsoft 365 kiracı kimliği NETORGFT19090185 şudur: kuruluş hesabına doğrudan bağlantı bu alan adını kaydeden. GoDaddy kayıt kayıtları ve (CDN arkasında olmayan) özel bir IP adresi ile birleştirildiğinde, bu operatör kolayca tespit edilebilir yasal yollarla. SPF kaydı (include:secureserver.net) GoDaddy e-posta barındırma hizmetini doğruluyor — tüm e-posta meta verilerine mahkeme celbi yoluyla erişilebilir.
Örnek 2: Firebase Tamamen Açık — web3ledgar.com
Güvenlik Kuralı Olmayan Firestore
| Parametre | Değer |
|---|---|
| Kimlik Avı Alan Adı | web3ledgar.com (“Ledger” kelimesinin yazım hatasından yararlanan alan adı”) |
| Alternatif Etki Alanı | web3.ledgerscore.ltd |
| Firebase Projesi | web3ledger-210ab |
| API Anahtarı | AIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8 |
| Uygulama Kimliği | 1:1054258933515:web:9fb193fcd0093023f7fc0e |
| JS Paketi | /static/js/main.7a5ec2fa.js |
| Firestore Kuralları | Tam erişim — kimlik doğrulaması yapılmamış okuma/yazma |
| Toplam Mağdur Sayısı | içinde 12 kayıt users koleksiyon |
| Bulunan Koleksiyonlar | users, transactions |
Mağdur Verileri — Herkes Tarafından Tam Olarak Erişilebilir
Firestore REST API’sine gönderilen tek bir kimlik doğrulaması yapılmamış GET isteği şu sonucu verdi: çalınan her tohum cümlesi:
12 kayıt arasında dikkat çekici bir giriş vardı — birisi sistemi daha önce şu şekilde test etmişti: fbi@fbi.gov e-postada olduğu gibi. Dolandırıcı ya kendi sistemini test etti (kimlik tespiti açısından yararlıdır) ya da başka biri sistemi daha önce incelemişti.
Saldırı Akışı
Oltalama sitesi, Ledger’ın cüzdan arayüzünü taklit ediyor. Mağdur, “Cüzdanı Bağla” seçeneğine tıklıyor → tohum cümlesini giriyor → React ön ucu verileri doğrudan Firestore’a yazıyor → dolandırıcı da aynı açık veritabanından bu verileri okuyor. Hiçbir arka uç sunucusu yok. Tüm sistem, Google’ın ücretsiz kademesinde çalışıyor.
Anonimlik Kaldırma Potansiyeli
Firebase Proje Kimliği web3ledger-210ab ve Uygulama Kimliği 1:1054258933515 şunlardır bir Google hesabına bağlı. Google, tüm Firebase projeleri için fatura kayıtlarını, IP günlüklerini ve hesap oluşturma verilerini saklamaktadır. Google’a yöneltilen tek bir kolluk kuvveti talebi, hesap sahibinin kimliğini ortaya çıkarır. Ayrıca, Firestore kurallarının tamamen açık olması şu anlama gelir ki kayıtları onların veritabanına girebilirdik, mağdurlara anlık olarak bildirimde bulundu ya da koleksiyonun tamamını sildi.
Örnek 3: Supabase Tam CRUD — web3safe-pal.com
Satır Düzeyinde Güvenlik Devre Dışı, GraphQL Tamamen Açık
| Parametre | Değer |
|---|---|
| Kimlik Avı Alan Adı | web3safe-pal.com (“SafePal” kelimesinin yazım hatası içeren taklidi) |
| Supabase Projesi | gzqsadraigchwdhblavp |
| Anon Anahtarı | Açığa çıktı /assets/index-b025f4a6.js (748 KB) |
| Veritabanı Tablosu | seeds — okuma, ekleme, güncelleme, silme işlemleri |
| GraphQL | Tam iç gözlem + mutasyonlar etkinleştirildi |
| Kenar İşlevleri | send-wallet-import-email, send-email |
| E-posta Hizmeti | API'yi Yeniden Gönder (çevre değişkeninde RESEND_API_KEY) |
| Mağdur Kayıtları | 130–131 numaralı kimlikler (129 numara daha önce silinmişti) |
| Kullanıcı Arayüzü Dili | Rusça ("Ana cüzdan", "Cüzdanınız yükleniyor...") |
Tam Veritabanı Erişimi — Okuma, Yazma, Silme
Minifiye edilmiş JavaScript paketinde bulunan Supabase anon anahtarı, şu yetkileri sağlar: tam CRUD erişimi ...'ye seeds tablo:
Kimlik numaraları 130'dan başlar — yani 1–129 numaralı kayıtlar operatör tarafından daha önce silinmiştir. Bu sistemden en az 131 tohum cümlesi geçmiştir.
Kenar İşlevleri: E-posta İzleri
İki Supabase Edge İşlevi etkin durumda. Şu işlevi tersine mühendislik yoluyla inceledik: send-email yükleri test ederek fonksiyonun beklenen girdi biçimini belirlemek:
API anahtarını yeniden gönder (RESEND_API_KEY) Supabase ortam değişkenlerinde saklanır. Resend, gönderen doğrulama kayıtlarını ve faturalandırma verilerini tutar — operatörün kimliğine giden başka bir doğrudan yol.
Anonimlik Kaldırma Potansiyeli
Rusça kullanıcı arayüzü yerelleştirmesi (“Основной кошелек”, “Ваш кошелек загружается...”) şunu göstermektedir: Rusça konuşan operatör. Supabase projesi (gzqsadraigchwdhblavp) fatura kayıtları bulunan bir hesapla bağlantılıdır. “E-postayı Yeniden Gönder” hizmetinde alıcının e-posta adresi bulunmaktadır. GraphQL introspection, veritabanı şemasının tamamını ortaya koymaktadır. Tam yazma erişimini gösterdik — Çalınan her tohum cümlesini, mağdurlara yönelik bir uyarı mesajıyla değiştirebilirdik, ya da tablonun tamamını silmiş olsaydı. Operatörün verileri kurtarmanın hiçbir yolu olmazdı.
Örnek 4: Endüstriyel Ölçekli Süzgeç — aipolypredictor.xyz
5,8 Günde 19.000 Tohum İfadesi
| Parametre | Değer |
|---|---|
| Ön Uç Alan Adı | aipolypredictor.xyz ("PolySniper | Frontrun İçeriden Bahisler") |
| C2 API'si | api.yfhikblkhghdyteiuyf54.run |
| C2 IP'leri | 172.67.168.147, 104.21.26.231 (Cloudflare) |
| Arka uç | Express.js (Node.js) v1.0.0 |
| Kayıt Görevlisi (Ön Uç) | NiceNIC Uluslararası Grup A.Ş. |
| Kayıt Memuru (C2) | PDR Ltd. (PublicDomainRegistry.com) |
| Çalışma Süresi | ~139 saat (başlangıç tarihi: ~10 Şubat 2026, 21:00 UTC) |
| Süzgeç Kiti CDN | renderer-postcard.defex.cc (601 KB şifrelenmiş JS) |
| Telegram Botu | Etkin, bildirimler için entegre |
| İstihdam Sınırı | 10 istek/60 saniye (bulunan tek sınır) |
Sıralı Kimlik Numaralarıyla Ortaya Çıkan Ölçek
En büyük hata: sıralı iş kimlikleri. Her tohum cümlesi gönderimi, artan bir kimlik numarası döndürür; bu sayede herkes toplam hacmi hesaplayabilir:
Çoklu Zincir Mimarisi
C2 sunucusu, derinlik 100 olan türetme yolları kullanarak tüm ana zincirlerdeki anahtarları türetir:
Kampanya Altyapısı
2 operatör grubu genelinde, Bundle ID’leri aracılığıyla izlenen 11 onaylanmış etki alanı:
| Paket Kimliği | Alan adları | Durum |
|---|---|---|
88ef78f5... | aipolypredictor.xyz | CANLI |
4446ea5d... | solana.onspace.app, solxjup.onspace.app | CANLI |
| defex.cc kiti | jup-v2.com, events-charizard.fun, events-llquid.fun, events-blackswan.fun, soljup.onspace.build | Karışık |
JavaScript Yük Analizi
Drainer’a üç adet şifrelenmiş JS yükü aktarılır:
- wallet-connect.js (46 KB) — Cüzdan bağlantısı kullanıcı arayüzünü yönetir, tohum girdisini yakalar. Dize dizisi rotasyonu yoluyla kod gizleme.
- wallet-specific-modals.js (134 KB) — İçeriği: Tam BIP39 İngilizce kelime listesi ve Monero kelime listesi (1.626 kelime). console.log/trace geçersiz kılmaları yoluyla hata ayıklamanın engellenmesi. Çoklu cüzdan modali desteği.
- defex.cc/index.js (601 KB) — Çince değişken adlarıyla Unicode şifrelenmiş. Solana’ya özgü drainer mantığı. Base58 kodlayıcı, kriptografik anahtar türetme primitifleri. Sürüm 3.0.0.
Anonimlik Kaldırma Potansiyeli
Şu CORS: * başlık ve kimlik doğrulamasının olmaması, şu anlama gelir ki Herkes talep gönderebilir ve iş kimliği numaralarının artışını takip edebilir gerçek zamanlı olarak. Telegram bot entegrasyonu sayesinde operatörün Telegram hesabına bildirimler gönderilir — ve Telegram meta verileri mahkeme celbi yoluyla talep edilebilir. NiceNIC (ön uç için kayıt operatörü), bizim de kullandığımız, güvenilirliği kanıtlanmış bir kayıt operatörüdür. daha önce incelenmiş, ancak PDR Ltd. (C2 alan adı kayıt kuruluşu) kolluk kuvvetlerinin taleplerine yanıt vermektedir. Şu defex.cc Bu sızıntı kiti 255'ten fazla alan adına hizmet vermektedir — defex.cc'nin ele geçirilmesi, tüm DaaS operasyonunu ve tüm müşterilerini tehlikeye atacaktır.
Yan Yana: 4 İşlem, Aynı Desen
| Metrik | mn19indexpre Express.js | web3ledgar Firebase | web3safe-pal Supabase | aipolypredictor Süzgeç C2 |
|---|---|---|---|---|
| Kimlik Doğrulama | Yok (belirteç göz ardı edildi) | Yok | JS’de Anon anahtarı | Yok (CORS: *) |
| Veriler Okunabilir | Mesajlar/aktarım | Tüm tohum ifadeleri | Tüm tohum ifadeleri | İş Kimlikleri / ölçek |
| Veriye Yazılabilir | Evet (sınırsız) | Evet | Evet (tam CRUD) | Evet (gönder) |
| Giriş Doğrulama | Sıfır | Sıfır | Sıfır | Minimal |
| Hız Sınırlaması | Yok | Yok | Yok | 10 istek/60 saniye |
| Anonimliği kaldırılabilir | MS365 kiracısı | Google hesabı | Yeniden Gönder + Supabase faturalandırma | PDR + Telegram |
| Tahmini Mağdur Sayısı | Bilinmiyor | 12 | 131+ | 19,000+ |
| Operatör Dili | Bilinmiyor | İngilizce | Rusça | Bilinmiyor |
Dolandırıcılar Neden Bilgisayar Korsanları Değildir?
Kanıtlar son derece açık. Dört operasyonun tamamında da aynı örüntüyü gözlemliyoruz:
- Hazır süzgeç setleri satın alın (200–500 dolar)
- Ücretsiz kademelerde dağıtım (Firebase, Supabase)
- Varsayılan ayarları değiştirmeyin
- Doğrulama yapılmayan sabit kodlanmış belirteçleri kullanın
- RLS’yi asla etkinleştirmeyin, CORS’u asla kısıtlamayın
- Meta verilerde kendi kimliklerini ortaya çıkarmak
- Ölçeklerini ortaya koyan sıralı kimlik numaraları kullanın
- Özel veri sızdırma araçları yazın
- Şifrelenmiş ve kimlik doğrulaması yapılmış kanalları kullanın
- Tanımlayıcıları rastgele sıralayın, altyapıyı dönüşümlü olarak kullanın
- Uygun erişim kontrolü uygulayın
- Tor/proxy zincirlerini kullanın, anonim ödemeler yapın
- Operasyonel kimliği barındırma hizmetinden ayırın
- Adli incelemeyi engelleyici teknikler uygulamak
“Drainer-as-a-Service” hizmetinin ortalama müşterisi bir kredi kartı sahibi bir sosyal mühendis, teknik bir operatör değiller. Bir alan adını nasıl kaydedeceklerini ve barındırma paneline kodu nasıl yapıştıracaklarını biliyorlar. Ancak şunları yapmayı bilmiyorlar:
- Firestore güvenlik kurallarını yapılandırın (2 dakika sürer)
- Supabase Satır Düzeyinde Güvenliği etkinleştirin (5 dakika sürer)
- Giriş verilerini doğrulama ve temizleme (30 dakika sürer)
- Sıralı tamsayılar yerine UUID’leri kullanın (bu, 1 satır kod gerektirir)
- CORS'u kendi etki alanlarıyla sınırlandırın (bunun için 1 satırlık bir yapılandırma yeterlidir)
Bunlar sofistike düşmanlar değil. Bunlar, bir veritabanını yapılandıramayan kişilerdir.
Güvenlik İhlali Göstergeleri (IOC'ler)
Alan adları
IP Adresleri
API Anahtarları ve Proje Kimlikleri
Sonuç: İmparator Çıplak
Özet
Analiz ettiğimiz her dolandırıcılık operasyonu şunlar olabilir: tamamen ele geçirilmiş, kimlikleri ortaya çıkarılmış ve işlevleri bozulmuş sadece bir web tarayıcısı, curl ve herkese açık belgelerden yararlanarak. Her durumda saldırganlar, veritabanlarını tamamen açık bıraktılar; API anahtarlarını herkese açık JavaScript dosyalarında, kimlik bilgilerini meta verilerde bıraktılar ve kurbanlarının verilerini, bakmaya zahmet eden herkesin erişimine açık hale getirdiler.
Buradan çıkarılacak ders basit: dolandırıcılar hacker değildir. Bunlar, AliExpress’ten bir kilit açma seti satın alıp kendi ön kapılarını kilitlemeyi unutan hırsızlardır. Kullandıkları araçlar son derece gelişmiştir — çünkü bunları başkaları üretmiştir. Operatörlerin kendileri ise, temel teknik bilgiye sahip herhangi birine kendi altyapılarını, kurbanlarının verilerini ve kendi kimliklerini güvenle ifşa eden amatörlerdir.
Bu sitelerden herhangi birine tohum cümlenizi girdiyseniz — cüzdanınızın ele geçirildiğini varsayın ve parayı derhal başka bir yere aktarın.
Tüm bulgular ilgili hizmet sağlayıcılara (Google/Firebase, Supabase, Cloudflare, alan adı kayıt kuruluşları) bildirilmiş ve kolluk kuvvetleri için kayıt altına alınmıştır. Yukarıdaki IOC’ler şuraya eklenmiştir: PhishDestroy yok etme listesi.


