Аналіз трьох сервісів типу «drainer-as-a-service» на рівні коду. Створені за допомогою ШІ фішингові набори, в яких досі містяться оператори налагодження. Партнерська модель із 80-відсотковою комісією, що сприяє стрімкому розширенню. І одна заархівована мережа, яка доводить, що скоординовані атаки дають результат. Ось така інфраструктура стоїть за тим гаманцем, до якого ви щойно ледь не підключилися.
~10 хв. на читання· Оновлено Березень 2026 року· PhishDestroy Intelligence
3 мережі активних дренажних систем Понад 15 фішингових доменів 80% партнерської комісії 1 Мережа в архіві
0
Фішингові домени
0
Експлуатація дренажних систем
0
Відстежувані учасники
0
Виявлені гаманці
0
Примусові повторні спроби відправки сигналів
0
% Партнерська комісія
Ланцюжок атак із 9 етапів: від фейкового айрдропу до порожнього гаманця
Кожна операція з виведення криптовалюти відбувається за передбачуваною послідовністю. Небезпека операцій типу «drainer-as-a-service» полягає не в інноваціях, а в їхньому масштабі. Один і той самий ланцюжок атак повторюється на десятках доменів, кожен з яких є новою пасткою для нічого не підозрюючих жертв. Ось точна послідовність дій, витягнута з вихідного коду TRXDrop, крок за кроком.
Повний цикл атаки «Дрейнер»
Цей ланцюжок із 9 кроків було відтворено на основі декомпільованого вихідного коду TRXDrop. Кожен крок задокументовано з відповідними посиланнями на код у репозиторії ScamIntelLogs.
9-етапний ланцюжок криптофішингової атаки — від фейкової реклами про айрдроп до спустошення гаманця та відмивання коштів.
1
Реклама фейкового айрдропу Жертва бачить рекламний пост або повідомлення в Telegram, в якому рекламується айрдроп TRX/SOL. Приклади доменів: trx-drop.com, tronrefund.com, trxairdrop.io.
2
Початкова сторінка Сторінка, що виглядає професійно, імітує справжній айрдроп від Фонду TRON. Таймери зворотного відліку та фальшиві лічильники заявок створюють відчуття терміновості.
3
Запит WalletConnect Сайт ініціює WalletConnect, використовуючи викрадений ідентифікатор проекту fbf5b42d9006502246e73447f5d50e33. Потерпілий підключає свій гаманець, вважаючи, що це необхідно для
отримання виплати.
4
Запит на дозвіл Drainer запитує широкі дозволи на використання токенів. Запит на підписання
навмисно сформульовано нечітко, щоб приховати, що саме
затверджується.
5
Затвердження токена Потерпілий підписує
approve()
транзакція, що надає підряднику, який здійснює виведення коштів, необмежені повноваження
щодо витрачання певних токенів.
6
setApprovalForAll Друга транзакція викликає
setApprovalForAll(), що надає зловмиснику контроль над NFT та всіма типами токенів
у гаманці.
7
Токени переказу Негайно зв’яжіться з компанією «Drainer»
transferFrom()
щоб перемістити всі затверджені токени до колекції
гаманця зловмисника.
8
Drain Wallet Токени власних ланцюгів (TRX, SOL) переказуються останніми.
Гаманець повністю спорожнюється. Якщо жертва відмовляється,
зловмисник повторює спробу до 50 разів перед тим, як
дозволити втечу.
9
Кошти оператору Викрадені кошти надходять на гаманець оператора. TRXDrop
стягує комісію в розмірі 30 TRX за кожну операцію виведення коштів. Решта коштів надходить
партнеру, який розмістив фішингову сторінку.
50 примусових повторних спроб
Якщо жертва натисне «Відхилити» у вікні запиту на підписання, код TRXDrop
негайно повторно запускає запит. Цей цикл повторюється
50 разів до того, як жертві буде дозволено закрити
модальне вікно. Більшість користувачів здаються і підписують документ після 3–5 спроб,
вважаючи, що на сайті просто збій, а не зловмисна дія. Це не
помилка. Це передбачено дизайном.
Детальний аналіз TRXDrop: код, згенерований штучним інтелектом,
з понад 30 операторами налагодження в робочому середовищі
API TRXDrop доступний без аутентифікації — будь-хто, хто має URL-адресу,
може переглянути журнали гаманців, дані про платежі та ідентифікатори операторів.
TRXDrop — це реселер, що використовує схему «Angel Drainer» і націлений на гаманці
TRON та Solana. Ця операція вирізняється не своєю витонченістю —
навпаки. Вихідний код містить безсумнівні ознаки
розробки за допомогою штучного інтелекту: повторювана структура, розлогі коментарі,
а також, що найпоказовіше, понад 30 console.log оператори налагодження, що залишилися в робочому коді.
Це не ознаки досвідченого розробника. Це ознаки того, хто попросив велику мовну модель (LLM) написати код, що виснажує ресурси, і розгорнув отриманий результат без перевірки.
Маркери коду, згенерованого штучним інтелектом
Код TRXDrop містить понад 30 console.log оператори налагодження у виробничій збірці. Такі повідомлення, як console.log("Attempting wallet connection...") та console.log("Approval transaction sent") зустрічаються повсюди. Жоден професійний розробник — і жоден досвідчений злочинець — не відправляє відладочні записи в виробниче середовище. Це необроблений вихідний код великої мови (LLM), розгорнутий у тому вигляді, в якому він є.
Ключ шифрування XOR
Увесь обмін даними між інтерфейсом користувача drainer та серверною панеллю шифрується за допомогою жорстко заданого ключа XOR: TRX_SECURE_2024_PANEL_KEY. Операція XOR зі статичним ключем є тривіально оборотньою — ще одна ознака розробки методом «копіюй-встав».
Адміністративна панель програми для виведення криптовалюти v1.2: 1 337 жертв, викрадено 12 450 доларів, підключені гаманці та журнал виведення коштів у режимі реального часу — РОЗКРИТО
Зловживання сервісом WalletConnect
Ідентифікатор проєкту WalletConnect fbf5b42d9006502246e73447f5d50e33 вбудовано у всі понад 15 доменів. Одноразове анулювання цього ідентифікатора проєкту призведе до одночасного відключення підключення гаманців у всій мережі TRXDrop.
50 примусових повторних спроб
Цикл запитів на підписання повторюється 50 разів, перш ніж дозволити жертві вийти. Ця тактика психологічного тиску жорстко запрограмована і не підлягає налаштуванню партнерами — це одна з основних функцій набору «Angel Drainer».
30 Комісія TRX
За кожну успішну операцію з виведення коштів на гаманець оператора надходить комісія у розмірі 30 TRX. За поточними курсами це становить приблизно 7–8 доларів США на кожну жертву — така низька маржа свідчить про те, що операція орієнтована на обсяг, а не на вартість.
Інтелектуальні рішення для операторів
Telegram:@STNlRAWbIaFLiH (Ідентифікатор користувача: 6823931109) Гаманець для колекції:TRAGn9E6hbTiQrYG5V4sk1gNv3JaWHSxak Мережі, що стали об’єктом атаки: TRON, Solana Комплект для зливу води: Angel Drainer (вживаний/модифікований)
Інфраструктура доменів TRXDrop (понад 15 доменів)
Домен
Тип
Статус
trx-drop.com
Перша посадка
Активний
tronrefund.com
Приманка для повернення коштів
Активний
tronfund.net
Залучення коштів
Активний
trxfund.pro
Залучення коштів
Активний
trxairdrop.io
Приманка для айрдропу
Активний
trondrop.org
Приманка для айрдропу
Активний
tronreward.com
Приманка-нагорода
Активний
tronreward.net
Приманка-нагорода
Активний
tronrefund.net
Приманка для повернення коштів
Активний
trxfund.org
Залучення коштів
Активний
trxdrop.com
Приманка для айрдропу
Активний
trxdrop.org
Приманка для айрдропу
Активний
trongiving.com
Приманка для розіграшу
Активний
tronclaims.com
Заманливі обіцянки
Активний
trondrop.pro
Приманка для айрдропу
Активний
NiceCrypto: «Машина», що приносить 80 % комісії
Схема розподілу комісій у сервісі «Drainer-as-a-Service»: 80 % — оператору-партнеру, 20 % — комісія розробника — з гаманця жертви через смарт-контракт до відмивання коштів.
NiceCrypto працює за простим принципом: надайте партнерам найвищі виплати на ринку «драйнерів», і вони приведуть жертв. З комісією у розмірі 80% NiceCrypto пропонує найщедріший розподіл доходів серед партнерів, який ми коли-небудь фіксували серед будь-яких операторів, що надають послуги «drainer-as-a-service». Оператор залишає собі лише 20% — надзвичайно малу маржу, яка виправдовується лише при великому обсязі операцій.
Математика тут проста. Якщо партнер виводить кошти з гаманця, на якому є токени на суму 1 000 доларів, він залишає собі 800 доларів. NiceCrypto забирає 200 доларів. З урахуванням задокументованих виплат партнерам на суму понад 8 454 доларів, ця операція опрацювала щонайменше 42 270 доларів вкрадених коштів — і ця цифра враховує лише ті виплати, які ми можемо безпосередньо відстежити в блокчейні.
Модель розподілу доходів: співвідношення 80/20
$8,454+ у задокументованих виплатах афілійованим особам є мінімальним, а не максимальним показником. При ставці виплат афілійованим особам у розмірі 80 % загальна сума викрадених коштів, оброблених NiceCrypto, перевищує $42,000 мінімум. Справжня цифра, ймовірно, значно вища, оскільки не всі транзакції потрапляють у поле зору нашої системи моніторингу.
Розширення на кілька ланцюгів
NiceCrypto розпочав свою діяльність на TRON, але файли конфігурації, вилучені з їхньої інфраструктури, свідчать про активне розширення на Солана, Ланцюги, сумісні з EVM (Ethereum, BSC, Polygon), а також TON. Чотири екосистеми блокчейну під єдиною панеллю управління.
Присутність на форумі
NiceCrypto залучає партнерів через wwh2club.to, відомий форум, присвячений кіберзлочинності. Їхній бот у Telegram @NCsetup_bot забезпечує адаптацію нових партнерів — нові партнери отримують набір інструментів для збору трафіку, налаштований відповідно до їхніх потреб, вже через кілька хвилин після звернення.
WasabiSquad Connection
Домен веб-сайту NiceCrypto wasabihub.one викликає питання щодо можливого зв’язку з операцією WasabiSquad. Чи йдеться про спільну інфраструктуру, ребрендинг чи просто збіг обставин — це потребує подальшого розслідування.
Автоматизація Telegram
Бот @NCsetup_bot автоматизує управління партнерською програмою: розгортання наборів для збору води, відстеження комісій та розподіл виплат. Оператору рідко доводиться безпосередньо взаємодіяти з партнерами.
IOC-показники NiceCrypto
Бот у Telegram:@NCsetup_bot Веб-сайт:wasabihub.one Форум:wwh2club.to Комісія партнерської програми: 80% Задокументовані виплати: $8,454+ Ланцюги: TRON (активний), Solana (розширюється), EVM (розширюється), TON (розширюється)
80% — партнерам. Ми залишаємо собі 20%. Ви забезпечуєте трафік, а ми — код. Налаштування займає 5 хвилин.
-- Реклама NiceCrypto на сайті wwh2club.to
717Team: Архів = «Disruption Works»
717Team — це доказ того, що такі операції можна зупинити. Маючи 125 учасників та 85 відстежених гаманців, 717Team була середньомасштабною операцією з виведення коштів, яка керувала понад 12 фішинговими доменами. Підтверджена загальна сума викрадених коштів у розмірі 2 946,25 доларів може здатися скромною порівняно з більшими операціями, але справжня історія полягає в результаті: архівується.
У нашій системі відстеження термін «архівовано» означає, що діяльність була перервана аж до повного припинення. Домени ліквідовано. Інфраструктура знищено. Адміністратор викрито. Команда 717Team не припинила діяльність добровільно. Її діяльність було припинено завдяки скоординованим повідомленням, ліквідаціям доменів та обміну розвідданими з партнерами з безпеки блокчейну.
Підтверджено збій у роботі
Статус «АРХІВОВАНО» від 717Team — це не позначка, яку ми присвоюємо без вагань. Це означає тривале блокування діяльності за кількома напрямками: ліквідації доменів, повідомлення від хостинг-провайдерів, блокування гаманців та розкриття особи адміністратора. Витрати на продовження діяльності перевищили її доходи. Ось так виглядає успішне блокування діяльності.
Адміністратор: @imdebank
Акаунт адміністратора в Telegram @imdebank (Ідентифікатор користувача: 7149807602) пов'язують із RublevkaTeam, окрема російськомовна шахрайська мережа, про яку раніше йшлося в нашому розслідуванні щодо TON. Спільне використання адміністраторських прав між різними операціями є типовою схемою.
Масштаб мережі
125 учасників відстежувалися в групах Telegram. 85 гаманців виявлено за допомогою аналізу даних ланцюга. $2,946.25 підтверджено, що ресурси вичерпано. Команда 717 набрана через lolz.live, російськомовний форум, присвячений кіберзлочинності.
Інфраструктура домену
12 і більше доменів, зокрема checkscore.cc, cryptomus-payment.com, check-score.ru, та інші. Використовувалися кілька реєстраторів доменів у спробі протистояти скоординованим ліквідаціям сайтів.
Робота ботів
Бот у Telegram @team717_bot забезпечував координацію партнерської програми, відстеження жертв та розподіл виплат. Бот було деактивовано в рамках заходів з протидії.
717Team IOC
Адміністратор:@imdebank (ID: 7149807602) Пов’язана група: RublevkaTeam Бот:@team717_bot Форум:lolz.live Учасники: 125 на гусеничному ходу Гаманці: Виявлено 85 Підтверджено витік: $2,946.25 Статус:АРХІВ (Припинено)
Антианаліз: присутній, але його легко обійти
TRXDrop використовує дві методики протидії аналізу, які є стандартними в арсеналі інструментів «дрейнерів». Обидві призначені для того, щоб ускладнити поверхневий огляд. Жодна з них не становить суттєвої перешкоди для досвідченого аналітика.
Пастки відладчика
A setInterval Цикл запускається кожні 1 000 мілісекунд, виконуючи debugger повідомлення. Коли DevTools відкрито, це постійно призупиняє виконання, через що створюється враження, ніби сторінка зависла. Обхідний шлях: Вимкнути точки зупину в DevTools (Ctrl+F8) або скористайтеся пунктом контекстного меню «Ніколи не зупинятися тут». Загальний час пропуску: 2 секунди.
Захоплення консолі
Код перезаписує console.log, console.warn, і console.error за допомогою порожніх функцій для приховування виводу. Іронічно, зважаючи на те, що розробник залишив понад 30 операторів налагодження, які ці перевизначення покликані приховати. Обхідний шлях: Збережіть посилання на оригінальні методи консолі до завантаження сторінки або скористайтеся вбудованим API консолі браузера. Загальний час обходу: 5 секунд.
«Година аматорів»
Поєднання коду, згенерованого штучним інтелектом, операторів налагодження в робочому середовищі, статичного шифрування XOR та антианалітичних заходів, які можна легко обійти, дає чітке уявлення: оператор TRXDrop не є кваліфікованим розробником. Це шахрай, який придбав готовий набір для виведення коштів і попросив велику мовну модель (LLM) налаштувати його під себе. Небезпека полягає не в складності, а в доступності. Коли єдиною перешкодою для входу є вміння «ввести команду», кількість операторів зростає в геометричній прогресії.
Ця закономірність спостерігається в усій екосистемі «drainer-as-a-service». Розробники наборів (у даному випадку — Angel Drainer) володіють справжніми технічними навичками. А ось дистриб’ютори та партнери, які використовують ці набори, часто їх не мають. Рівень захисту від аналізу існує не тому, що оператори розуміються на дослідженнях у сфері безпеки, — він існує тому, що цей набір постачається з увімкненим за замовчуванням захистом.
Докази та аналіз джерел інформації
Усі докази, на які посилається це розслідування, зберігаються у репозиторії PhishDestroy ScamIntelLogs. Кожна операція має власний каталог, що містить файли конфігурації, уривки вихідного коду, списки доменів, адреси гаманців та оперативні дані з Telegram.
Усі адреси гаманців, списки доменів та ідентифікатори операторів, опубліковані в цьому звіті, були передані відповідним командам з безпеки блокчейнів та реєстраторам доменів ще до публікації. Про ідентифікатор проекту WalletConnect повідомлено з метою його анулювання. Якщо ви керуєте інфраструктурою, на яку впливають ці IOC, зв’яжіться з нами через @PhishDestroy_bot.
Захистіть свій гаманець
Послуга «Drainer-as-a-service» набирає обертів. Єдиною перешкодою для вступу є повідомлення в Telegram та кілька сотень доларів. Ваш захист починається з обізнаності.
Ніколи не підписуйте наосліп
Якщо сайт постійно вимагає підтвердження підпису, негайно закрийте його. Легітимні айрдропи ніколи не вимагають необмеженого підтвердження токенів.
Перевірте перед підключенням
Перевірте вік домену, підтвердьте інформацію через офіційні канали проекту та використовуйте одноразовий гаманець для отримання будь-яких айрдропів.
Використовуйте апаратні гаманці
Зберігайте великі суми на апаратних гаманцях. Ніколи не підключайте свій основний гаманець до неперевірених сайтів.
Повідомлення про прозорість. PhishDestroy — це некомерційний, незалежний проєкт. Наші дослідження можуть містити певну упередженість щодо інфраструктури шахрайства та сервісів, що її підтримують. Ми закликаємо читачів критично та незалежно оцінювати всі матеріали. Ознайомтеся з повною версією нашої заяви про прозорість →