Ba hoạt động “drainer-as-a-service” được phân tích chi tiết ở cấp độ mã nguồn. Các bộ công cụ lừa đảo do AI tạo ra vẫn đang được triển khai dù còn chứa các câu lệnh gỡ lỗi. Mô hình liên kết với mức hoa hồng 80% đang thúc đẩy sự mở rộng nhanh chóng. Và một mạng lưới đã ngừng hoạt động chứng minh rằng các cuộc tấn công phối hợp có hiệu quả. Đây chính là cơ sở hạ tầng đằng sau chiếc ví điện tử tiếp theo mà bạn suýt nữa đã kết nối.
Thời gian đọc khoảng 10 phút· Đã cập nhật Tháng 3 năm 2026· PhishDestroy Intelligence
3 mạng lưới thoát nước đang hoạt động Hơn 15 tên miền lừa đảo 80% hoa hồng liên kết 1 Mạng đã lưu trữ
0
Các tên miền lừa đảo
0
Hoạt động của hệ thống thoát nước
0
Các thành viên được theo dõi
0
Các ví đã được xác định
0
Buộc thử lại tín hiệu
0
% Hoa hồng liên kết
Chuỗi tấn công 9 bước: Từ airdrop giả mạo đến ví trống rỗng
Mọi cuộc tấn công “drainer” tiền điện tử đều tuân theo một chuỗi hành động có thể dự đoán được. Điều khiến các hoạt động “drainer-as-a-service” trở nên nguy hiểm không phải là sự đổi mới — mà chính là quy mô. Chuỗi tấn công này được nhân rộng trên hàng chục tên miền, mỗi tên miền là một cái bẫy mới dành cho những nạn nhân không đề phòng. Dưới đây là chuỗi hành động chính xác, được trích xuất từ mã nguồn của TRXDrop, từng bước một.
Quy trình tấn công bằng thiết bị thoát nước hoàn chỉnh
Chuỗi 9 bước này đã được tái tạo từ mã nguồn TRXDrop đã được giải mã. Mỗi bước đều được ghi chép kèm theo các tham chiếu mã nguồn tương ứng trong kho lưu trữ ScamIntelLogs.
Chuỗi tấn công lừa đảo tiền điện tử gồm 9 bước — từ quảng cáo airdrop giả mạo, qua việc rút cạn ví cho đến rửa tiền.
1
Quảng cáo airdrop giả mạo Nạn nhân nhìn thấy một bài đăng được quảng bá hoặc tin nhắn trên Telegram quảng cáo chương trình airdrop TRX/SOL. Ví dụ về các tên miền: trx-drop.com, tronrefund.com, trxairdrop.io.
2
Trang đích Trang web trông rất chuyên nghiệp, được thiết kế giống hệt một đợt airdrop chính thức của Quỹ TRON. Đồng hồ đếm ngược và bộ đếm yêu cầu giả mạo tạo ra cảm giác cấp bách.
3
Thông báo WalletConnect Trang web khởi tạo WalletConnect bằng cách sử dụng ID dự án bị đánh cắp fbf5b42d9006502246e73447f5d50e33. Nạn nhân kết nối ví của mình vì cho rằng đó là điều kiện bắt buộc để
nhận tiền.
4
Yêu cầu cấp phép Drainer yêu cầu các quyền truy cập rộng rãi đối với token. Thông báo yêu cầu ký tên
được thiết kế cố ý mơ hồ nhằm che giấu nội dung
đang được phê duyệt.
5
Phê duyệt token Nạn nhân ký vào một
approve()
giao dịch cấp cho hợp đồng drainer quyền chi tiêu không giới hạn
đối với các token cụ thể.
6
setApprovalForAll Giao dịch thứ hai được thực hiện
setApprovalForAll(), cho phép kẻ tấn công kiểm soát các NFT và tất cả các loại token
trong ví.
7
Chuyển nhượng token Hợp đồng dịch vụ thoát nước sẽ được liên hệ ngay lập tức
transferFrom()
để chuyển tất cả các token đã được phê duyệt vào ví
của kẻ tấn công.
8
Ví Drain Các token trên chuỗi gốc (TRX, SOL) sẽ được chuyển đi sau cùng.
Ví sẽ bị rút sạch hoàn toàn. Nếu nạn nhân từ chối,
kẻ lừa đảo sẽ thử lại tối đa 50 lần trước khi
cho phép thoát.
9
Tiền chuyển cho nhà điều hành Số tiền bị đánh cắp sẽ được chuyển vào ví của người điều hành. TRXDrop
thu phí hoa hồng 30 TRX cho mỗi lần rút tiền. Số tiền còn lại sẽ được chuyển cho
đối tác đã triển khai trang lừa đảo.
50 lần thử lại bắt buộc
Nếu nạn nhân nhấp vào “Từ chối” trên cửa sổ nhắc nhở ký xác nhận, mã TRXDrop
sẽ ngay lập tức kích hoạt lại yêu cầu. Vòng lặp này lặp đi lặp lại
50 lần trước khi nạn nhân được phép đóng
cửa sổ bật lên. Hầu hết người dùng sẽ bỏ cuộc và đăng nhập sau 3-5 lần thử,
vì họ cho rằng trang web gặp sự cố chứ không phải có ý đồ xấu. Đây không phải là
lỗi. Đây là thiết kế có chủ đích.
Phân tích sâu về TRXDrop: Mã nguồn do AI tạo ra
với hơn 30 câu lệnh gỡ lỗi đang chạy trên môi trường sản xuất
API TRXDrop bị lộ mà không cần xác thực — bất kỳ ai có URL
đều có thể truy cập nhật ký ví, dữ liệu thanh toán và ID người vận hành.
TRXDrop là một nhóm phân phối lại mã độc Angel Drainer nhắm vào các ví TRON và Solana.
Điều khiến hoạt động này trở nên khác biệt không phải là mức độ tinh vi — mà
chính là điều ngược lại. Mã nguồn cho thấy những dấu hiệu không thể nhầm lẫn của
việc phát triển có sự hỗ trợ của AI: cấu trúc lặp đi lặp lại, chú thích dài dòng,
và đặc biệt nhất là hơn 30 console.log các câu lệnh gỡ lỗi còn sót lại trong mã nguồn phiên bản sản xuất.
Đây không phải là những dấu hiệu của một nhà phát triển giàu kinh nghiệm. Đó là những dấu hiệu của một người đã yêu cầu một mô hình ngôn ngữ lớn (LLM) viết một chương trình tiêu tốn tài nguyên và triển khai kết quả đó mà không kiểm tra lại.
Các dấu hiệu nhận biết mã do AI tạo ra
Bộ mã nguồn TRXDrop chứa hơn 30 console.log các câu lệnh gỡ lỗi trong bản dựng sản xuất. Các thông báo như console.log("Attempting wallet connection...") và console.log("Approval transaction sent") xuất hiện khắp nơi. Không có nhà phát triển chuyên nghiệp nào — cũng như không có tội phạm có kinh nghiệm nào — lại đưa nhật ký gỡ lỗi vào môi trường sản xuất. Đây là kết quả đầu ra thô từ mô hình ngôn ngữ lớn (LLM), được triển khai nguyên trạng.
Khóa mã hóa XOR
Tất cả các giao tiếp giữa giao diện người dùng drainer và bảng điều khiển phía máy chủ đều được mã hóa bằng một khóa XOR được cài đặt cố định: TRX_SECURE_2024_PANEL_KEY. Hàm XOR sử dụng khóa tĩnh có thể đảo ngược một cách dễ dàng — đây là một dấu hiệu nữa cho thấy quá trình phát triển được thực hiện theo kiểu “sao chép-dán”.
Bảng điều khiển quản trị công cụ đánh cắp tiền điện tử phiên bản 1.2 hiển thị 1.337 nạn nhân, số tiền bị đánh cắp là 12.450 USD, các ví được kết nối và nhật ký đánh cắp theo thời gian thực - ĐÃ BỊ PHÁT HIỆN
Lạm dụng WalletConnect
Mã dự án WalletConnect fbf5b42d9006502246e73447f5d50e33 được tích hợp trong tất cả hơn 15 lĩnh vực. Chỉ cần một lần thu hồi ID dự án này là sẽ làm ngắt kết nối ví trên toàn bộ mạng TRXDrop cùng một lúc.
50 lần thử lại bắt buộc
Vòng lặp nhắc nhở ký tên sẽ thử lại 50 lần trước khi cho phép nạn nhân thoát ra. Chiến thuật gây áp lực tâm lý này được cài đặt cố định, không thể tùy chỉnh bởi các đối tác liên kết — đây là một tính năng cốt lõi của bộ công cụ Angel Drainer.
30% hoa hồng TRX
Mỗi lần rút tiền thành công sẽ chuyển 30 TRX tiền hoa hồng vào ví của người điều hành. Theo tỷ giá hiện tại, con số này tương đương khoảng 7–8 USD cho mỗi nạn nhân — mức lợi nhuận thấp cho thấy hoạt động này phụ thuộc vào khối lượng hơn là giá trị.
Trí tuệ của nhà khai thác
Telegram:@STNlRAWbIaFLiH (ID người dùng: 6823931109) Ví sưu tập:TRAGn9E6hbTiQrYG5V4sk1gNv3JaWHSxak Các chuỗi bị nhắm mục tiêu: TRON, Solana Bộ dụng cụ thoát nước: Angel Drainer (hàng đã qua sử dụng/được tùy chỉnh)
Hạ tầng tên miền TRXDrop (hơn 15 tên miền)
Miền
Loại
Tình trạng
trx-drop.com
Điểm hạ cánh chính
Hoạt động
tronrefund.com
Chiêu bài hoàn tiền
Hoạt động
tronfund.net
Mồi quỹ
Hoạt động
trxfund.pro
Mồi quỹ
Hoạt động
trxairdrop.io
Mồi nhử airdrop
Hoạt động
trondrop.org
Mồi nhử airdrop
Hoạt động
tronreward.com
Mồi thưởng
Hoạt động
tronreward.net
Mồi thưởng
Hoạt động
tronrefund.net
Chiêu bài hoàn tiền
Hoạt động
trxfund.org
Mồi quỹ
Hoạt động
trxdrop.com
Mồi nhử airdrop
Hoạt động
trxdrop.org
Mồi nhử airdrop
Hoạt động
trongiving.com
Mồi câu tặng miễn phí
Hoạt động
tronclaims.com
Chiêu bài quảng cáo
Hoạt động
trondrop.pro
Mồi nhử airdrop
Hoạt động
NiceCrypto: Cỗ máy hoa hồng 80%
Quy trình hoa hồng của dịch vụ “Drainer-as-a-Service”: 80% cho nhà điều hành liên kết, 20% phí cho nhà phát triển — từ ví của nạn nhân qua hợp đồng thông minh đến quá trình rửa tiền.
NiceCrypto hoạt động dựa trên một nguyên tắc đơn giản: trả cho các đối tác liên kết mức hoa hồng cao nhất trên thị trường dịch vụ “drainer”, và họ sẽ thu hút các nạn nhân. Với mức hoa hồng 80%, NiceCrypto cung cấp tỷ lệ chia sẻ hoa hồng hào phóng nhất mà chúng tôi từng ghi nhận trong bất kỳ hoạt động "drainer-as-a-service" nào. Nhà điều hành chỉ giữ lại 20% — một biên lợi nhuận cực kỳ mỏng chỉ có thể hoạt động hiệu quả khi quy mô đủ lớn.
Cách tính rất đơn giản. Nếu một đối tác liên kết rút cạn một ví chứa 1.000 đô la dưới dạng token, họ sẽ giữ lại 800 đô la. NiceCrypto thu về $200. Với tổng số tiền thanh toán cho các đối tác liên kết được ghi nhận là $8,454+, hoạt động này đã xử lý ít nhất $42,270 tiền bị đánh cắp — và con số này chỉ tính đến các khoản thanh toán mà chúng ta có thể quan sát trực tiếp trên chuỗi khối.
Mô hình doanh thu: Phân chia theo tỷ lệ 80/20
$8,454+ Số tiền được ghi nhận trong các khoản thanh toán cho các đối tác liên kết chỉ là mức tối thiểu, chứ không phải mức tối đa. Với tỷ lệ hoa hồng dành cho đối tác liên kết là 80%, tổng số tiền bị đánh cắp được xử lý qua NiceCrypto vượt quá $42,000 mức tối thiểu. Con số thực tế có thể cao hơn đáng kể, vì không phải tất cả các giao dịch đều được ghi nhận trong phạm vi theo dõi của chúng tôi.
Mở rộng đa chuỗi
NiceCrypto khởi đầu trên TRON, nhưng các tệp cấu hình được khôi phục từ hạ tầng của họ cho thấy họ đang tích cực mở rộng sang Solana, Các chuỗi tương thích với EVM (Ethereum, BSC, Polygon), và TON. Bốn hệ sinh thái blockchain được quản lý thông qua một bảng điều khiển duy nhất.
Sự hiện diện trên diễn đàn
NiceCrypto tuyển dụng các đối tác liên kết thông qua wwh2club.to, một diễn đàn tội phạm mạng nổi tiếng. Bot Telegram của họ @NCsetup_bot quản lý quá trình tiếp nhận — các đối tác mới sẽ nhận được một bộ công cụ đã được cấu hình sẵn chỉ trong vài phút sau khi liên hệ.
Kết nối WasabiSquad
Tên miền trang web của NiceCrypto wasabihub.one đặt ra câu hỏi về khả năng có mối liên hệ với chiến dịch WasabiSquad. Việc đây là cơ sở hạ tầng chung, một đợt đổi tên thương hiệu hay chỉ là sự trùng hợp ngẫu nhiên thì cần phải điều tra thêm.
Tự động hóa Telegram
Bot @NCsetup_bot tự động hóa việc quản lý các đối tác liên kết: triển khai bộ dụng cụ thu gom, theo dõi hoa hồng và phân phối tiền hoa hồng. Nhà điều hành hiếm khi cần phải tương tác trực tiếp với các đối tác liên kết.
Các chỉ số IOC của NiceCrypto
Bot Telegram:@NCsetup_bot Trang web:wasabihub.one Diễn đàn:wwh2club.to Hoa hồng liên kết: 80% Các khoản thanh toán đã được ghi nhận: $8,454+ Chuỗi: TRON (đang hoạt động), Solana (đang mở rộng), EVM (đang mở rộng), TON (đang mở rộng)
80% dành cho các đối tác liên kết. Chúng tôi giữ lại 20%. Bạn mang lại lưu lượng truy cập, chúng tôi lo phần mã nguồn. Quá trình thiết lập chỉ mất 5 phút.
-- Quảng cáo của NiceCrypto trên wwh2club.to
717Team: Đã lưu trữ = Disruption Works
717Team là minh chứng cho thấy các hoạt động này có thể bị ngăn chặn. Với 125 thành viên và 85 ví tiền điện tử bị theo dõi, 717Team là một nhóm lừa đảo quy mô trung bình, vận hành hơn 12 tên miền lừa đảo. Tổng số tiền bị rút xác nhận là 2.946,25 USD có thể trông không đáng kể so với các hoạt động quy mô lớn hơn, nhưng điều quan trọng thực sự nằm ở kết quả: đã lưu trữ.
Trong hệ thống theo dõi của chúng tôi, thuật ngữ “đã lưu trữ” có nghĩa là hoạt động đó đã bị gián đoạn đến mức phải ngừng hẳn. Các tên miền đã bị gỡ bỏ. Cơ sở hạ tầng đã bị phá hủy. Người quản trị đã bị lộ danh tính. 717Team không tự nguyện ngừng hoạt động. Nhóm này đã bị đóng cửa thông qua việc báo cáo phối hợp, gỡ bỏ tên miền và chia sẻ thông tin tình báo với các đối tác bảo mật blockchain.
Đã xác nhận sự gián đoạn
Tình trạng “ĐÃ LƯU TRỮ” của 717Team không phải là nhãn hiệu mà chúng tôi gắn một cách tùy tiện. Điều này có nghĩa là hoạt động của nhóm đã bị gián đoạn liên tục trên nhiều phương diện: gỡ bỏ tên miền, báo cáo từ nhà cung cấp dịch vụ lưu trữ, cảnh báo ví điện tử và việc lộ danh tính quản trị viên. Chi phí để duy trì hoạt động đã vượt quá doanh thu. Đó chính là hình ảnh của một chiến dịch gây gián đoạn thành công.
Quản trị viên: @imdebank
Tài khoản Telegram của quản trị viên @imdebank (ID người dùng: 7149807602) đã được liên kết với Đội Rublevka, một mạng lưới lừa đảo bằng tiếng Nga hoạt động độc lập, từng được ghi nhận trong cuộc điều tra về TON của chúng tôi. Việc chia sẻ quản trị viên giữa các hoạt động là một mô hình thường xuyên lặp lại.
Quy mô mạng
125 thành viên được theo dõi qua các nhóm Telegram. 85 chiếc ví được xác định thông qua phân tích trên chuỗi. $2,946.25 Đã xác nhận đã rút hết. 717Team được tuyển dụng thông qua lolz.live, một diễn đàn về tội phạm mạng bằng tiếng Nga.
Cơ sở hạ tầng tên miền
Hơn 12 tên miền, bao gồm checkscore.cc, cryptomus-payment.com, check-score.ru, v.v. Nhiều nhà đăng ký tên miền được sử dụng nhằm chống lại các đợt Gỡ bỏ có phối hợp.
Hoạt động của bot
Bot Telegram @team717_bot quản lý việc phối hợp với các đối tác liên kết, theo dõi nạn nhân và phân phối tiền thưởng. Bot này đã bị vô hiệu hóa trong khuôn khổ nỗ lực ngăn chặn hoạt động này.
717Team IOCs
Quản trị viên:@imdebank (ID: 7149807602) Nhóm liên kết: Đội Rublevka Bot:@team717_bot Diễn đàn:lolz.live Thành viên: 125 xe xích Ví: 85 trường hợp đã được xác định Đã xác nhận cạn kiệt: $2,946.25 Trạng thái:ĐÃ LƯU TRỮ (Bị gián đoạn)
Chống phân tích: Có tồn tại nhưng rất dễ vượt qua
TRXDrop triển khai hai kỹ thuật chống phân tích vốn là những phương pháp tiêu chuẩn trong bộ công cụ của các nhóm khai thác. Cả hai đều được thiết kế để gây khó khăn cho việc kiểm tra sơ bộ. Tuy nhiên, cả hai đều không tạo ra trở ngại đáng kể nào đối với các nhà phân tích có kinh nghiệm.
Bẫy gỡ lỗi
A setInterval Vòng lặp được kích hoạt cứ sau 1.000 mili giây, thực thi một debugger lời thông báo. Khi DevTools đang mở, điều này sẽ liên tục tạm dừng quá trình thực thi, khiến trang web trông như bị đơ. Đường vòng: Tắt các điểm dừng trong DevTools (Ctrl+F8) hoặc sử dụng tùy chọn “Không bao giờ tạm dừng tại đây” trong menu ngữ cảnh. Tổng thời gian bỏ qua: 2 giây.
Chiếm quyền điều khiển máy chơi game
Mã này sẽ ghi đè lên console.log, console.warn, và console.error bằng các hàm rỗng để ẩn kết quả đầu ra. Thật trớ trêu, bởi lẽ chính nhà phát triển lại để lại hơn 30 câu lệnh gỡ lỗi mà những hàm ghi đè này được thiết kế để ẩn đi. Đường vòng: Lưu lại tham chiếu đến các phương thức console gốc trước khi trang được tải, hoặc sử dụng API console tích hợp sẵn của trình duyệt. Tổng thời gian bỏ qua: 5 giây.
Giờ của những người nghiệp dư
Sự kết hợp giữa mã do AI tạo ra, các lệnh gỡ lỗi trong môi trường sản xuất, mã hóa XOR tĩnh và các biện pháp chống phân tích có thể dễ dàng vượt qua đã vẽ nên một bức tranh rõ ràng: Người điều hành TRXDrop không phải là một nhà phát triển có tay nghề cao. Họ là một kẻ lừa đảo đã mua một bộ công cụ “drainer” và yêu cầu một mô hình ngôn ngữ lớn (LLM) tùy chỉnh nó. Mối nguy hiểm không nằm ở mức độ tinh vi — mà nằm ở tính dễ tiếp cận. Khi rào cản gia nhập chỉ là “bạn có thể gõ một lời nhắc hay không”, số lượng người điều hành sẽ tăng theo cấp số nhân.
Mô hình này diễn ra nhất quán trong toàn bộ hệ sinh thái “dịch vụ xả dữ liệu” (drainer-as-a-service). Các nhà phát triển bộ công cụ (trong trường hợp này là Angel Drainer) sở hữu năng lực kỹ thuật thực sự. Trong khi đó, các nhà phân phối và đối tác liên kết triển khai các bộ công cụ này thường lại không có năng lực đó. Lớp chống phân tích tồn tại không phải vì những kẻ điều hành hiểu biết về nghiên cứu bảo mật — mà bởi vì bộ công cụ được cung cấp với tính năng này được kích hoạt theo mặc định.
Bằng chứng và Thông tin tình báo nguồn
Tất cả các bằng chứng được đề cập trong cuộc điều tra này đều được lưu trữ trong kho lưu trữ PhishDestroy ScamIntelLogs. Mỗi chiến dịch đều có một thư mục riêng chứa các tệp cấu hình, đoạn mã nguồn, danh sách tên miền, địa chỉ ví và thông tin tình báo từ Telegram.
Bằng chứng về TRXDrop
15 tên miền, mã nguồn, khóa XOR, ID WalletConnect, kênh Telegram của nhà điều hành, địa chỉ ví.
Tất cả các địa chỉ ví, danh sách tên miền và mã định danh nhà điều hành được công bố trong báo cáo này đã được chia sẻ với các nhóm bảo mật blockchain và các đơn vị đăng ký tên miền có liên quan trước khi xuất bản. Mã dự án WalletConnect đã được báo cáo để thu hồi. Nếu quý vị đang vận hành cơ sở hạ tầng bị ảnh hưởng bởi các chỉ số IOC này, vui lòng liên hệ với chúng tôi qua @PhishDestroy_bot.
Bảo vệ ví của bạn
Dịch vụ “Drainer-as-a-service” đang ngày càng mở rộng quy mô. Rào cản gia nhập thị trường chỉ là một tin nhắn trên Telegram và vài trăm đô la. Việc bảo vệ bản thân bắt đầu từ nhận thức.
Đừng bao giờ ký tên một cách mù quáng
Nếu một trang web liên tục yêu cầu xác nhận đăng nhập, hãy đóng trang đó ngay lập tức. Các chương trình airdrop hợp pháp không bao giờ yêu cầu người dùng phê duyệt token không giới hạn.
Kiểm tra trước khi kết nối
Kiểm tra tuổi đời tên miền, xác minh thông qua các kênh chính thức của dự án và sử dụng ví tạm thời để nhận bất kỳ phần thưởng airdrop nào.
Sử dụng ví phần cứng
Hãy lưu trữ số lượng lớn tài sản trên ví phần cứng. Đừng bao giờ kết nối ví chính của bạn với các trang web chưa được xác minh.
Thông báo về tính minh bạch. PhishDestroy là một dự án độc lập, phi thương mại. Các nghiên cứu của chúng tôi có thể phản ánh sự thiên vị vốn có đối với cơ sở hạ tầng lừa đảo và các dịch vụ hỗ trợ cho hoạt động này. Chúng tôi khuyến khích độc giả đánh giá tất cả các tài liệu một cách khách quan và độc lập. Xem toàn văn tuyên bố về tính minh bạch của chúng tôi →