9步攻击链:从虚假空投到钱包被清空
每一起加密货币盗币事件都遵循着可预测的流程。所谓“即服务式盗币”操作之所以危险,并非源于其创新性,而是源于其规模。同一条攻击链被复制到数十个域名上,每个域名都成了针对毫无防备的受害者的全新陷阱。以下是从 TRXDrop 源代码中提取的具体流程,按步骤逐一说明。
完整的“排水器”攻击流程
这条9步链是根据反编译后的TRXDrop源代码重建的。每个步骤都在ScamIntelLogs代码库中附有相应的代码引用说明。
9步加密货币钓鱼攻击链——从虚假空投广告到钱包资金被清空,再到洗钱。 1虚假空投广告
受害者看到一条推广帖子或Telegram消息,宣传TRX/SOL空投活动。域名示例:trx-drop.com、tronrefund.com、trxairdrop.io。
2登陆页面
该页面设计专业,模仿了TRON基金会官方空投活动。倒计时器和虚假的领取计数器营造出紧迫感。
3WalletConnect 提示
网站使用被盗的Project ID启动WalletConnect fbf5b42d9006502246e73447f5d50e33. 受害者将自己的钱包连接上去,以为这是
申领所需的步骤。
4
权限请求
Drainer 请求了广泛的代币权限。签名提示
故意写得含糊不清,以掩盖
实际批准的内容。
5
代币审批
受害者签署了一份
approve()
该交易授予“drainer”合约对特定代币的
无限支出
权限。
6
setApprovalForAll
第二次交易调用
setApprovalForAll(),从而使攻击者能够控制钱包中的 NFT 以及所有类型的代币
。
7
转让代币
立即联系排水服务商
transferFrom()
将所有已批准的代币转移到攻击者的收藏夹
钱包中。
8
“掏空钱包”
原生链代币(TRX、SOL)最后转出。
钱包将被彻底清空。如果受害者拒绝,
转出者将重试最多 50次 在
允许转义之前。
9
向运营商支付的款项
被盗资金会被转入运营商的钱包。TRXDrop
每次转出会收取 30 TRX 的佣金。剩余部分则归
部署了钓鱼页面的联盟成员所有。
50 次强制重试
如果受害者在签名提示中点击“拒绝”,TRXDrop
代码会立即重新触发该请求。该循环会不断重复
50次 在允许受害者关闭
该模态窗口之前。大多数用户在尝试3到5次后就会放弃并登录,
认为网站是出了故障,而非恶意行为。这并非
一个漏洞,而是设计使然。
TRXDrop 深度解析:AI 生成的代码
生产环境中包含 30 多个调试语句
TRXDrop API 未经过身份验证即对外开放——任何拥有该 URL 的人
均可读取钱包日志、支付数据和运营商 ID。
TRXDrop 是一个针对 TRON 和 Solana
钱包的“Angel Drainer”转售者。该操作的独特之处并不在于其复杂性——恰恰
相反。 源代码中显露出了
AI辅助开发的明显特征:结构重复、注释冗长,
而最能说明问题的是,超过30个 console.log 生产代码中残留的调试语句。
这些并非经验丰富的开发者的作为。这分明是某人让大型语言模型(LLM)生成了一段低效代码,然后未经审查就直接部署了该代码所留下的痕迹。
AI生成的代码标记
TRXDrop 的代码库包含 30 多个 console.log 生产构建中的调试语句。诸如 console.log("Attempting wallet connection...") 以及 console.log("Approval transaction sent") 随处可见。没有哪位专业开发人员——也没有哪位经验丰富的犯罪分子——会将调试日志部署到生产环境。这是未经处理的大语言模型(LLM)输出结果,被原样部署了。
异或(XOR)加密密钥
drainer 前端与后端面板之间的所有通信均使用硬编码的 XOR 密钥进行加密: TRX_SECURE_2024_PANEL_KEY. 使用静态密钥的异或(XOR)运算显然是可以逆向的——这又是“复制粘贴式”开发的另一个迹象。
加密货币盗取工具管理面板 v1.2 显示:1,337 名受害者,被盗金额 12,450 美元,关联钱包及实时盗取日志——曝光 WalletConnect 滥用
WalletConnect 项目 ID fbf5b42d9006502246e73447f5d50e33 已嵌入所有15个以上的领域中。只要该项目ID被撤销一次,整个TRXDrop网络中的钱包连接将同时失效。
50 次强制重试
签名提示循环会重试50次,之后才会允许受害者退出。这种施加心理压力的手段是硬编码的,联盟成员无法进行配置——这是“Angel Drainer”工具包的一项核心功能。
30 TRX 佣金
每次成功的资金转移都会向运营者钱包支付30 TRX的手续费。按当前汇率计算,每名受害者约需支付7至8美元——如此低的利润率表明,该行动更依赖于交易量而非单笔交易金额。
运营商智能
Telegram: @STNlRAWbIaFLiH (用户 ID: 6823931109)
收藏钱包: TRAGn9E6hbTiQrYG5V4sk1gNv3JaWHSxak
目标链: TRON、Solana
排水套件: Angel Drainer(转售/定制版)
TRXDrop 域名基础设施(15+ 个域名)
| 域名 | 类型 | 状态 |
|---|
trx-drop.com | 主要着陆点 | 有效 |
tronrefund.com | 退款诱饵 | 有效 |
tronfund.net | 基金诱饵 | 有效 |
trxfund.pro | 基金诱饵 | 有效 |
trxairdrop.io | 空投诱饵 | 有效 |
trondrop.org | 空投诱饵 | 有效 |
tronreward.com | 奖励诱饵 | 有效 |
tronreward.net | 奖励诱饵 | 有效 |
tronrefund.net | 退款诱饵 | 有效 |
trxfund.org | 基金诱饵 | 有效 |
trxdrop.com | 空投诱饵 | 有效 |
trxdrop.org | 空投诱饵 | 有效 |
trongiving.com | 赠品诱饵 | 有效 |
tronclaims.com | 索赔诱饵 | 有效 |
trondrop.pro | 空投诱饵 | 有效 |
NiceCrypto:80%佣金赚钱机器
“排水器即服务”的佣金流向:80%归联盟运营商,20%为开发者费用——资金从受害者钱包经由智能合约流向洗钱环节。 NiceCrypto 的运营基于一个简单的理念:向联盟成员提供“资金抽走服务”市场中最高的佣金,他们就会带来受害者。 NiceCrypto 提供的 80% 佣金比例,是我们迄今记录到的所有“排水即服务”(Drainer-as-a-Service)运营中最为慷慨的联盟分成比例。运营商仅保留 20%——这微薄的利润率只有在规模化运营时才可行。
这笔账很简单。如果一名联盟成员清空了一个内含1,000美元代币的钱包,他们就能拿到800美元。 NiceCrypto 收取 200 美元。根据记录在案的 8,454 美元以上的联盟佣金支付,该操作至少处理了 42,270 美元的被盗资金——而这一数字仅统计了我们能在链上直接观察到的支付。
收入模式:80/20分成
$8,454+ 记录在案的向联盟成员支付的款项仅为下限,而非上限。按80%的联盟分成比例计算,NiceCrypto处理的被盗资金总额超过 $42,000 最低值。实际数字很可能远高于此,因为并非所有交易都纳入了我们的监测范围。
多链扩展
NiceCrypto 最初在 TRON 上启动,但从其基础设施中恢复的配置文件显示,该项目正在积极向 索拉纳, EVM兼容链 (以太坊、BSC、Polygon),以及 TON. 四个区块链生态系统集成于一个排水面板之下。
论坛活跃度
NiceCrypto 通过以下方式招募联盟合作伙伴: wwh2club.to,一个众所周知的网络犯罪论坛。他们的Telegram机器人 @NCsetup_bot 负责新成员的入职流程——新加入的联盟成员在联系后数分钟内即可收到预先配置好的入门套件。
WasabiSquad 连接
NiceCrypto 的网站域名 wasabihub.one 这引发了人们对该组织与“WasabiSquad”行动之间可能存在关联的质疑。这究竟是基础设施共享、更名,还是巧合,尚需进一步调查。
Telegram 自动化
机器人 @NCsetup_bot 实现联盟营销管理的自动化:包括排水套件的部署、佣金追踪以及款项发放。运营商几乎无需与联盟成员直接接触。
NiceCrypto IOCs
Telegram 机器人: @NCsetup_bot
网站: wasabihub.one
论坛: wwh2club.to
联盟佣金: 80%
有记录的支付金额: $8,454+
链: TRON(活跃),Solana(正在扩展),EVM(正在扩展),TON(正在扩展)
80% 归联盟成员所有。我们保留 20%。您负责引流,我们负责代码。设置只需 5 分钟。
-- wwh2club.to 上的 NiceCrypto 广告
717Team:存档 = 颠覆性创新
717Team 证明了此类活动是可以被制止的。该团队拥有 125 名成员和 85 个被追踪的钱包,是一个运营着 12 个以上钓鱼域名的中型“抽水”团伙。 经确认的洗钱总额为 2,946.25 美元,与规模更大的团伙相比看似微不足道,但真正的关键在于结果: 已归档.
在我们的追踪系统中,“已归档”意味着该行动已被彻底打断直至终止。域名已被关停,基础设施已被摧毁,管理员身份已曝光。717Team并非自愿关停,而是通过协调举报、域名关停以及与区块链安全合作伙伴的情报共享而被关停的。
已确认服务中断
717Team被标记为“已存档”的状态,绝非我们轻率给出的标签。这意味着该项目在多个层面遭遇了持续的打击:域名关停、主机服务商举报、钱包被标记,以及管理员身份曝光。该项目的持续运营成本已超过其收入。这正是成功打击的体现。
管理员:@imdebank
Telegram管理员账号 @imdebank (用户 ID: 7149807602) 已被证实与……有关 鲁布廖夫卡团队,这是一个此前在我们对TON的调查中曾有记录的独立俄语诈骗网络。跨组织管理员共享是一种反复出现的模式。
网络规模
125名成员 在Telegram群组中被追踪到。 85个钱包 通过链上分析识别出来。 $2,946.25 已确认已清空。717Team通过以下方式招募: lolz.live,一个俄语网络犯罪论坛。
域名基础设施
12个及以上域名,包括 checkscore.cc, cryptomus-payment.com, check-score.ru,等等。使用多个域名注册商,试图抵御协调一致的关停行动。
机器人操作
Telegram 机器人 @team717_bot 负责协调联盟成员、追踪受害者以及分配款项。作为打击行动的一部分,该机器人已被停用。
717Team IOCs
管理员: @imdebank (ID: 7149807602)
关联组: 鲁布廖夫卡团队
机器人: @team717_bot
论坛: lolz.live
成员: 125 条记录
钱包: 已确认85例
已确认耗尽: $2,946.25
状态:已归档(中断)
反分析:虽存在但极易绕过
TRXDrop 部署了两种在“drainer”工具包中属于标准配置的反分析技术。这两种技术都旨在干扰日常检查,但对受过专业训练的分析师而言,均不构成实质性障碍。
调试器陷阱
A setInterval 该循环每 1,000 毫秒触发一次,执行一个 debugger 语句。当DevTools打开时,这会不断暂停执行,导致页面看起来像是卡住了。 旁路: 在DevTools中禁用断点(Ctrl+F8) 或使用右键菜单中的“永不在此处暂停”选项。总跳过时间:2 秒。
控制台劫持
该代码会覆盖 console.log, console.warn,以及 console.error 使用空函数来抑制输出。这颇具讽刺意味,因为开发者留下了30多条调试语句,而这些重写函数正是为了隐藏这些语句而设计的。 旁路: 在页面加载之前保存原始控制台方法的引用,或者使用浏览器的原生控制台 API。总绕过时间:5 秒。
业余时间
AI生成的代码、生产环境中的调试语句、静态异或(XOR)加密以及轻而易举就能绕过的反分析措施,这些因素综合起来表明:TRXDrop的运营者并非技术娴熟的开发者。他们只是购买了“资金抽走套件”,并让大型语言模型(LLM)对其进行定制的诈骗分子。 其危险之处不在于技术复杂性,而在于门槛之低。当参与门槛仅是“能否输入一个提示词”时,此类操作者的数量便会呈指数级增长。
这种模式在“排水器即服务”生态系统中普遍存在。套件开发者(本例中为 Angel Drainer)具备真正的技术能力,而部署这些套件的经销商和联盟合作伙伴往往并不具备。反分析层的存在并非因为运营者懂安全研究——而是因为该套件出厂时默认启用了该功能。
证据与情报来源
本次调查中提及的所有证据均保存在 PhishDestroy ScamIntelLogs 存储库中。每项行动都有一个独立的目录,其中包含配置文件、源代码片段、域名列表、钱包地址以及 Telegram 情报。
TRXDrop 证据
15个域名、源代码、XOR密钥、WalletConnect ID、Telegram运营群、钱包地址。
在 GitHub 上查看 负责任的披露
本报告中公布的所有钱包地址、域名列表和运营商标识符,均已在发布前与相关区块链安全团队和域名注册商共享。WalletConnect 项目 ID 已上报以进行撤销。如果您运营的基础设施受到这些 IOC 的影响,请通过以下方式联系我们: @PhishDestroy_bot.
保护您的钱包
“排水即服务”正在迅速扩张。进入该领域的门槛仅需一条Telegram消息和几百美元。防范的第一步在于提高警惕。
切勿盲目签字
如果某个网站反复弹出签名提示,请立即关闭该网站。正规的空投绝不会要求用户进行无限次的代币授权。
连接前请确认
检查域名年龄,通过项目官方渠道进行核实,并使用一次性钱包领取空投奖励。
使用硬件钱包
将大额资产存放在硬件钱包中。切勿将您的主钱包连接到未经验证的网站。