诈骗者并非黑客:剖析4个后端系统,均被轻而易举地攻破
Firebase · Supabase · Express.js · Drainer-as-a-Service · 2026年2月

免责声明:此为分析,而非攻击
本文中介绍的所有内容都是 被动分析与公开数据. 没有任何系统遭到入侵,也没有任何身份验证被绕过。在每起案例中,都是诈骗者自身的配置错误,导致其基础设施、受害者数据以及运营身份暴露给任何稍加查看的人。每个 API 密钥都出现在公开的 JavaScript 打包文件中。 每个数据库都因运营者自身的设计而完全敞开。我们记录这些并非为了攻击——而是为了证明,那些窃取你加密货币的人 连自己的工具都保管不好.
核心论点:利用盗取工具的“脚本小子”
在公众的想象中,一直存在这样一个误解:网络诈骗者就是“黑客”——一群凭借高超技巧和精湛手段入侵系统的技术高手。 这是错误的。
如今的加密货币诈骗分子是 使用购买的工具包的“脚本小子”. 他们花200至500美元购买“Drainer即服务”套餐,将其部署在免费或低成本的主机上,然后祈祷受害者不会察觉。他们不会编写代码,也不懂网络知识,更不用说安全了。
我们之所以知道这一点,是因为在2026年2月,PhishDestroy对……进行了分析 4起独立诈骗活动 ——而且在每一种情况下,我们本可以:
- 读取所有被盗受害者数据 (助记词、电子邮件地址、IP地址、钱包类型)
- 已修改或已删除 诈骗分子的数据库
- 已识别出操作员 通过暴露的 API 密钥、电子邮件地址和基础设施指纹
- 重现了针对诈骗者的攻击 — 利用他们自己留下的那些漏洞
无需利用漏洞。无需零日漏洞。无需“黑客攻击”。只需 打开了他们没锁的前门.
案例 1:幽灵 API — server0002.mn19indexpre.xyz
Apache 上的 Express.js,毫无真正的安全性可言
| 参数 | 值 |
|---|---|
| 域名 | server0002.mn19indexpre.xyz |
| IP地址 | 108.181.185.225 |
| 服务器堆栈 | Apache/2.4.58(Ubuntu)→ Express.js(Node.js) |
| SSH 横幅 | SSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13.11 |
| TLS 签发者 | Let's Encrypt (E7),有效期为2026年1月至4月 |
| DNS 注册商 | GoDaddy (ns39/ns40.domaincontrol.com) |
| 电子邮件 (MX) | mn19indexpre-xyz.mail.protection.outlook.com |
| Microsoft 租户 | NETORGFT19090185.onmicrosoft.com |
| 开放端口 | 22(SSH)、80(HTTP→301)、443(HTTPS) |
“身份验证”——一个笑话
该 API 随附了一个硬编码的 Bearer 令牌: thisisakeyforsecureserver. 但关键在于—— 该令牌实际上并未经过验证:
零输入验证
我们测试的每个注入有效载荷均被默默接受:
性能指纹
无论有效载荷大小如何(接受10字节至10 MB),POST请求的响应时间始终保持在约7.5秒,这表明后端可能采用了电子邮件转发或Webhook中继机制。GET请求的响应时间为0.6秒。10个并行请求在9.1秒内完成——未实施速率限制。
去匿名化风险
Microsoft 365 租户 ID NETORGFT19090185 是一个 该组织的账户直接链接 注册了该域名的运营商。结合 GoDaddy 的注册记录以及一个专用 IP 地址(未通过 CDN 转发),该运营商是 可轻易识别 通过合法渠道。SPF记录(include:secureserver.net) 证实了 GoDaddy 电子邮件托管服务——所有电子邮件元数据均可通过传票获取。
案例 2:Firebase 完全开放 — web3ledgar.com
没有安全规则的 Firestore
| 参数 | 值 |
|---|---|
| 网络钓鱼域名 | web3ledgar.com (“Ledger”的拼写变体) |
| 备用域名 | web3.ledgerscore.ltd |
| Firebase 项目 | web3ledger-210ab |
| API密钥 | AIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8 |
| 应用 ID | 1:1054258933515:web:9fb193fcd0093023f7fc0e |
| JS 打包文件 | /static/js/main.7a5ec2fa.js |
| Firestore 规则 | 完全开放——无需身份验证的读写操作 |
| 受害者总数 | 共有 12 条记录 users 系列 |
| 找到的收藏集 | users, transactions |
受害者数据——任何人都可以完全访问
向 Firestore REST API 发送的一次未经身份验证的 GET 请求返回了 每一条被盗的助记词:
在这12条记录中,有一条颇具启示性的条目——有人已经用……对该系统进行了测试 fbi@fbi.gov 正如那封电子邮件所示。诈骗者要么是在测试自己的系统(这有助于识别),要么是有人已经对该系统进行了探测。
攻击流程
该钓鱼网站模仿了Ledger钱包的界面。受害者点击“连接钱包”→输入助记词→React前端直接将数据写入Firestore→诈骗者从同一开放数据库中读取数据。 完全没有后端服务器。 整个系统完全运行在谷歌的免费套餐上。
去匿名化风险
Firebase 项目 ID web3ledger-210ab 以及应用 ID 1:1054258933515 是 已关联 Google 账户. Google 会保存所有 Firebase 项目的计费记录、IP 日志和账户创建数据。执法部门只需向 Google 提出一次请求,即可查明运营者的身份。此外,由于 Firestore 规则完全开放,这意味着 我们本可以将记录写入他们的数据库,实时通知受害者,或彻底清除整个数据集。
案例 3:Supabase 全功能 CRUD — web3safe-pal.com
行级安全已禁用,GraphQL 完全开放
| 参数 | 值 |
|---|---|
| 网络钓鱼域名 | web3safe-pal.com (“SafePal”的拼写变体) |
| Supabase 项目 | gzqsadraigchwdhblavp |
| Anon Key | 刊载于 /assets/index-b025f4a6.js (748 KB) |
| 数据库表 | seeds — 读取、插入、更新、删除 |
| GraphQL | 已启用完整内省功能和变体功能 |
| 边缘函数 | send-wallet-import-email, send-email |
| 电子邮件服务 | 重新发送 API(环境变量中的 RESEND_API_KEY) |
| 受害者记录 | ID 130–131(此前已删除 ID 129) |
| UI 语言 | 俄语(“Основной кошелек”、“Ваш кошелек загружается...”) |
完整数据库访问权限——读取、写入、删除
位于压缩后的 JavaScript 包中的 Supabase 匿名密钥可授予 完整的 CRUD 访问权限 到 seeds 表格:
ID 从 130 开始 — 这意味着记录 1–129 此前已被操作员删除。至少有 131 组助记词曾通过该系统。
边缘函数:电子邮件轨迹
有两个 Supabase Edge 函数处于活动状态。我们对该 send-email 通过测试有效载荷来验证函数的预期输入格式:
重新发送 API 密钥 (RESEND_API_KEY) 存储在 Supabase 环境变量中。Resend 保存发件人验证记录和计费数据—— 通往该运算符身份的另一条直接路径.
去匿名化风险
俄语界面本地化内容(“Основной кошелек”、“Ваш кошелек загружается...”)表明 会说俄语的客服人员. Supabase 项目(gzqsadraigchwdhblavp) 与一个带有计费记录的账户相关联。重新发送电子邮件服务中包含收件人的电子邮件地址。通过 GraphQL 自查,可以查看到完整的数据库模式。我们演示了完全的写入权限—— 我们本可以将每个被盗的助记词替换为向受害者发出的警告信息,或者删除了整个表。操作员将无法恢复这些数据。
案例 4:工业级排水器 — aipolypredictor.xyz
5.8天内生成19,000个助记词
| 参数 | 值 |
|---|---|
| 前端领域 | aipolypredictor.xyz (“PolySniper | 领跑者内幕投注”) |
| C2 API | api.yfhikblkhghdyteiuyf54.run |
| C2 IP地址 | 172.67.168.147, 104.21.26.231 (Cloudflare) |
| 后端 | Express.js (Node.js) v1.0.0 |
| 注册员(前端) | NiceNIC国际集团有限公司 |
| 注册员(C2) | PDR 有限公司(PublicDomainRegistry.com) |
| 正常运行时间 | 约139小时(于约2026年2月10日21:00 UTC开始) |
| 排水套件 CDN | renderer-postcard.defex.cc (601 KB 混淆后的 JavaScript) |
| Telegram 机器人 | 已启用,已集成通知功能 |
| 速率限制 | 每60秒10次请求(仅发现此限制) |
通过顺序ID揭示的规模
最致命的错误: 顺序作业ID. 每次提交助记词都会返回一个递增的ID,从而使任何人都能计算出总交易量:
多链架构
C2 服务器使用深度为 100 的派生路径,从所有主要区块链中派生密钥:
竞选基础设施
通过 Bundle ID 追踪到的、属于 2 个运营商集团的 11 个已确认域名:
| 应用包ID | 域名 | 状态 |
|---|---|---|
88ef78f5... | aipolypredictor.xyz | 直播 |
4446ea5d... | solana.onspace.app, solxjup.onspace.app | 直播 |
| defex.cc 套件 | jup-v2.com, events-charizard.fun, events-llquid.fun, events-blackswan.fun, soljup.onspace.build | 混合 |
JavaScript 有效载荷分析
有三个经过混淆的 JS 有效载荷为该数据窃取程序服务:
- wallet-connect.js (46 KB) — 处理钱包连接界面,拦截种子输入。采用字符串数组轮转混淆技术。
- wallet-specific-modals.js (134 KB) — 包含 完整的 BIP39 英文单词列表 以及 门罗币词表 (1,626 词)。通过覆盖 console.log/trace 实现反调试。支持多钱包弹出窗口。
- defex.cc/index.js (601 KB) — 采用 Unicode 混淆技术,变量名使用中文。包含 Solana 专用的资金转移逻辑。Base58 编码器、加密密钥派生原语。版本 3.0.0。
去匿名化风险
该 CORS: * 标头和缺乏身份验证手段 任何人都可以提交请求并观察任务 ID 的递增情况 实时。通过集成Telegram机器人,运营商的Telegram账户会收到通知——而且Telegram的元数据可以被传唤调取。NiceNIC(前端域名注册商)是一家众所周知的“防查封”注册商,我们曾 此前已调查过,但 PDR 有限公司(C2 域名注册商) 确实会回应执法部门的请求. 该 defex.cc 该数据窃取套件服务于255个以上的域名——若defex.cc遭到入侵,将使整个DaaS运营及其所有客户信息暴露无遗。
并列对比:4种操作,相同模式
| 公制 | mn19indexpre Express.js | web3ledgar Firebase | web3safe-pal Supabase | aipolypredictor Drainer C2 |
|---|---|---|---|---|
| 身份验证 | 无(该标记被忽略) | 无 | JS 中的匿名键 | 无(CORS:*) |
| 数据可读 | 消息/中继 | 所有助记词 | 所有助记词 | 工作编号 / 规模 |
| 可写数据 | 是(不限) | 是的 | 是(完整的 CRUD 功能) | 是(提交) |
| 输入验证 | 零 | 零 | 零 | 极简 |
| 速率限制 | 无 | 无 | 无 | 每60秒10次请求 |
| 可去匿名化 | MS365 租户 | Google 账户 | 重新发送 + Supabase 计费 | PDR + Telegram |
| 估计受害人数 | 未知 | 12 | 131+ | 19,000+ |
| 操作员语言 | 未知 | 英语 | 俄语 | 未知 |
为什么诈骗者不是黑客
证据确凿。在全部4次行动中,我们都观察到了相同的模式:
- 购买现成的沥水架套装(200–500美元)
- 在免费套餐上部署(Firebase、Supabase)
- 保持默认配置不变
- 使用他们不会验证的硬编码令牌
- 切勿启用 RLS,切勿限制 CORS
- 在元数据中披露其自身身份
- 使用能体现其规模的序列ID
- 编写自定义数据外泄工具
- 使用经过加密和身份验证的通信通道
- 随机生成标识符,轮换基础设施
- 实施适当的访问控制
- 使用 Tor/代理链、匿名支付
- 将运维身份与托管分离
- 实施反取证技术
“排水服务”的典型客户是 一名手持信用卡的社会工程师,而不是技术操作员。他们知道如何注册域名,也知道如何将代码粘贴到主机控制面板中。但他们不知道如何:
- 配置 Firestore 安全规则(大约需要 2 分钟)
- 启用 Supabase 行级安全(约需 5 分钟)
- 验证并清理输入(预计耗时30分钟)
- 使用 UUID 代替顺序整数(只需一行代码)
- 将 CORS 限制在自身域名范围内(只需一行配置即可)
这些对手并不高明。 这些人连数据库都配置不了。
入侵指标(IOCs)
域名
IP地址
API 密钥和项目 ID
结论:皇帝的新装
要点
我们分析过的每一起诈骗活动都可能 完全遭到入侵、身份被曝光,并遭到破坏 仅使用网页浏览器、curl 以及公开可用的文档。在每起事件中,攻击者都将自己的数据库完全暴露在外,将 API 密钥留在公开的 JavaScript 文件中,将身份信息留在元数据中,并且受害者的数据对任何愿意查看的人都触手可及。
其中的道理很简单: 诈骗者并非黑客. 他们是一群 shoplifters,从 AliExpress 购买了一套开锁工具,却忘了锁好自家的大门。他们使用的工具虽然精良——因为是别人为他们制作的。而这些操作者本身却是业余爱好者,他们总是会将自己的基础设施、受害者的数据以及自身的身份信息,暴露给任何具备基本技术知识的人。
如果您曾在上述任何网站上输入过助记词——请假设您的钱包已遭入侵,并立即转移资金。
所有调查结果均已报告给相关服务提供商(Google/Firebase、Supabase、Cloudflare、域名注册商),并已记录在案以供执法部门参考。上述IOC已添加到 PhishDestroy 销毁列表.


