跳转至主要内容
返回新闻
多起案件调查

诈骗者并非黑客:剖析4个后端系统,均被轻而易举地攻破

Firebase · Supabase · Express.js · Drainer-as-a-Service · 2026年2月

诈骗基础设施曝光
19,000+
助记词被盗(1次活动)
4
后端已完全访问
0
需要身份验证
267+
相关钓鱼域名

 免责声明:此为分析,而非攻击

本文中介绍的所有内容都是 被动分析与公开数据. 没有任何系统遭到入侵,也没有任何身份验证被绕过。在每起案例中,都是诈骗者自身的配置错误,导致其基础设施、受害者数据以及运营身份暴露给任何稍加查看的人。每个 API 密钥都出现在公开的 JavaScript 打包文件中。 每个数据库都因运营者自身的设计而完全敞开。我们记录这些并非为了攻击——而是为了证明,那些窃取你加密货币的人 连自己的工具都保管不好.

 核心论点:利用盗取工具的“脚本小子”

在公众的想象中,一直存在这样一个误解:网络诈骗者就是“黑客”——一群凭借高超技巧和精湛手段入侵系统的技术高手。 这是错误的。

如今的加密货币诈骗分子是 使用购买的工具包的“脚本小子”. 他们花200至500美元购买“Drainer即服务”套餐,将其部署在免费或低成本的主机上,然后祈祷受害者不会察觉。他们不会编写代码,也不懂网络知识,更不用说安全了。

我们之所以知道这一点,是因为在2026年2月,PhishDestroy对……进行了分析 4起独立诈骗活动 ——而且在每一种情况下,我们本可以:

无需利用漏洞。无需零日漏洞。无需“黑客攻击”。只需 打开了他们没锁的前门.

 案例 1:幽灵 API — server0002.mn19indexpre.xyz

 Apache 上的 Express.js,毫无真正的安全性可言

无需身份验证未进行输入验证无速率限制CORS:*
参数
域名server0002.mn19indexpre.xyz
IP地址108.181.185.225
服务器堆栈Apache/2.4.58(Ubuntu)→ Express.js(Node.js)
SSH 横幅SSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13.11
TLS 签发者Let's Encrypt (E7),有效期为2026年1月至4月
DNS 注册商GoDaddy (ns39/ns40.domaincontrol.com)
电子邮件 (MX)mn19indexpre-xyz.mail.protection.outlook.com
Microsoft 租户NETORGFT19090185.onmicrosoft.com
开放端口22(SSH)、80(HTTP→301)、443(HTTPS)

 “身份验证”——一个笑话

该 API 随附了一个硬编码的 Bearer 令牌: thisisakeyforsecureserver. 但关键在于—— 该令牌实际上并未经过验证:

// No auth header → accepted POST / HTTP/1.1 Content-Type: application/json {"subject":"test","domain":"test","messages":["ping"]} → {"success":true}// Wrong token → also accepted 授权:持有人 wrong_token_completely → {"success":true}// Any content type → also accepted Content-Type: text/xml, text/plain, multipart/form-data → {"success":true}

 零输入验证

我们测试的每个注入有效载荷均被默默接受:

// SQL injection 主题: "' OR 1=1--"→ 已接受 主题: "'; DROP TABLE messages;--"→ 已接受// SSTI (Server-Side Template Injection) 主题: "{{7*7}}"→ 已接受 主题: "{{config}}"→ 已接受 主题: "{{self.__class__}}"→ 已接受// SSRF (Server-Side Request Forgery) 域名: “http://169.254.169.254/latest/meta-data/”→ 已接受 域名: "file:///etc/passwd"→ 已接受// XSS stored payload 主题: "<script>alert(1)</script>"→ 已接受

 性能指纹

无论有效载荷大小如何(接受10字节至10 MB),POST请求的响应时间始终保持在约7.5秒,这表明后端可能采用了电子邮件转发或Webhook中继机制。GET请求的响应时间为0.6秒。10个并行请求在9.1秒内完成——未实施速率限制。

 去匿名化风险

Microsoft 365 租户 ID NETORGFT19090185 是一个 该组织的账户直接链接 注册了该域名的运营商。结合 GoDaddy 的注册记录以及一个专用 IP 地址(未通过 CDN 转发),该运营商是 可轻易识别 通过合法渠道。SPF记录(include:secureserver.net) 证实了 GoDaddy 电子邮件托管服务——所有电子邮件元数据均可通过传票获取。

 案例 2:Firebase 完全开放 — web3ledgar.com

 没有安全规则的 Firestore

FIRESTORE 规则:开放所有受害者数据均可读取公共 JavaScript 中的 API 密钥12名受害者身份曝光
参数
网络钓鱼域名web3ledgar.com (“Ledger”的拼写变体)
备用域名web3.ledgerscore.ltd
Firebase 项目web3ledger-210ab
API密钥AIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8
应用 ID1:1054258933515:web:9fb193fcd0093023f7fc0e
JS 打包文件/static/js/main.7a5ec2fa.js
Firestore 规则完全开放——无需身份验证的读写操作
受害者总数共有 12 条记录 users 系列
找到的收藏集users, transactions

 受害者数据——任何人都可以完全访问

向 Firestore REST API 发送的一次未经身份验证的 GET 请求返回了 每一条被盗的助记词:

GET /v1/projects/web3ledger-210ab/databases/(default)/documents/users?pageSize=300 → 200 OK→ 文件总数:12// Sample victim record (seed phrase redacted for safety) { "walletId": “W3L-65285520”, "walletType": “WalletConnect”, "电子邮件": “[已删除]@gmail.com”, “助记词”: "████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", "createdAt": "2026-02-15T00:14:52.804Z", “状态”: “active” }

在这12条记录中,有一条颇具启示性的条目——有人已经用……对该系统进行了测试 fbi@fbi.gov 正如那封电子邮件所示。诈骗者要么是在测试自己的系统(这有助于识别),要么是有人已经对该系统进行了探测。

 攻击流程

该钓鱼网站模仿了Ledger钱包的界面。受害者点击“连接钱包”→输入助记词→React前端直接将数据写入Firestore→诈骗者从同一开放数据库中读取数据。 完全没有后端服务器。 整个系统完全运行在谷歌的免费套餐上。

 去匿名化风险

Firebase 项目 ID web3ledger-210ab 以及应用 ID 1:1054258933515已关联 Google 账户. Google 会保存所有 Firebase 项目的计费记录、IP 日志和账户创建数据。执法部门只需向 Google 提出一次请求,即可查明运营者的身份。此外,由于 Firestore 规则完全开放,这意味着 我们本可以将记录写入他们的数据库,实时通知受害者,或彻底清除整个数据集。

 案例 3:Supabase 全功能 CRUD — web3safe-pal.com

 行级安全已禁用,GraphQL 完全开放

RLS 已禁用完整的 CRUD 访问权限支持 GraphQL边缘函数的公开俄语本地化
参数
网络钓鱼域名web3safe-pal.com (“SafePal”的拼写变体)
Supabase 项目gzqsadraigchwdhblavp
Anon Key 刊载于 /assets/index-b025f4a6.js (748 KB)
数据库表seeds — 读取、插入、更新、删除
GraphQL已启用完整内省功能和变体功能
边缘函数 send-wallet-import-email, send-email
电子邮件服务重新发送 API(环境变量中的 RESEND_API_KEY)
受害者记录ID 130–131(此前已删除 ID 129)
UI 语言 俄语(“Основной кошелек”、“Ваш кошелек загружается...”)

 完整数据库访问权限——读取、写入、删除

位于压缩后的 JavaScript 包中的 Supabase 匿名密钥可授予 完整的 CRUD 访问权限seeds 表格:

// READ — get all stolen seed phrases GET /rest/v1/seeds?select=*ℴ=id.asc → 200 OK [ {"id":130, "短语":"████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", "名称":“主钱包”}, {"id":131, "短语":"████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", "名称":“主钱包”} ] // INSERT — we can write to the scammer's database POST /rest/v1/seeds {"phrase":"PHISHDESTROY_WAS_HERE","name":"test"} → 已创建 201 个 {"id":132} // UPDATE via GraphQL mutation { updateseedsCollection(filter:{id:{eq:131}}, set:{name:"PhishDestroy was here"}) { affectedCount } } → {"受影响人数": 1}// DELETE via GraphQL mutation { deleteFromseedsCollection(filter:{id:{eq:131}}, atMost:1) { affectedCount } } → {"受影响人数": 1}

ID 从 130 开始 — 这意味着记录 1–129 此前已被操作员删除。至少有 131 组助记词曾通过该系统。

 边缘函数:电子邮件轨迹

有两个 Supabase Edge 函数处于活动状态。我们对该 send-email 通过测试有效载荷来验证函数的预期输入格式:

// Probing send-email endpoint {"seed":"test phrase","name":"test"} → 200 OK {"id":"f2749592-..."} {"seed_phrase":"...","wallet_name":"..."} → 400 “未提供种子数据。” {"phrase":"...","name":"..."} → 400 “未提供种子数据。”// The function accepts {seed, name} and sends to attacker via Resend API// Edge Function source (reconstructed from JS bundle):// NB.functions.invoke("send-wallet-import-email",// {body: {wallet_name, secret_phrase, ip_address}})

重新发送 API 密钥 (RESEND_API_KEY) 存储在 Supabase 环境变量中。Resend 保存发件人验证记录和计费数据—— 通往该运算符身份的另一条直接路径.

 去匿名化风险

俄语界面本地化内容(“Основной кошелек”、“Ваш кошелек загружается...”)表明 会说俄语的客服人员. Supabase 项目(gzqsadraigchwdhblavp) 与一个带有计费记录的账户相关联。重新发送电子邮件服务中包含收件人的电子邮件地址。通过 GraphQL 自查,可以查看到完整的数据库模式。我们演示了完全的写入权限—— 我们本可以将每个被盗的助记词替换为向受害者发出的警告信息,或者删除了整个表。操作员将无法恢复这些数据。

 案例 4:工业级排水器 — aipolypredictor.xyz

 5.8天内生成19,000个助记词

19K+ 种子被盗顺序作业ID无CORS限制DaaS KIT (defex.cc)已确认11个域名
参数
前端领域 aipolypredictor.xyz (“PolySniper | 领跑者内幕投注”)
C2 APIapi.yfhikblkhghdyteiuyf54.run
C2 IP地址 172.67.168.147, 104.21.26.231 (Cloudflare)
后端Express.js (Node.js) v1.0.0
注册员(前端)NiceNIC国际集团有限公司
注册员(C2)PDR 有限公司(PublicDomainRegistry.com)
正常运行时间约139小时(于约2026年2月10日21:00 UTC开始)
排水套件 CDN renderer-postcard.defex.cc (601 KB 混淆后的 JavaScript)
Telegram 机器人已启用,已集成通知功能
速率限制每60秒10次请求(仅发现此限制)

 通过顺序ID揭示的规模

最致命的错误: 顺序作业ID. 每次提交助记词都会返回一个递增的ID,从而使任何人都能计算出总交易量:

POST /api/check-seed-full { “助记词”: “此处为测试短语”, "bundleId": "88ef78f56e0837dd0339e40a882bf563", “深度”: 100, "域名": "aipolypredictor.xyz", "sourceInfo": {"walletName":“MetaMask”, “isBot”:false} } → {"success":true, "message":"已加入队列", "jobId":"19358"}// Next request: jobId 19359, then 19360...// ~19,000 seed phrases in ~139 hours = ~137 per hour

 多链架构

C2 服务器使用深度为 100 的派生路径,从所有主要区块链中派生密钥:

⛓️
被锁定的连锁店
ETH/BTC/SOL/XMR
🔑
推导深度
100
🌐
已验证域名
11
🕸️
defex.cc 相关链接
255+

 竞选基础设施

通过 Bundle ID 追踪到的、属于 2 个运营商集团的 11 个已确认域名:

应用包ID域名状态
88ef78f5...aipolypredictor.xyz直播
4446ea5d...solana.onspace.app, solxjup.onspace.app直播
defex.cc 套件 jup-v2.com, events-charizard.fun, events-llquid.fun, events-blackswan.fun, soljup.onspace.build 混合

 JavaScript 有效载荷分析

有三个经过混淆的 JS 有效载荷为该数据窃取程序服务:

  • wallet-connect.js (46 KB) — 处理钱包连接界面,拦截种子输入。采用字符串数组轮转混淆技术。
  • wallet-specific-modals.js (134 KB) — 包含 完整的 BIP39 英文单词列表 以及 门罗币词表 (1,626 词)。通过覆盖 console.log/trace 实现反调试。支持多钱包弹出窗口。
  • defex.cc/index.js (601 KB) — 采用 Unicode 混淆技术,变量名使用中文。包含 Solana 专用的资金转移逻辑。Base58 编码器、加密密钥派生原语。版本 3.0.0。

 去匿名化风险

CORS: * 标头和缺乏身份验证手段 任何人都可以提交请求并观察任务 ID 的递增情况 实时。通过集成Telegram机器人,运营商的Telegram账户会收到通知——而且Telegram的元数据可以被传唤调取。NiceNIC(前端域名注册商)是一家众所周知的“防查封”注册商,我们曾 此前已调查过,但 PDR 有限公司(C2 域名注册商) 确实会回应执法部门的请求. 该 defex.cc 该数据窃取套件服务于255个以上的域名——若defex.cc遭到入侵,将使整个DaaS运营及其所有客户信息暴露无遗。

 并列对比:4种操作,相同模式

公制 mn19indexpre
Express.js
web3ledgar
Firebase
web3safe-pal
Supabase
aipolypredictor
Drainer C2
身份验证无(该标记被忽略)JS 中的匿名键无(CORS:*)
数据可读消息/中继所有助记词所有助记词工作编号 / 规模
可写数据是(不限)是的是(完整的 CRUD 功能)是(提交)
输入验证极简
速率限制每60秒10次请求
可去匿名化MS365 租户Google 账户重新发送 + Supabase 计费PDR + Telegram
估计受害人数未知12131+19,000+
操作员语言未知英语俄语未知

 为什么诈骗者不是黑客

证据确凿。在全部4次行动中,我们都观察到了相同的模式:

 诈骗分子会做什么
  • 购买现成的沥水架套装(200–500美元)
  • 在免费套餐上部署(Firebase、Supabase)
  • 保持默认配置不变
  • 使用他们不会验证的硬编码令牌
  • 切勿启用 RLS,切勿限制 CORS
  • 在元数据中披露其自身身份
  • 使用能体现其规模的序列ID
 黑客会怎么做
  • 编写自定义数据外泄工具
  • 使用经过加密和身份验证的通信通道
  • 随机生成标识符,轮换基础设施
  • 实施适当的访问控制
  • 使用 Tor/代理链、匿名支付
  • 将运维身份与托管分离
  • 实施反取证技术

“排水服务”的典型客户是 一名手持信用卡的社会工程师,而不是技术操作员。他们知道如何注册域名,也知道如何将代码粘贴到主机控制面板中。但他们不知道如何:

这些对手并不高明。 这些人连数据库都配置不了。

 入侵指标(IOCs)

域名

# Case 1: Express.js API server0002.mn19indexpre.xyz # Case 2: Firebase Stealer web3ledgar.com web3.ledgerscore.ltd # Case 3: Supabase Stealer web3safe-pal.com # Case 4: Drainer Campaign aipolypredictor.xyz API.yfhikblkhghdyteiuyf54.run yfhikblkhghdyteiuyf54.run renderer-postcard.defex.cc solana.onspace.app solxjup.onspace.app jupag.onspace.app jupiverse.onspace.app stakepayment.icu jup-v2.com events-charizard.fun events-llquid.fun events-blackswan.fun soljup.onspace.build

IP地址

108.181.185.225 # Case 1 — Express.js (dedicated) 172.67.168.147 / 104.21.26.231 # Case 4 — C2 API (Cloudflare) 172.67.178.251 / 104.21.67.171 # Case 4 — Frontend (Cloudflare) 172.67.209.39 / 104.21.37.139 # Case 4 — defex.cc (Cloudflare) 43.130.171.152 / 43.130.171.225 # Case 4 — onspace domains (Tencent)

API 密钥和项目 ID

# Firebase (Case 2) 项目:web3ledger-210ab API密钥:AIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8 应用ID: 1:1054258933515:web:9fb193fcd0093023f7fc0e # Supabase (Case 3) 项目:gzqsadraigchwdhblavp 匿名密钥:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9... # Campaign Tracking (Case 4) 包 1:88ef78f56e0837dd0339e40a882bf563 包 2:4446ea5ddb308b2494db8ad4b12196c3 # Microsoft Tenant (Case 1) NETORGFT19090185.onmicrosoft.com

 结论:皇帝的新装

 要点

我们分析过的每一起诈骗活动都可能 完全遭到入侵、身份被曝光,并遭到破坏 仅使用网页浏览器、curl 以及公开可用的文档。在每起事件中,攻击者都将自己的数据库完全暴露在外,将 API 密钥留在公开的 JavaScript 文件中,将身份信息留在元数据中,并且受害者的数据对任何愿意查看的人都触手可及。

其中的道理很简单: 诈骗者并非黑客. 他们是一群 shoplifters,从 AliExpress 购买了一套开锁工具,却忘了锁好自家的大门。他们使用的工具虽然精良——因为是别人为他们制作的。而这些操作者本身却是业余爱好者,他们总是会将自己的基础设施、受害者的数据以及自身的身份信息,暴露给任何具备基本技术知识的人。

如果您曾在上述任何网站上输入过助记词——请假设您的钱包已遭入侵,并立即转移资金。

所有调查结果均已报告给相关服务提供商(Google/Firebase、Supabase、Cloudflare、域名注册商),并已记录在案以供执法部门参考。上述IOC已添加到 PhishDestroy 销毁列表.

分享此调查

X / Twitter Telegram Reddit 领英

相关调查

BUYTRX 内幕曝光:55 个域名及 TRON 授权资金窃取者
调查
BUYTRX 内幕曝光:55 个域名及 TRON 授权资金窃取者
加密货币盗币工具包:Angel Drainer 经销商曝光
深度调查
加密货币盗币工具包:Angel Drainer 经销商曝光
Keitaro TDS:1,500个面板被曝光,零正当用途
调查
Keitaro TDS:1,500个面板被曝光,零正当用途
透明度声明。 PhishDestroy 是一个非商业性的独立项目。我们的研究可能对诈骗基础设施及其相关服务存在固有的偏见。我们鼓励读者以批判性和独立的眼光评估所有内容。 阅读我们的完整透明度声明 →