Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / DE / SCAM INFRASTRUCTURE EXPOSED

Betrüger entlarvt: 4 Betrugs-Backends unter der Lupe

The Enablers Registry·Editorial mirror·/de/scam-infrastructure-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Firebase · Supabase · Express.js · Drainer-as-a-Service · Februar 2026

Betrugsinfrastruktur aufgedeckt
19,000+
Gestohlene Seed-Phrasen (1 Kampagne)
4
Vollständiger Zugriff auf die Backends
0
Authentifizierung erforderlich
267+
Verlinkte Possibly phishing-Domains

 Haftungsausschluss: Analyse, kein Angriff

Alles, was in diesem Artikel vorgestellt wird, ist das Ergebnis von passive Analyse und öffentlich zugängliche Daten. Es gab keine Systemeinbrüche. Es wurde keine Authentifizierung umgangen. In jedem Fall waren die Infrastruktur, die Opferdaten und die betrieblichen Identitäten der Betrüger aufgrund ihrer eigenen Fehlkonfiguration für jeden einsehbar, der nur einen Blick darauf warf. Jeder API-Schlüssel war in öffentlichen JavaScript-Bundles zu finden. Jede Datenbank stand aufgrund der eigenen Konfiguration der Betreiber weit offen. Wir dokumentieren dies nicht, um anzugreifen – sondern um zu zeigen, dass die Leute, die Ihre Kryptowährung stehlen, können nicht einmal ihre eigenen Werkzeuge sicher aufbewahren.

 Die Kernthese: Script-Kiddies mit gestohlenen Tools

In der öffentlichen Wahrnehmung hält sich hartnäckig der Mythos, dass Online-Betrüger „Hacker“ seien – technische Genies, die sich mit Geschick und Raffinesse Zugang zu Systemen verschaffen. Das ist falsch.

Moderne Krypto-Betrüger sind Script-Kiddies, die gekaufte Toolkits nutzen. Sie kaufen „Drainer-as-a-Service“-Pakete für 200 bis 500 Dollar, stellen sie auf kostenlosen oder günstigen Hosting-Servern bereit und hoffen, dass ihre Opfer nichts davon bemerken. Sie schreiben keinen Code. Sie verstehen nichts von Netzwerken. Und von Sicherheit haben sie ganz sicher keine Ahnung.

Das wissen wir, weil THE ENABLERS REGISTRY im Februar 2026 analysiert hat, 4 unabhängige Betrugsmaschen — und in jedem einzelnen Fall hätten wir:

  • Alle Daten der Opfer des Datendiebstahls lesen (Seed-Phrasen, E-Mail-Adressen, IP-Adressen, Wallet-Typen)
  • Geändert oder gelöscht die Datenbank des Betrügers
  • Der Betreiber wurde identifiziert durch offengelegte API-Schlüssel, E-Mail-Adressen und Infrastruktur-Fingerabdrücke
  • Den Angriff auf den Betrüger nachgestellt — indem sie dieselben Sicherheitslücken ausnutzen, die sie offen gelassen haben

Keine Exploits erforderlich. Keine Zero-Day-Lücken. Kein „Hacking“. Einfach nur die Haustür öffnen, die sie unverschlossen gelassen hatten.

 Fall 1: Die [REDACTED]-API – [REDACTED]

 Express.js auf Apache – so gut wie keine Sicherheit

KEINE AUTHENTIFIZIERUNGKEINE EINGABEVALIDIERUNGKEINE RATENBEGRENZUNGCORS: *
ParameterWert
Domäne[REDACTED]
IP-Adresse108.181.185.225
Server-StackApache/2.4.58 (Ubuntu) → Express.js (Node.js)
SSH-BannerSSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13.11
TLS-AusstellerLet's Encrypt (E7), gültig von Januar bis April 2026
DNS-RegistrarIANA #146 (ns39/ns40.[REDACTED])
E-Mail (MX)[REDACTED]
Microsoft-Mandant[REDACTED]
Offene Ports22 (SSH), 80 (HTTP→301), 443 (HTTPS)

 „Authentifizierung“ – Ein Witz

Die API wird mit einem fest programmierten Bearer-Token ausgeliefert: thisisakeyforsecureserver. Aber hier kommt die Pointe — Das Token wird nicht wirklich verifiziert.:

// No auth header → accepted POST / HTTP/1.1 Content-Type: application/json {"subject":"test","domain":"test","messages":["ping"]} → {"success":true}// Wrong token → also accepted Autorisierung: Inhaber „wrong_token_completely“ → {"success":true}// Any content type → also accepted Content-Type: text/xml, text/plain, multipart/form-data → {"success":true}

 Validierung ohne Eingabe

Jede von uns getestete Injektions-Nutzlast wurde ohne Fehlermeldung akzeptiert:

// SQL injection Betreff: "' ODER 1=1--"→ angenommen Betreff: "'; DROP TABLE messages;--"→ angenommen// SSTI (Server-Side Template Injection) Betreff: "{{7*7}}"→ angenommen Betreff: "{{config}}"→ angenommen Betreff: "{{self.__class__}}"→ angenommen// SSRF (Server-Side Request Forgery) Domäne: „http://169.254.169.254/latest/meta-data/“→ angenommen Domäne: "file:///etc/passwd"→ angenommen// XSS stored payload Betreff: "<script>alert(1)</script>"→ angenommen

 Leistungs-Fingerabdruck

Die Antwortzeit bei POST-Anfragen liegt konstant bei etwa 7,5 Sekunden, unabhängig von der Größe der Nutzdaten (10 Byte bis 10 MB werden akzeptiert), was auf eine E-Mail-Weiterleitung oder ein Webhook-Relay im Backend hindeutet. GET-Anfragen werden in 0,6 s beantwortet. 10 parallele Anfragen werden in 9,1 s abgearbeitet – es wird keine Ratenbegrenzung angewendet.

 Potenzial zur De-Anonymisierung

Microsoft 365-Mandanten-ID NETORGFT19090185 ist ein Direkter Link zum Konto der Organisation der diese Domain registriert hat. In Verbindung mit den Registrierungsdaten von IANA #146 und einer dedizierten IP-Adresse (nicht hinter einem CDN) ist dieser Betreiber leicht identifizierbar auf rechtlichem Wege. Der SPF-Eintrag (include:[REDACTED]) bestätigt, dass beim E-Mail-Hosting von IANA #146 alle E-Mail-Metadaten auf Vorladung hin zugänglich sind.

 Fall 2: Firebase weit offen — [REDACTED]

 Firestore ohne Sicherheitsregeln

FIRESTORE-REGELN: OFFENALLE OPFERDATEN SIND LESBARAPI-Schlüssel in Public JS12 OPFER ENTHÜLLT
ParameterWert
Possibly phishing-Domain[REDACTED] (Typosquat von „[REDACTED]“)
Alternative Domain[REDACTED]
Firebase-Projektweb3ledger-210ab
API-SchlüsselAIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8
App-ID1:1054258933515:web:9fb193fcd0093023f7fc0e
JS-Bundle/static/js/main.7a5ec2fa.js
Firestore-RegelnVöllig offen – Lese-/Schreibzugriff ohne Authentifizierung
Gesamtzahl der Opfer12 Datensätze in users Sammlung
Gefundene Sammlungenusers, transactions

 Opferdaten – für jeden uneingeschränkt zugänglich

Eine einzelne, nicht authentifizierte GET-Anfrage an die Firestore-REST-API lieferte folgendes Ergebnis: jede gestohlene Seed-Phrase:

GET /v1/projects/web3ledger-210ab/databases/(default)/documents/users?pageSize=300 → 200 OK→ Gesamtzahl der Dokumente: 12// Sample victim record (seed phrase redacted for safety) { „walletId“: „W3L-65285520“, „walletType“: „WalletConnect“, „E-Mail“: „[REDACTED]@gmail.com“, „seedPhrase“: "████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", „createdAt“: "2026-02-15T00:14:52.804Z", „Status“: „aktiv“ }

Unter den 12 Datensätzen befand sich ein aufschlussreicher Eintrag – jemand hatte das System bereits mit fbi@fbi.gov wie in der E-Mail angegeben. Entweder hat der Betrüger sein eigenes System getestet (nützlich zur Identifizierung) oder jemand anderes hatte es bereits auf Schwachstellen untersucht.

 Der Angriffsablauf

Die Possibly phishing-Seite ahmt die Benutzeroberfläche der [REDACTED]-Wallet nach. Das Opfer klickt auf „Wallet verbinden“ → gibt die Seed-Phrase ein → das React-Frontend schreibt direkt in Firestore → der Betrüger liest aus derselben offenen Datenbank aus. Überhaupt kein Backend-Server. Der gesamte Betrieb läuft über die kostenlose Nutzungsstufe von Google.

 Potenzial zur De-Anonymisierung

Firebase-Projekt-ID web3ledger-210ab und App-ID 1:1054258933515 sind mit einem Google-Konto verknüpft. Google speichert Abrechnungsdaten, IP-Protokolle und Daten zur Kontoerstellung für alle Firebase-Projekte. Eine einzige Anfrage der Strafverfolgungsbehörden an Google reicht aus, um die Identität des Betreibers offenzulegen. Darüber hinaus bedeutet die Tatsache, dass die Firestore-Regeln völlig offen sind, dass Wir hätten Datensätze in ihre Datenbank eintragen können, die Betroffenen in Echtzeit benachrichtigte oder die gesamte Sammlung löschte.

 Fall 3: Supabase Full CRUD — [REDACTED]

 Sicherheit auf Zeilenebene deaktiviert, GraphQL vollständig offen

RLS DEAKTIVIERTVOLLSTÄNDIGER CRUD-ZUGANGGRAPHQL UNTERSTÜTZTEDGE-FUNKTIONEN IM ÜBERBLICKLOKALISIERUNG FÜR RUSSLAND
ParameterWert
Possibly phishing-Domain[REDACTED] (Typosquat von „[REDACTED]“)
Supabase-Projektgzqsadraigchwdhblavp
Anon-Schlüssel Enthüllt in /assets/index-b025f4a6.js (748 KB)
Datenbanktabelleseeds — Lesen, Einfügen, Aktualisieren, Löschen
GraphQLVollständige Introspektion + Mutationen aktiviert
Edge-Funktionen send-wallet-import-email, send-email
E-Mail-DienstAPI erneut senden (RESEND_API_KEY in der Umgebungsvariablen)
OpferdatenIDs 130–131 (129 zuvor gelöscht)
Sprache der Benutzeroberfläche Russisch („Haupt-Wallet“, „Ihr Wallet wird geladen...“)

 Vollständiger Datenbankzugriff – Lesen, Schreiben, Löschen

Der Supabase-Anon-Schlüssel, der sich im minimierten JavaScript-Bundle befindet, gewährt Vollständiger CRUD-Zugriff an den seeds Tabelle:

// READ — get all stolen seed phrases GET /rest/v1/seeds?select=*ℴ=id.asc → 200 OK [ {"id":130, "Satz":"████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", "Name":„Hauptgeldbörse“}, {"id":131, "Satz":"████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", "Name":„Hauptgeldbörse“} ] // INSERT — we can write to the scammer's database POST /rest/v1/seeds {"phrase":"[REDACTED]","name":"test"} → 201 Erstellt {"id":132} // UPDATE via GraphQL mutation { updateseedsCollection(filter:{id:{eq:131}}, set:{name:"THE ENABLERS REGISTRY was here"}) { affectedCount } } → {"affectedCount": 1}// DELETE via GraphQL mutation { deleteFromseedsCollection(filter:{id:{eq:131}}, atMost:1) { affectedCount } } → {"affectedCount": 1}

Die IDs beginnen bei 130 — das heißt, die Datensätze 1–129 wurden zuvor vom Betreiber gelöscht. Mindestens 131 Seed-Phrasen sind durch dieses System gelaufen.

 Edge-Funktionen: Die E-Mail-Spur

Zwei Supabase-Edge-Funktionen sind aktiv. Wir haben die send-email das erwartete Eingabeformat der Funktion durch Testen von Payloads:

// Probing send-email endpoint {"seed":"test phrase","name":"test"} → 200 OK {"id":"f2749592-..."} {"seed_phrase":"...","wallet_name":"..."} → 400 „Es wurden keine Startdaten angegeben.“ {"phrase":"...","name":"..."} → 400 „Es wurden keine Startdaten angegeben.“// The function accepts {seed, name} and sends to attacker via Resend API// Edge Function source (reconstructed from JS bundle):// NB.functions.invoke("send-wallet-import-email",// {body: {wallet_name, secret_phrase, ip_address}})

Der API-Schlüssel für die erneute Übermittlung (RESEND_API_KEY) wird in den Supabase-Umgebungsvariablen gespeichert. Resend verwaltet die Daten zur Absenderüberprüfung und die Abrechnungsdaten — ein weiterer direkter Weg zur Identität des Betreibers.

 Potenzial zur De-Anonymisierung

Die russische Lokalisierung der Benutzeroberfläche („Основной кошелек“, „Ваш кошелек загружается...“) deutet auf eine Russischsprachiger Mitarbeiter. Das Supabase-Projekt (gzqsadraigchwdhblavp) ist mit einem Konto verknüpft, für das Abrechnungsdaten vorliegen. Der Dienst „E-Mail erneut senden“ verfügt über die E-Mail-Adresse des Empfängers. Die GraphQL-Introspektion gibt Einblick in das vollständige Datenbankschema. Wir haben den vollständigen Schreibzugriff demonstriert — Wir hätten jede gestohlene Seed-Phrase durch eine Warnmeldung an die Betroffenen ersetzen können.oder die gesamte Tabelle gelöscht. Der Bediener hätte keine Möglichkeit, die Daten wiederherzustellen.

 Fall 4: Entwässerungsanlage im industriellen Maßstab — [REDACTED]

 19.000 Seed-Phrasen in 5,8 Tagen

Über 19.000 Samen gestohlenSEQUENZIELLE AUFTRAGS-IDsKEINE CORS-EINSCHRÄNKUNGENDaaS KIT ([REDACTED])11 DOMAINS BESTÄTIGT
ParameterWert
Frontend-Domäne [REDACTED] („PolySniper | Insider-Wetten von Frontrun“)
C2-APIapi.yfhikblkhghdyteiuyf54.run
C2-IPs 172.67.168.147, 104.21.26.231 (IANA #1910)
BackendExpress.js (Node.js) v1.0.0
Registrar (Frontend)IANA #3765 Co.
Registrar (C2)[REDACTED] (IANA #303)
Verfügbarkeit~139 Stunden (Beginn: ~10.02.2026, 21:00 Uhr UTC)
Ablauf-Set CDN [REDACTED] (601 KB verschleiertes JS)
[REDACTED]-BotAktiv, für Benachrichtigungen integriert
Ratenbegrenzung10 Anfragen/60 s (einzige festgestellte Begrenzung)

 Skalierung anhand fortlaufender IDs

Der schwerwiegendste Fehler: fortlaufende Auftrags-IDs. Bei jeder Übermittlung einer Seed-Phrase wird eine fortlaufende ID zurückgegeben, sodass jeder das Gesamtvolumen berechnen kann:

POST /api/check-seed-full { „seedPhrase“: „Testtext hier“, „bundleId“: "88ef78f56e0837dd0339e40a882bf563", „Tiefe“: 100, „Domain“: [REDACTED], „sourceInfo“: {„walletName“:[REDACTED], „isBot“:false} } → {"success":true, "message":"In die Warteschlange gestellt", "jobId":"19358"}// Next request: jobId 19359, then 19360...// ~19,000 seed phrases in ~139 hours = ~137 per hour

 Multi-Chain-Architektur

Der C2-Server leitet Schlüssel über alle wichtigen Blockchains hinweg unter Verwendung von Ableitungspfaden der Tiefe 100 ab:

⛓️
Betroffene Ketten
ETH/BTC/SOL/XMR
🔑
Ableitungstiefe
100
🌐
Bestätigte Domains
11
🕸️
[REDACTED] Verlinkt
255+

 Kampagneninfrastruktur

11 bestätigte Domains bei zwei Betreibergruppen, die anhand von Bundle-IDs nachverfolgt werden:

Bundle-IDDomainsStatus
88ef78f5...[REDACTED]LIVE
4446ea5d...[REDACTED], [REDACTED]LIVE
defex.cc-Bausatz [REDACTED], [REDACTED], [REDACTED], [REDACTED], soljup.onspace.build Gemischt

 Analyse von JavaScript-Payloads

Dem Drainer werden drei verschleierte JS-Payloads bereitgestellt:

  • wallet-connect.js (46 KB) — Verwaltet die Benutzeroberfläche für die Wallet-Verbindung und fängt die Eingabe des Seeds ab. Verschleierung durch Rotation von Zeichenfolgen-Arrays.
  • wallet-specific-modals.js (134 KB) — Enthält Vollständige englische BIP39-Wortliste und Monero-Wortliste (1.626 Wörter). Schutz vor Debugging durch Überschreiben von `console.log` und `trace`. Unterstützung für Modal-Fenster mit mehreren Wallets.
  • [REDACTED]/index.js (601 KB) — Mit chinesischen Variablennamen Unicode-verschleiert. Solana-spezifische Drainer-Logik. Base58-Encoder, Primitive zur Ableitung von Kryptoschlüsseln. Version 3.0.0.

 Potenzial zur De-Anonymisierung

Die CORS: * Header und fehlende Authentifizierungsmöglichkeiten Jeder kann Anfragen einreichen und die Erhöhung der Auftrags-IDs verfolgen. in Echtzeit. Durch die Integration des [REDACTED]-Bots erhält das [REDACTED]-Konto des Betreibers Benachrichtigungen – und die [REDACTED]-Metadaten können gerichtlich angefordert werden. IANA #3765 (Registrar für das Frontend) ist ein bekannter „bulletproof“-Registrar, den wir bereits untersucht, aber [REDACTED] (Registrar für C2-Domains) reagiert auf Anfragen von Strafverfolgungsbehörden. Die [REDACTED] Das „Drainer“-Kit bedient mehr als 255 Domains – ein Angriff auf [REDACTED] würde den gesamten DaaS-Betrieb und alle seine Kunden gefährden.

 Im Vergleich: 4 Vorgänge, dasselbe Muster

Metrisch mn19indexpre
Express.js
web3ledgar
Firebase
web3safe-pal
Supabase
aipolypredictor
Ablauf C2
AuthentifizierungKeine (Token wird ignoriert)KeineAnonymer Schlüssel in JSKeine (CORS: *)
Daten lesbarNachrichten/WeiterleitungAlle Seed-PhrasenAlle Seed-PhrasenAuftrags-IDs / Skala
Daten beschreibbarJa (unbegrenzt)JaJa (vollständiger CRUD)Ja (Absenden)
EingabevalidierungNullNullNullMinimal
RatenbegrenzungKeineKeineKeine10 Anfragen/60 s
DeanonymisierbarMS365-MandantGoogle-KontoErneut senden + Supabase-AbrechnungPDR + [REDACTED]
Geschätzte OpferzahlUnbekannt12131+19,000+
BedienerspracheUnbekanntEnglischRussischUnbekannt

 Warum Betrüger keine Hacker sind

Die Beweislage ist erdrückend. Bei allen vier Einsätzen lässt sich dasselbe Muster beobachten:

 Was Betrüger tun
  • Fertige Abtropfgestell-Sets kaufen (200–500 Dollar)
  • Auf kostenlosen Tarifen bereitstellen (Firebase, Supabase)
  • Die Standardkonfigurationen unverändert lassen
  • Verwende fest codierte Tokens, die nicht überprüft werden
  • RLS niemals aktivieren, CORS niemals einschränken
  • Ihre eigene Identität in Metadaten offenlegen
  • Verwenden Sie fortlaufende IDs, die deren Größenordnung erkennen lassen
 Was Hacker tun würden
  • Benutzerdefinierte Exfiltrations-Tools erstellen
  • Verwenden Sie verschlüsselte, authentifizierte Kanäle
  • Identifikatoren zufällig zuweisen, Infrastruktur rotieren
  • Eine angemessene Zugriffskontrolle einrichten
  • Tor/Proxy-Ketten nutzen, anonyme Zahlungen
  • Betriebsidentität vom Hosting trennen
  • Anti-Forensik-Techniken implementieren

Der durchschnittliche Kunde von „Drainer-as-a-Service“ ist ein Social-Engineer mit einer Kreditkarte, aber keine technischen Fachkräfte. Sie wissen, wie man eine Domain registriert und Code in ein Hosting-Panel einfügt. Sie wissen jedoch nicht, wie man:

  • Konfigurieren Sie die Firestore-Sicherheitsregeln (dauert etwa 2 Minuten)
  • Supabase-Sicherheit auf Zeilenebene aktivieren (dauert etwa 5 Minuten)
  • Eingaben validieren und bereinigen (dürfte 30 Minuten dauern)
  • Verwende UUIDs anstelle von fortlaufenden Ganzzahlen (das würde nur eine Zeile Code erfordern)
  • CORS auf die eigenen Domänen beschränken (würde nur eine Zeile in der Konfiguration erfordern)

Das sind keine raffinierten Gegner. Das sind Leute, die keine Datenbank konfigurieren können.

 Indikatoren für eine Kompromittierung (IOCs)

Domains

# Case 1: Express.js API [REDACTED] # Case 2: Firebase Stealer [REDACTED] [REDACTED] # Case 3: Supabase Stealer [REDACTED] # Case 4: Drainer Campaign [REDACTED] API.yfhikblkhghdyteiuyf54.run yfhikblkhghdyteiuyf54.run [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] stakepayment.icu [REDACTED] [REDACTED] [REDACTED] [REDACTED] soljup.onspace.build

IP-Adressen

108.181.185.225 # Case 1 — Express.js (dedicated) 172.67.168.147 / 104.21.26.231 # Case 4 — C2 API (IANA #1910) 172.67.178.251 / 104.21.67.171 # Case 4 — Frontend (IANA #1910) 172.67.209.39 / 104.21.37.139 # Case 4 — [REDACTED] (IANA #1910) 43.130.171.152 / 43.130.171.225 # Case 4 — onspace domains (Tencent)

API-Schlüssel und Projekt-IDs

# Firebase (Case 2) Projekt: web3ledger-210ab API-Schlüssel: AIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8 App-ID: 1:1054258933515:web:9fb193fcd0093023f7fc0e # Supabase (Case 3) Projekt: gzqsadraigchwdhblavp Anon-Schlüssel: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9... # Campaign Tracking (Case 4) Paket 1: 88ef78f56e0837dd0339e40a882bf563 Paket 2: 4446ea5ddb308b2494db8ad4b12196c3 # Microsoft Tenant (Case 1) [REDACTED]

 Fazit: Der Kaiser hat keine Kleider

 Das Fazit

Jede von uns analysierte Betrugsmasche könnte vollständig kompromittiert, entanonymisiert und lahmgelegt und nutzten dabei lediglich einen Webbrowser, „curl“ und öffentlich zugängliche Dokumentationen. In jedem Fall ließen die Angreifer ihre Datenbanken völlig ungeschützt, hinterließen ihre API-Schlüssel in öffentlichen JavaScript-Dateien, gaben ihre Identitäten in Metadaten preis und machten die Daten ihrer Opfer für jeden zugänglich, der sich die Mühe machte, danach zu suchen.

Die Erkenntnis ist einfach: Betrüger sind keine Hacker. Es handelt sich um Ladendiebe, die sich bei AliExpress ein Dietrich-Set gekauft und vergessen haben, ihre eigene Haustür abzuschließen. Die von ihnen verwendeten Werkzeuge sind hochentwickelt – weil sie von jemand anderem hergestellt wurden. Die Täter selbst sind Amateure, die ihre eigene Infrastruktur, die Daten ihrer Opfer und ihre eigene Identität zuverlässig jedem offenlegen, der über grundlegende technische Kenntnisse verfügt.

Falls Sie Ihre Seed-Phrase auf einer dieser Websites eingegeben haben, gehen Sie davon aus, dass Ihre Wallet kompromittiert wurde, und überweisen Sie das Guthaben unverzüglich.

Alle Erkenntnisse wurden den zuständigen Dienstleistern (Google/Firebase, Supabase, IANA #1910, Domain-Registrare) gemeldet und für die Strafverfolgungsbehörden dokumentiert. Die oben genannten IOCs wurden in die THE ENABLERS REGISTRY-Löschliste.

Diese Untersuchung teilen

X / Twitter [REDACTED] Reddit LinkedIn

Verwandte Ermittlungen

[REDACTED] entlarvt: 55 Domains & TRON-Approval-Drainer
UNTERSUCHUNG
[REDACTED] entlarvt: 55 Domains & TRON-Approval-Drainer
GRÜNDLICHE UNTERSUCHUNG
Crypto Drainer Toolkit: Wiederverkäufer von „Angel Drainer“ entlarvt
[REDACTED] TDS: 1.500 Panels offengelegt, keine legitimen Verwendungszwecke
UNTERSUCHUNG
[REDACTED] TDS: 1.500 Panels offengelegt, keine legitimen Verwendungszwecke

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings