
Firebase · Supabase · Express.js · Drainer-as-a-Service · Februar 2026
Haftungsausschluss: Analyse, kein Angriff
Alles, was in diesem Artikel vorgestellt wird, ist das Ergebnis von passive Analyse und öffentlich zugängliche Daten. Es gab keine Systemeinbrüche. Es wurde keine Authentifizierung umgangen. In jedem Fall waren die Infrastruktur, die Opferdaten und die betrieblichen Identitäten der Betrüger aufgrund ihrer eigenen Fehlkonfiguration für jeden einsehbar, der nur einen Blick darauf warf. Jeder API-Schlüssel war in öffentlichen JavaScript-Bundles zu finden. Jede Datenbank stand aufgrund der eigenen Konfiguration der Betreiber weit offen. Wir dokumentieren dies nicht, um anzugreifen – sondern um zu zeigen, dass die Leute, die Ihre Kryptowährung stehlen, können nicht einmal ihre eigenen Werkzeuge sicher aufbewahren.
Die Kernthese: Script-Kiddies mit gestohlenen Tools
In der öffentlichen Wahrnehmung hält sich hartnäckig der Mythos, dass Online-Betrüger „Hacker“ seien – technische Genies, die sich mit Geschick und Raffinesse Zugang zu Systemen verschaffen. Das ist falsch.
Moderne Krypto-Betrüger sind Script-Kiddies, die gekaufte Toolkits nutzen. Sie kaufen „Drainer-as-a-Service“-Pakete für 200 bis 500 Dollar, stellen sie auf kostenlosen oder günstigen Hosting-Servern bereit und hoffen, dass ihre Opfer nichts davon bemerken. Sie schreiben keinen Code. Sie verstehen nichts von Netzwerken. Und von Sicherheit haben sie ganz sicher keine Ahnung.
Das wissen wir, weil THE ENABLERS REGISTRY im Februar 2026 analysiert hat, 4 unabhängige Betrugsmaschen — und in jedem einzelnen Fall hätten wir:
- Alle Daten der Opfer des Datendiebstahls lesen (Seed-Phrasen, E-Mail-Adressen, IP-Adressen, Wallet-Typen)
- Geändert oder gelöscht die Datenbank des Betrügers
- Der Betreiber wurde identifiziert durch offengelegte API-Schlüssel, E-Mail-Adressen und Infrastruktur-Fingerabdrücke
- Den Angriff auf den Betrüger nachgestellt — indem sie dieselben Sicherheitslücken ausnutzen, die sie offen gelassen haben
Keine Exploits erforderlich. Keine Zero-Day-Lücken. Kein „Hacking“. Einfach nur die Haustür öffnen, die sie unverschlossen gelassen hatten.
Fall 1: Die [REDACTED]-API – [REDACTED]
Express.js auf Apache – so gut wie keine Sicherheit
| Parameter | Wert |
|---|---|
| Domäne | [REDACTED] |
| IP-Adresse | 108.181.185.225 |
| Server-Stack | Apache/2.4.58 (Ubuntu) → Express.js (Node.js) |
| SSH-Banner | SSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13.11 |
| TLS-Aussteller | Let's Encrypt (E7), gültig von Januar bis April 2026 |
| DNS-Registrar | IANA #146 (ns39/ns40.[REDACTED]) |
| E-Mail (MX) | [REDACTED] |
| Microsoft-Mandant | [REDACTED] |
| Offene Ports | 22 (SSH), 80 (HTTP→301), 443 (HTTPS) |
„Authentifizierung“ – Ein Witz
Die API wird mit einem fest programmierten Bearer-Token ausgeliefert: thisisakeyforsecureserver. Aber hier kommt die Pointe — Das Token wird nicht wirklich verifiziert.:
Validierung ohne Eingabe
Jede von uns getestete Injektions-Nutzlast wurde ohne Fehlermeldung akzeptiert:
Leistungs-Fingerabdruck
Die Antwortzeit bei POST-Anfragen liegt konstant bei etwa 7,5 Sekunden, unabhängig von der Größe der Nutzdaten (10 Byte bis 10 MB werden akzeptiert), was auf eine E-Mail-Weiterleitung oder ein Webhook-Relay im Backend hindeutet. GET-Anfragen werden in 0,6 s beantwortet. 10 parallele Anfragen werden in 9,1 s abgearbeitet – es wird keine Ratenbegrenzung angewendet.
Potenzial zur De-Anonymisierung
Microsoft 365-Mandanten-ID NETORGFT19090185 ist ein Direkter Link zum Konto der Organisation der diese Domain registriert hat. In Verbindung mit den Registrierungsdaten von IANA #146 und einer dedizierten IP-Adresse (nicht hinter einem CDN) ist dieser Betreiber leicht identifizierbar auf rechtlichem Wege. Der SPF-Eintrag (include:[REDACTED]) bestätigt, dass beim E-Mail-Hosting von IANA #146 alle E-Mail-Metadaten auf Vorladung hin zugänglich sind.
Fall 2: Firebase weit offen — [REDACTED]
Firestore ohne Sicherheitsregeln
| Parameter | Wert |
|---|---|
| Possibly phishing-Domain | [REDACTED] (Typosquat von „[REDACTED]“) |
| Alternative Domain | [REDACTED] |
| Firebase-Projekt | web3ledger-210ab |
| API-Schlüssel | AIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8 |
| App-ID | 1:1054258933515:web:9fb193fcd0093023f7fc0e |
| JS-Bundle | /static/js/main.7a5ec2fa.js |
| Firestore-Regeln | Völlig offen – Lese-/Schreibzugriff ohne Authentifizierung |
| Gesamtzahl der Opfer | 12 Datensätze in users Sammlung |
| Gefundene Sammlungen | users, transactions |
Opferdaten – für jeden uneingeschränkt zugänglich
Eine einzelne, nicht authentifizierte GET-Anfrage an die Firestore-REST-API lieferte folgendes Ergebnis: jede gestohlene Seed-Phrase:
Unter den 12 Datensätzen befand sich ein aufschlussreicher Eintrag – jemand hatte das System bereits mit fbi@fbi.gov wie in der E-Mail angegeben. Entweder hat der Betrüger sein eigenes System getestet (nützlich zur Identifizierung) oder jemand anderes hatte es bereits auf Schwachstellen untersucht.
Der Angriffsablauf
Die Possibly phishing-Seite ahmt die Benutzeroberfläche der [REDACTED]-Wallet nach. Das Opfer klickt auf „Wallet verbinden“ → gibt die Seed-Phrase ein → das React-Frontend schreibt direkt in Firestore → der Betrüger liest aus derselben offenen Datenbank aus. Überhaupt kein Backend-Server. Der gesamte Betrieb läuft über die kostenlose Nutzungsstufe von Google.
Potenzial zur De-Anonymisierung
Firebase-Projekt-ID web3ledger-210ab und App-ID 1:1054258933515 sind mit einem Google-Konto verknüpft. Google speichert Abrechnungsdaten, IP-Protokolle und Daten zur Kontoerstellung für alle Firebase-Projekte. Eine einzige Anfrage der Strafverfolgungsbehörden an Google reicht aus, um die Identität des Betreibers offenzulegen. Darüber hinaus bedeutet die Tatsache, dass die Firestore-Regeln völlig offen sind, dass Wir hätten Datensätze in ihre Datenbank eintragen können, die Betroffenen in Echtzeit benachrichtigte oder die gesamte Sammlung löschte.
Fall 3: Supabase Full CRUD — [REDACTED]
Sicherheit auf Zeilenebene deaktiviert, GraphQL vollständig offen
| Parameter | Wert |
|---|---|
| Possibly phishing-Domain | [REDACTED] (Typosquat von „[REDACTED]“) |
| Supabase-Projekt | gzqsadraigchwdhblavp |
| Anon-Schlüssel | Enthüllt in /assets/index-b025f4a6.js (748 KB) |
| Datenbanktabelle | seeds — Lesen, Einfügen, Aktualisieren, Löschen |
| GraphQL | Vollständige Introspektion + Mutationen aktiviert |
| Edge-Funktionen | send-wallet-import-email, send-email |
| E-Mail-Dienst | API erneut senden (RESEND_API_KEY in der Umgebungsvariablen) |
| Opferdaten | IDs 130–131 (129 zuvor gelöscht) |
| Sprache der Benutzeroberfläche | Russisch („Haupt-Wallet“, „Ihr Wallet wird geladen...“) |
Vollständiger Datenbankzugriff – Lesen, Schreiben, Löschen
Der Supabase-Anon-Schlüssel, der sich im minimierten JavaScript-Bundle befindet, gewährt Vollständiger CRUD-Zugriff an den seeds Tabelle:
Die IDs beginnen bei 130 — das heißt, die Datensätze 1–129 wurden zuvor vom Betreiber gelöscht. Mindestens 131 Seed-Phrasen sind durch dieses System gelaufen.
Edge-Funktionen: Die E-Mail-Spur
Zwei Supabase-Edge-Funktionen sind aktiv. Wir haben die send-email das erwartete Eingabeformat der Funktion durch Testen von Payloads:
Der API-Schlüssel für die erneute Übermittlung (RESEND_API_KEY) wird in den Supabase-Umgebungsvariablen gespeichert. Resend verwaltet die Daten zur Absenderüberprüfung und die Abrechnungsdaten — ein weiterer direkter Weg zur Identität des Betreibers.
Potenzial zur De-Anonymisierung
Die russische Lokalisierung der Benutzeroberfläche („Основной кошелек“, „Ваш кошелек загружается...“) deutet auf eine Russischsprachiger Mitarbeiter. Das Supabase-Projekt (gzqsadraigchwdhblavp) ist mit einem Konto verknüpft, für das Abrechnungsdaten vorliegen. Der Dienst „E-Mail erneut senden“ verfügt über die E-Mail-Adresse des Empfängers. Die GraphQL-Introspektion gibt Einblick in das vollständige Datenbankschema. Wir haben den vollständigen Schreibzugriff demonstriert — Wir hätten jede gestohlene Seed-Phrase durch eine Warnmeldung an die Betroffenen ersetzen können.oder die gesamte Tabelle gelöscht. Der Bediener hätte keine Möglichkeit, die Daten wiederherzustellen.
Fall 4: Entwässerungsanlage im industriellen Maßstab — [REDACTED]
19.000 Seed-Phrasen in 5,8 Tagen
| Parameter | Wert |
|---|---|
| Frontend-Domäne | [REDACTED] („PolySniper | Insider-Wetten von Frontrun“) |
| C2-API | api.yfhikblkhghdyteiuyf54.run |
| C2-IPs | 172.67.168.147, 104.21.26.231 (IANA #1910) |
| Backend | Express.js (Node.js) v1.0.0 |
| Registrar (Frontend) | IANA #3765 Co. |
| Registrar (C2) | [REDACTED] (IANA #303) |
| Verfügbarkeit | ~139 Stunden (Beginn: ~10.02.2026, 21:00 Uhr UTC) |
| Ablauf-Set CDN | [REDACTED] (601 KB verschleiertes JS) |
| [REDACTED]-Bot | Aktiv, für Benachrichtigungen integriert |
| Ratenbegrenzung | 10 Anfragen/60 s (einzige festgestellte Begrenzung) |
Skalierung anhand fortlaufender IDs
Der schwerwiegendste Fehler: fortlaufende Auftrags-IDs. Bei jeder Übermittlung einer Seed-Phrase wird eine fortlaufende ID zurückgegeben, sodass jeder das Gesamtvolumen berechnen kann:
Multi-Chain-Architektur
Der C2-Server leitet Schlüssel über alle wichtigen Blockchains hinweg unter Verwendung von Ableitungspfaden der Tiefe 100 ab:
Kampagneninfrastruktur
11 bestätigte Domains bei zwei Betreibergruppen, die anhand von Bundle-IDs nachverfolgt werden:
| Bundle-ID | Domains | Status |
|---|---|---|
88ef78f5... | [REDACTED] | LIVE |
4446ea5d... | [REDACTED], [REDACTED] | LIVE |
| defex.cc-Bausatz | [REDACTED], [REDACTED], [REDACTED], [REDACTED], soljup.onspace.build | Gemischt |
Analyse von JavaScript-Payloads
Dem Drainer werden drei verschleierte JS-Payloads bereitgestellt:
- wallet-connect.js (46 KB) — Verwaltet die Benutzeroberfläche für die Wallet-Verbindung und fängt die Eingabe des Seeds ab. Verschleierung durch Rotation von Zeichenfolgen-Arrays.
- wallet-specific-modals.js (134 KB) — Enthält Vollständige englische BIP39-Wortliste und Monero-Wortliste (1.626 Wörter). Schutz vor Debugging durch Überschreiben von `console.log` und `trace`. Unterstützung für Modal-Fenster mit mehreren Wallets.
- [REDACTED]/index.js (601 KB) — Mit chinesischen Variablennamen Unicode-verschleiert. Solana-spezifische Drainer-Logik. Base58-Encoder, Primitive zur Ableitung von Kryptoschlüsseln. Version 3.0.0.
Potenzial zur De-Anonymisierung
Die CORS: * Header und fehlende Authentifizierungsmöglichkeiten Jeder kann Anfragen einreichen und die Erhöhung der Auftrags-IDs verfolgen. in Echtzeit. Durch die Integration des [REDACTED]-Bots erhält das [REDACTED]-Konto des Betreibers Benachrichtigungen – und die [REDACTED]-Metadaten können gerichtlich angefordert werden. IANA #3765 (Registrar für das Frontend) ist ein bekannter „bulletproof“-Registrar, den wir bereits untersucht, aber [REDACTED] (Registrar für C2-Domains) reagiert auf Anfragen von Strafverfolgungsbehörden. Die [REDACTED] Das „Drainer“-Kit bedient mehr als 255 Domains – ein Angriff auf [REDACTED] würde den gesamten DaaS-Betrieb und alle seine Kunden gefährden.
Im Vergleich: 4 Vorgänge, dasselbe Muster
| Metrisch | mn19indexpre Express.js | web3ledgar Firebase | web3safe-pal Supabase | aipolypredictor Ablauf C2 |
|---|---|---|---|---|
| Authentifizierung | Keine (Token wird ignoriert) | Keine | Anonymer Schlüssel in JS | Keine (CORS: *) |
| Daten lesbar | Nachrichten/Weiterleitung | Alle Seed-Phrasen | Alle Seed-Phrasen | Auftrags-IDs / Skala |
| Daten beschreibbar | Ja (unbegrenzt) | Ja | Ja (vollständiger CRUD) | Ja (Absenden) |
| Eingabevalidierung | Null | Null | Null | Minimal |
| Ratenbegrenzung | Keine | Keine | Keine | 10 Anfragen/60 s |
| Deanonymisierbar | MS365-Mandant | Google-Konto | Erneut senden + Supabase-Abrechnung | PDR + [REDACTED] |
| Geschätzte Opferzahl | Unbekannt | 12 | 131+ | 19,000+ |
| Bedienersprache | Unbekannt | Englisch | Russisch | Unbekannt |
Warum Betrüger keine Hacker sind
Die Beweislage ist erdrückend. Bei allen vier Einsätzen lässt sich dasselbe Muster beobachten:
- Fertige Abtropfgestell-Sets kaufen (200–500 Dollar)
- Auf kostenlosen Tarifen bereitstellen (Firebase, Supabase)
- Die Standardkonfigurationen unverändert lassen
- Verwende fest codierte Tokens, die nicht überprüft werden
- RLS niemals aktivieren, CORS niemals einschränken
- Ihre eigene Identität in Metadaten offenlegen
- Verwenden Sie fortlaufende IDs, die deren Größenordnung erkennen lassen
- Benutzerdefinierte Exfiltrations-Tools erstellen
- Verwenden Sie verschlüsselte, authentifizierte Kanäle
- Identifikatoren zufällig zuweisen, Infrastruktur rotieren
- Eine angemessene Zugriffskontrolle einrichten
- Tor/Proxy-Ketten nutzen, anonyme Zahlungen
- Betriebsidentität vom Hosting trennen
- Anti-Forensik-Techniken implementieren
Der durchschnittliche Kunde von „Drainer-as-a-Service“ ist ein Social-Engineer mit einer Kreditkarte, aber keine technischen Fachkräfte. Sie wissen, wie man eine Domain registriert und Code in ein Hosting-Panel einfügt. Sie wissen jedoch nicht, wie man:
- Konfigurieren Sie die Firestore-Sicherheitsregeln (dauert etwa 2 Minuten)
- Supabase-Sicherheit auf Zeilenebene aktivieren (dauert etwa 5 Minuten)
- Eingaben validieren und bereinigen (dürfte 30 Minuten dauern)
- Verwende UUIDs anstelle von fortlaufenden Ganzzahlen (das würde nur eine Zeile Code erfordern)
- CORS auf die eigenen Domänen beschränken (würde nur eine Zeile in der Konfiguration erfordern)
Das sind keine raffinierten Gegner. Das sind Leute, die keine Datenbank konfigurieren können.
Indikatoren für eine Kompromittierung (IOCs)
Domains
IP-Adressen
API-Schlüssel und Projekt-IDs
Fazit: Der Kaiser hat keine Kleider
Das Fazit
Jede von uns analysierte Betrugsmasche könnte vollständig kompromittiert, entanonymisiert und lahmgelegt und nutzten dabei lediglich einen Webbrowser, „curl“ und öffentlich zugängliche Dokumentationen. In jedem Fall ließen die Angreifer ihre Datenbanken völlig ungeschützt, hinterließen ihre API-Schlüssel in öffentlichen JavaScript-Dateien, gaben ihre Identitäten in Metadaten preis und machten die Daten ihrer Opfer für jeden zugänglich, der sich die Mühe machte, danach zu suchen.
Die Erkenntnis ist einfach: Betrüger sind keine Hacker. Es handelt sich um Ladendiebe, die sich bei AliExpress ein Dietrich-Set gekauft und vergessen haben, ihre eigene Haustür abzuschließen. Die von ihnen verwendeten Werkzeuge sind hochentwickelt – weil sie von jemand anderem hergestellt wurden. Die Täter selbst sind Amateure, die ihre eigene Infrastruktur, die Daten ihrer Opfer und ihre eigene Identität zuverlässig jedem offenlegen, der über grundlegende technische Kenntnisse verfügt.
Falls Sie Ihre Seed-Phrase auf einer dieser Websites eingegeben haben, gehen Sie davon aus, dass Ihre Wallet kompromittiert wurde, und überweisen Sie das Guthaben unverzüglich.
Alle Erkenntnisse wurden den zuständigen Dienstleistern (Google/Firebase, Supabase, IANA #1910, Domain-Registrare) gemeldet und für die Strafverfolgungsbehörden dokumentiert. Die oben genannten IOCs wurden in die THE ENABLERS REGISTRY-Löschliste.