Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / ZH / SCAM INFRASTRUCTURE EXPOSED

骗子现形:4个诈骗后台系统剖析

The Enablers Registry·Editorial mirror·/zh/scam-infrastructure-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Firebase · Supabase · Express.js · Drainer-as-a-Service · 2026年2月

诈骗基础设施曝光
19,000+
助记词被盗(1次活动)
4
后端已完全访问
0
需要身份验证
267+
相关钓鱼域名

 免责声明:此为分析,而非攻击

本文中介绍的所有内容都是 被动分析与公开数据. 没有任何系统遭到入侵,也没有任何身份验证被绕过。在每起案例中,都是诈骗者自身的配置错误,导致其基础设施、受害者数据以及运营身份暴露给任何稍加查看的人。每个 API 密钥都出现在公开的 JavaScript 打包文件中。 每个数据库都因运营者自身的设计而完全敞开。我们记录这些并非为了攻击——而是为了证明,那些窃取你加密货币的人 连自己的工具都保管不好.

 核心论点:利用盗取工具的“脚本小子”

在公众的想象中,一直存在这样一个误解:网络诈骗者就是“黑客”——一群凭借高超技巧和精湛手段入侵系统的技术高手。 这是错误的。

如今的加密货币诈骗分子是 使用购买的工具包的“脚本小子”. 他们花200至500美元购买“Drainer即服务”套餐,将其部署在免费或低成本的主机上,然后祈祷受害者不会察觉。他们不会编写代码,也不懂网络知识,更不用说安全了。

我们之所以知道这一点,是因为在2026年2月,THE ENABLERS REGISTRY对……进行了分析 4起独立诈骗活动 ——而且在每一种情况下,我们本可以:

  • 读取所有被盗受害者数据 (助记词、电子邮件地址、IP地址、钱包类型)
  • 已修改或已删除 诈骗分子的数据库
  • 已识别出操作员 通过暴露的 API 密钥、电子邮件地址和基础设施指纹
  • 重现了针对诈骗者的攻击 — 利用他们自己留下的那些漏洞

无需利用漏洞。无需零日漏洞。无需“黑客攻击”。只需 打开了他们没锁的前门.

 案例 1:幽灵 API — [REDACTED]

 Apache 上的 Express.js,毫无真正的安全性可言

无需身份验证未进行输入验证无速率限制CORS:*
参数
域名[REDACTED]
IP地址108.181.185.225
服务器堆栈Apache/2.4.58(Ubuntu)→ Express.js(Node.js)
SSH 横幅SSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13.11
TLS 签发者Let's Encrypt (E7),有效期为2026年1月至4月
DNS 注册商IANA #146 (ns39/ns40.[REDACTED])
电子邮件 (MX)[REDACTED]
Microsoft 租户[REDACTED]
开放端口22(SSH)、80(HTTP→301)、443(HTTPS)

 “身份验证”——一个笑话

该 API 随附了一个硬编码的 Bearer 令牌: thisisakeyforsecureserver. 但关键在于—— 该令牌实际上并未经过验证:

// No auth header → accepted POST / HTTP/1.1 Content-Type: application/json {"subject":"test","domain":"test","messages":["ping"]} → {"success":true}// Wrong token → also accepted 授权:持有人 wrong_token_completely → {"success":true}// Any content type → also accepted Content-Type: text/xml, text/plain, multipart/form-data → {"success":true}

 零输入验证

我们测试的每个注入有效载荷均被默默接受:

// SQL injection 主题: "' OR 1=1--"→ 已接受 主题: "'; DROP TABLE messages;--"→ 已接受// SSTI (Server-Side Template Injection) 主题: "{{7*7}}"→ 已接受 主题: "{{config}}"→ 已接受 主题: "{{self.__class__}}"→ 已接受// SSRF (Server-Side Request Forgery) 域名: “http://169.254.169.254/latest/meta-data/”→ 已接受 域名: "file:///etc/passwd"→ 已接受// XSS stored payload 主题: "<script>alert(1)</script>"→ 已接受

 性能指纹

无论有效载荷大小如何(接受10字节至10 MB),POST请求的响应时间始终保持在约7.5秒,这表明后端可能采用了电子邮件转发或Webhook中继机制。GET请求的响应时间为0.6秒。10个并行请求在9.1秒内完成——未实施速率限制。

 去匿名化风险

Microsoft 365 租户 ID NETORGFT19090185 是一个 该组织的账户直接链接 注册了该域名的运营商。结合 IANA #146 的注册记录以及一个专用 IP 地址(未通过 CDN 转发),该运营商是 可轻易识别 通过合法渠道。SPF记录(include:[REDACTED]) 证实了 IANA #146 电子邮件托管服务——所有电子邮件元数据均可通过传票获取。

 案例 2:Firebase 完全开放 — [REDACTED]

 没有安全规则的 Firestore

FIRESTORE 规则:开放所有受害者数据均可读取公共 JavaScript 中的 API 密钥12名受害者身份曝光
参数
网络钓鱼域名[REDACTED] (“[REDACTED]”的拼写变体)
备用域名[REDACTED]
Firebase 项目web3ledger-210ab
API密钥AIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8
应用 ID1:1054258933515:web:9fb193fcd0093023f7fc0e
JS 打包文件/static/js/main.7a5ec2fa.js
Firestore 规则完全开放——无需身份验证的读写操作
受害者总数共有 12 条记录 users 系列
找到的收藏集users, transactions

 受害者数据——任何人都可以完全访问

向 Firestore REST API 发送的一次未经身份验证的 GET 请求返回了 每一条被盗的助记词:

GET /v1/projects/web3ledger-210ab/databases/(default)/documents/users?pageSize=300 → 200 OK→ 文件总数:12// Sample victim record (seed phrase redacted for safety) { "walletId": “W3L-65285520”, "walletType": “WalletConnect”, "电子邮件": “[已删除]@gmail.com”, “助记词”: "████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", "createdAt": "2026-02-15T00:14:52.804Z", “状态”: “active” }

在这12条记录中,有一条颇具启示性的条目——有人已经用……对该系统进行了测试 fbi@fbi.gov 正如那封电子邮件所示。诈骗者要么是在测试自己的系统(这有助于识别),要么是有人已经对该系统进行了探测。

 攻击流程

该钓鱼网站模仿了[REDACTED]钱包的界面。受害者点击“连接钱包”→输入助记词→React前端直接将数据写入Firestore→诈骗者从同一开放数据库中读取数据。 完全没有后端服务器。 整个系统完全运行在谷歌的免费套餐上。

 去匿名化风险

Firebase 项目 ID web3ledger-210ab 以及应用 ID 1:1054258933515已关联 Google 账户. Google 会保存所有 Firebase 项目的计费记录、IP 日志和账户创建数据。执法部门只需向 Google 提出一次请求,即可查明运营者的身份。此外,由于 Firestore 规则完全开放,这意味着 我们本可以将记录写入他们的数据库,实时通知受害者,或彻底清除整个数据集。

 案例 3:Supabase 全功能 CRUD — [REDACTED]

 行级安全已禁用,GraphQL 完全开放

RLS 已禁用完整的 CRUD 访问权限支持 GraphQL边缘函数的公开俄语本地化
参数
网络钓鱼域名[REDACTED] (“[REDACTED]”的拼写变体)
Supabase 项目gzqsadraigchwdhblavp
Anon Key 刊载于 /assets/index-b025f4a6.js (748 KB)
数据库表seeds — 读取、插入、更新、删除
GraphQL已启用完整内省功能和变体功能
边缘函数 send-wallet-import-email, send-email
电子邮件服务重新发送 API(环境变量中的 RESEND_API_KEY)
受害者记录ID 130–131(此前已删除 ID 129)
UI 语言 俄语(“Основной кошелек”、“Ваш кошелек загружается...”)

 完整数据库访问权限——读取、写入、删除

位于压缩后的 JavaScript 包中的 Supabase 匿名密钥可授予 完整的 CRUD 访问权限seeds 表格:

// READ — get all stolen seed phrases GET /rest/v1/seeds?select=*ℴ=id.asc → 200 OK [ {"id":130, "短语":"████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", "名称":“主钱包”}, {"id":131, "短语":"████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", "名称":“主钱包”} ] // INSERT — we can write to the scammer's database POST /rest/v1/seeds {"phrase":"[REDACTED]","name":"test"} → 已创建 201 个 {"id":132} // UPDATE via GraphQL mutation { updateseedsCollection(filter:{id:{eq:131}}, set:{name:"THE ENABLERS REGISTRY was here"}) { affectedCount } } → {"受影响人数": 1}// DELETE via GraphQL mutation { deleteFromseedsCollection(filter:{id:{eq:131}}, atMost:1) { affectedCount } } → {"受影响人数": 1}

ID 从 130 开始 — 这意味着记录 1–129 此前已被操作员删除。至少有 131 组助记词曾通过该系统。

 边缘函数:电子邮件轨迹

有两个 Supabase Edge 函数处于活动状态。我们对该 send-email 通过测试有效载荷来验证函数的预期输入格式:

// Probing send-email endpoint {"seed":"test phrase","name":"test"} → 200 OK {"id":"f2749592-..."} {"seed_phrase":"...","wallet_name":"..."} → 400 “未提供种子数据。” {"phrase":"...","name":"..."} → 400 “未提供种子数据。”// The function accepts {seed, name} and sends to attacker via Resend API// Edge Function source (reconstructed from JS bundle):// NB.functions.invoke("send-wallet-import-email",// {body: {wallet_name, secret_phrase, ip_address}})

重新发送 API 密钥 (RESEND_API_KEY) 存储在 Supabase 环境变量中。Resend 保存发件人验证记录和计费数据—— 通往该运算符身份的另一条直接路径.

 去匿名化风险

俄语界面本地化内容(“Основной кошелек”、“Ваш кошелек загружается...”)表明 会说俄语的客服人员. Supabase 项目(gzqsadraigchwdhblavp) 与一个带有计费记录的账户相关联。重新发送电子邮件服务中包含收件人的电子邮件地址。通过 GraphQL 自查,可以查看到完整的数据库模式。我们演示了完全的写入权限—— 我们本可以将每个被盗的助记词替换为向受害者发出的警告信息,或者删除了整个表。操作员将无法恢复这些数据。

 案例 4:工业级排水器 — [REDACTED]

 5.8天内生成19,000个助记词

19K+ 种子被盗顺序作业ID无CORS限制DaaS KIT ([REDACTED])已确认11个域名
参数
前端领域 [REDACTED] (“PolySniper | 领跑者内幕投注”)
C2 APIapi.yfhikblkhghdyteiuyf54.run
C2 IP地址 172.67.168.147, 104.21.26.231 (IANA #1910)
后端Express.js (Node.js) v1.0.0
注册员(前端)IANA #3765国际集团有限公司
注册员(C2)PDR 有限公司(IANA #303
正常运行时间约139小时(于约2026年2月10日21:00 UTC开始)
排水套件 CDN [REDACTED] (601 KB 混淆后的 JavaScript)
[REDACTED] 机器人已启用,已集成通知功能
速率限制每60秒10次请求(仅发现此限制)

 通过顺序ID揭示的规模

最致命的错误: 顺序作业ID. 每次提交助记词都会返回一个递增的ID,从而使任何人都能计算出总交易量:

POST /api/check-seed-full { “助记词”: “此处为测试短语”, "bundleId": "88ef78f56e0837dd0339e40a882bf563", “深度”: 100, "域名": "[REDACTED]", "sourceInfo": {"walletName":[REDACTED], “isBot”:false} } → {"success":true, "message":"已加入队列", "jobId":"19358"}// Next request: jobId 19359, then 19360...// ~19,000 seed phrases in ~139 hours = ~137 per hour

 多链架构

C2 服务器使用深度为 100 的派生路径,从所有主要区块链中派生密钥:

⛓️
被锁定的连锁店
ETH/BTC/SOL/XMR
🔑
推导深度
100
🌐
已验证域名
11
🕸️
[REDACTED] 相关链接
255+

 竞选基础设施

通过 Bundle ID 追踪到的、属于 2 个运营商集团的 11 个已确认域名:

应用包ID域名状态
88ef78f5...[REDACTED]直播
4446ea5d...[REDACTED], [REDACTED]直播
[REDACTED] 套件 [REDACTED], [REDACTED], [REDACTED], [REDACTED], soljup.onspace.build 混合

 JavaScript 有效载荷分析

有三个经过混淆的 JS 有效载荷为该数据窃取程序服务:

  • wallet-connect.js (46 KB) — 处理钱包连接界面,拦截种子输入。采用字符串数组轮转混淆技术。
  • wallet-specific-modals.js (134 KB) — 包含 完整的 BIP39 英文单词列表 以及 门罗币词表 (1,626 词)。通过覆盖 console.log/trace 实现反调试。支持多钱包弹出窗口。
  • [REDACTED]/index.js (601 KB) — 采用 Unicode 混淆技术,变量名使用中文。包含 Solana 专用的资金转移逻辑。Base58 编码器、加密密钥派生原语。版本 3.0.0。

 去匿名化风险

CORS: * 标头和缺乏身份验证手段 任何人都可以提交请求并观察任务 ID 的递增情况 实时。通过集成[REDACTED]机器人,运营商的[REDACTED]账户会收到通知——而且[REDACTED]的元数据可以被传唤调取。IANA #3765(前端域名注册商)是一家众所周知的“防查封”注册商,我们曾 此前已调查过,但 PDR 有限公司(C2 域名注册商) 确实会回应执法部门的请求. 该 [REDACTED] 该数据窃取套件服务于255个以上的域名——若[REDACTED]遭到入侵,将使整个DaaS运营及其所有客户信息暴露无遗。

 并列对比:4种操作,相同模式

公制 mn19indexpre
Express.js
web3ledgar
Firebase
web3safe-pal
Supabase
aipolypredictor
Drainer C2
身份验证无(该标记被忽略)JS 中的匿名键无(CORS:*)
数据可读消息/中继所有助记词所有助记词工作编号 / 规模
可写数据是(不限)是的是(完整的 CRUD 功能)是(提交)
输入验证极简
速率限制每60秒10次请求
可去匿名化MS365 租户Google 账户重新发送 + Supabase 计费PDR + [REDACTED]
估计受害人数未知12131+19,000+
操作员语言未知英语俄语未知

 为什么诈骗者不是黑客

证据确凿。在全部4次行动中,我们都观察到了相同的模式:

 诈骗分子会做什么
  • 购买现成的沥水架套装(200–500美元)
  • 在免费套餐上部署(Firebase、Supabase)
  • 保持默认配置不变
  • 使用他们不会验证的硬编码令牌
  • 切勿启用 RLS,切勿限制 CORS
  • 在元数据中披露其自身身份
  • 使用能体现其规模的序列ID
 黑客会怎么做
  • 编写自定义数据外泄工具
  • 使用经过加密和身份验证的通信通道
  • 随机生成标识符,轮换基础设施
  • 实施适当的访问控制
  • 使用 Tor/代理链、匿名支付
  • 将运维身份与托管分离
  • 实施反取证技术

“排水服务”的典型客户是 一名手持信用卡的社会工程师,而不是技术操作员。他们知道如何注册域名,也知道如何将代码粘贴到主机控制面板中。但他们不知道如何:

  • 配置 Firestore 安全规则(大约需要 2 分钟)
  • 启用 Supabase 行级安全(约需 5 分钟)
  • 验证并清理输入(预计耗时30分钟)
  • 使用 UUID 代替顺序整数(只需一行代码)
  • 将 CORS 限制在自身域名范围内(只需一行配置即可)

这些对手并不高明。 这些人连数据库都配置不了。

 入侵指标(IOCs)

域名

# Case 1: Express.js API [REDACTED] # Case 2: Firebase Stealer [REDACTED] [REDACTED] # Case 3: Supabase Stealer [REDACTED] # Case 4: Drainer Campaign [REDACTED] API.yfhikblkhghdyteiuyf54.run yfhikblkhghdyteiuyf54.run [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] stakepayment.icu [REDACTED] [REDACTED] [REDACTED] [REDACTED] soljup.onspace.build

IP地址

108.181.185.225 # Case 1 — Express.js (dedicated) 172.67.168.147 / 104.21.26.231 # Case 4 — C2 API (IANA #1910) 172.67.178.251 / 104.21.67.171 # Case 4 — Frontend (IANA #1910) 172.67.209.39 / 104.21.37.139 # Case 4 — [REDACTED] (IANA #1910) 43.130.171.152 / 43.130.171.225 # Case 4 — onspace domains (Tencent)

API 密钥和项目 ID

# Firebase (Case 2) 项目:web3ledger-210ab API密钥:AIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8 应用ID: 1:1054258933515:web:9fb193fcd0093023f7fc0e # Supabase (Case 3) 项目:gzqsadraigchwdhblavp 匿名密钥:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9... # Campaign Tracking (Case 4) 包 1:88ef78f56e0837dd0339e40a882bf563 包 2:4446ea5ddb308b2494db8ad4b12196c3 # Microsoft Tenant (Case 1) [REDACTED]

 结论:皇帝的新装

 要点

我们分析过的每一起诈骗活动都可能 完全遭到入侵、身份被曝光,并遭到破坏 仅使用网页浏览器、curl 以及公开可用的文档。在每起事件中,攻击者都将自己的数据库完全暴露在外,将 API 密钥留在公开的 JavaScript 文件中,将身份信息留在元数据中,并且受害者的数据对任何愿意查看的人都触手可及。

其中的道理很简单: 诈骗者并非黑客. 他们是一群 shoplifters,从 AliExpress 购买了一套开锁工具,却忘了锁好自家的大门。他们使用的工具虽然精良——因为是别人为他们制作的。而这些操作者本身却是业余爱好者,他们总是会将自己的基础设施、受害者的数据以及自身的身份信息,暴露给任何具备基本技术知识的人。

如果您曾在上述任何网站上输入过助记词——请假设您的钱包已遭入侵,并立即转移资金。

所有调查结果均已报告给相关服务提供商(Google/Firebase、Supabase、IANA #1910、域名注册商),并已记录在案以供执法部门参考。上述IOC已添加到 THE ENABLERS REGISTRY 销毁列表.

分享此调查

X / Twitter [REDACTED] Reddit 领英

相关调查

[REDACTED] 内幕曝光:55 个域名及 TRON 授权资金窃取者
调查
[REDACTED] 内幕曝光:55 个域名及 TRON 授权资金窃取者
深度调查
加密货币盗币工具包:Angel Drainer 经销商曝光
[REDACTED] TDS:1,500个面板被曝光,零正当用途
调查
[REDACTED] TDS:1,500个面板被曝光,零正当用途

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings