ZyroX 
, [12.11.2025 16:41]
[ ZyroX kişisinden iletildi ]
Zyrox - EVM Drainer - Ton Drainer 
EVM DRAİNER 2025 / PER-1, PER-2 ve Diğer Bypass Yöntemleriyle Satışınıza Sunuluyor
- Aşağıda tüm özellikleri içeren kurbanlarınızı rahatlıkla avlayıp cüzdanlarını boşaltabileceğiniz bir drainer
Giriş: "Crypto Drainer" Nedir?:
"Crypto Drainer," kullanıcıların kripto cüzdanlarındaki varlıkları (kripto paralar, token'lar ve NFT'ler) onların izni olmadan ve genellikle farkında bile olmadan boşaltmak için tasarlanmış karmaşık bir kötü amaçlı yazılım türüdür. Bu yazılımlar genellikle sahte web siteleri (phishing siteleri) aracılığıyla çalışır ve kullanıcıları, aslında varlıklarının kontrolünü saldırgana veren işlemleri imzalamaları için kandırır.
Hangi Varlıklar ve Ağlar Risk Altında?
Bu tür yazılımlar, EVM (Ethereum Virtual Machine) uyumlu olan tüm blockchain ağlarını hedef alabilir. Çünkü bu ağlar aynı cüzdan altyapısını, akıllı kontrat standartlarını ve işlem imzalama mantığını paylaşır.
Başlıca Hedef Ağlar:
- Ethereum (ETH)
- BNB Smart Chain (BSC)
- Polygon (MATIC)
- Avalanche (AVAX)
- Arbitrum, Optimism ve diğer Layer-2 çözümleri
Hedeflenen Varlık Türleri:
Native Coin'ler: ETH, BNB gibi ağın ana kripto parası.
ERC-20 Token'ları: USDT, USDC gibi stabil coin'ler ve UNI, AAVE gibi binlerce altcoin.
NFT'ler (ERC-721 ve ERC-1155): OpenSea, Blur gibi pazar yerlerinde işlem gören tüm NFT koleksiyonları.
"Drainer" Yazılımlarının Temel Özellikleri ve Çalışma Mantığı:
- Drainer'lar, tek bir programdan ziyade bir dizi araç ve komut dosyasından oluşan bir sistemdir. Temel adımları şunlardır:
Phishing Arayüzü (Oltalama Sitesi):
Saldırganlar, popüler bir NFT projesinin "mint" sitesi, bir airdrop talep sayfası veya bilinen bir DeFi platformunun birebir kopyası olan sahte bir web sitesi oluşturur. Bu siteler, kullanıcıyı cüzdanını bağlamaya teşvik eder.
Cüzdan Bağlantısı ve Analizi:
- Kullanıcı "Connect Wallet" butonuna tıkladığında, site kullanıcının cüzdan adresini alır. Gelişmiş drainer kitleri, bu aşamada cüzdanın içindeki değerli varlıkları (yüksek değerli NFT'ler, büyük miktarda token'lar) otomatik olarak tarar ve saldırının potansiyelini değerlendirir.
Aldatıcı İşlem Talebi :
- Drainer'ın en kritik adımı burasıdır. Site, kullanıcıya masum görünen bir eylem (örneğin "Airdrop Talep Et", "Ücretsiz NFT Al", "Cüzdanını Doğrula") için bir işlem imzalama talebi gönderir. Ancak arka planda talep edilen imza, son derece tehlikeli fonksiyonları tetikler:
setApprovalForAll (NFT'ler için):
- Bu, bir NFT koleksiyonu için en tehlikeli onaydır. Kullanıcı bu işlemi imzaladığında, saldırganın akıllı kontratına, o koleksiyondaki tüm NFT'lerini transfer etme yetkisi verir. Arayüzde "Verify Ownership" yazarken, MetaMask gibi cüzdanların işlem detayında setApprovalForAll onayı istendiği görülebilir.
approve (ERC-20 Token'ları için):
- Bu fonksiyon, setApprovalForAll'un token'lar için olan versiyonudur. Saldırgan, genellikle cüzdandaki token bakiyesinin tamamını veya teknik olarak mümkün olan en yüksek sayıyı (uint256.max) harcama izni ister.
signTypedData / Permit2:
- Bunlar daha yeni ve sinsi yöntemlerdir. Kullanıcıdan bir işlem (transaction) yerine bir mesaj (message) imzalaması istenir. Bu imza, gaz ücreti ödemeden token harcama onayı vermek için kullanılabilir. Kullanıcılar genellikle mesaj imzalamanın bir işleme göre daha az riskli olduğunu düşündüğü için bu tuzağa daha kolay düşer. Saldırgan bu imzayı kullanarak daha sonra varlıkları kendi cüzdanına çeker.
Otomatik Varlık Çekimi:
- Kullanıcı tehlikeli onayı verdiği anda, saldırganın sunucusunda çalışan bir bot (backend script) bunu anında tespit eder ve onay verilen varlıkları kendi kontrolündeki cüzdanlara transfer etmek için transferFrom fonksiyonunu çağırır. Bu süreç saniyeler içinde tamamlanır.
Güvenlik Mekanizmaları Nasıl Bypass Ediliyor?
Saldırganlar, hem kullanıcıları hem de güvenlik yazılımlarını atlatmak için çeşitli sofistike yöntemler kullanır.
ZyroX, [12.11.2025 16:41]
[ ZyroX kişisinden iletildi ]
"Safe Browsing" ve Phishing Filtrelerini Atlatma
- Tarayıcıların ve güvenlik eklentilerinin kullandığı kara listeleri (blacklist) aşmak için şu teknikler kullanılır:
Hızlı Alan Adı Değişimi:
- Saldırganlar, yüzlerce alan adı satın alır. Bir alan adı tespit edilip engellendiğinde, anında bir diğerine geçerler.
Gizleme (Cloaking):
- Web sitesi, ziyaretçinin bir güvenlik botu mu (örneğin Google's Safe Browsing tarayıcısı) yoksa gerçek bir kullanıcı mı olduğunu tespit etmeye çalışır. Eğer ziyaretçinin bir bot olduğunu anlarsa, ona zararsız, boş bir sayfa gösterir. Ancak tarayıcısında MetaMask gibi bir cüzdan eklentisi olan gerçek bir kullanıcı geldiğinde, kötü amaçlı arayüzü yükler.
Alt Alan Adları (Subdomains):
- Saldırganlar, ele geçirdikleri meşru bir web sitesinin alt alan adlarını (subdomain) kullanarak phishing sitesi oluşturabilir. Bu, ana domainin itibarından faydalandıkları için tespit edilmesini zorlaştırır.
Cüzdan Uyarılarını ve "Anti-Drain" Korumalarını Atlatma
- Cüzdanların ve güvenlik eklentilerinin sunduğu korumalar genellikle kullanıcının dikkatsizliği veya bilgi eksikliği nedeniyle aşılır:
Sosyal Mühendislik:
- En etkili yöntem budur. Saldırgan, kullanıcıyı acele etmeye veya bir fırsatı kaçırma korkusuyla (FOMO) hareket etmeye zorlar. "Sınırlı sayıda NFT kaldı!", "Airdrop süresi doluyor!" gibi ifadelerle kullanıcının cüzdanın gösterdiği uyarıları dikkatlice okumasını engeller.
İşlem Maskeleme:
- Kullanıcıya sunulan web arayüzü "Koleksiyona Katıl" gibi masum bir metin gösterirken, cüzdanın onay penceresinde setApprovalForAll gibi teknik bir ifade yer alır. Ortalama bir kullanıcı bu ifadenin ne anlama geldiğini bilmediği için onaylayabilir.
İşlem Simülasyonunu Kandırma:
- Bazı gelişmiş güvenlik eklentileri (örneğin Pocket Universe, Fire), bir işlemi imzalamadan önce ne yapacağını simüle ederek kullanıcıyı uyarır. Saldırganlar, kodlarının bir simülasyon ortamında mı çalıştığını tespit etmeye yönelik teknikler geliştirebilir. Eğer simülasyonda olduğunu anlarsa, kötü amaçlı kodu çalıştırmaz ve böylece tespit edilmekten kaçınır.
ZyroX
Telegram : @ZyroX6
, [12.11.2025 16:41][ ZyroX
kişisinden iletildi ] Zyrox - EVM Drainer - Ton Drainer EVM DRAİNER 2025 / PER-1, PER-2 ve Diğer Bypass Yöntemleriyle Satışınıza Sunuluyor- Aşağıda tüm özellikleri içeren kurbanlarınızı rahatlıkla avlayıp cüzdanlarını boşaltabileceğiniz bir drainer
Giriş: "Crypto Drainer" Nedir?: "Crypto Drainer," kullanıcıların kripto cüzdanlarındaki varlıkları (kripto paralar, token'lar ve NFT'ler) onların izni olmadan ve genellikle farkında bile olmadan boşaltmak için tasarlanmış karmaşık bir kötü amaçlı yazılım türüdür. Bu yazılımlar genellikle sahte web siteleri (phishing siteleri) aracılığıyla çalışır ve kullanıcıları, aslında varlıklarının kontrolünü saldırgana veren işlemleri imzalamaları için kandırır.
Hangi Varlıklar ve Ağlar Risk Altında?
Bu tür yazılımlar, EVM (Ethereum Virtual Machine) uyumlu olan tüm blockchain ağlarını hedef alabilir. Çünkü bu ağlar aynı cüzdan altyapısını, akıllı kontrat standartlarını ve işlem imzalama mantığını paylaşır.
Başlıca Hedef Ağlar: - Ethereum (ETH)
- BNB Smart Chain (BSC)
- Polygon (MATIC)
- Avalanche (AVAX)
- Arbitrum, Optimism ve diğer Layer-2 çözümleri
Hedeflenen Varlık Türleri:Native Coin'ler: ETH, BNB gibi ağın ana kripto parası.
ERC-20 Token'ları: USDT, USDC gibi stabil coin'ler ve UNI, AAVE gibi binlerce altcoin.
NFT'ler (ERC-721 ve ERC-1155): OpenSea, Blur gibi pazar yerlerinde işlem gören tüm NFT koleksiyonları.
"Drainer" Yazılımlarının Temel Özellikleri ve Çalışma Mantığı:- Drainer'lar, tek bir programdan ziyade bir dizi araç ve komut dosyasından oluşan bir sistemdir. Temel adımları şunlardır:
Phishing Arayüzü (Oltalama Sitesi):Saldırganlar, popüler bir NFT projesinin "mint" sitesi, bir airdrop talep sayfası veya bilinen bir DeFi platformunun birebir kopyası olan sahte bir web sitesi oluşturur. Bu siteler, kullanıcıyı cüzdanını bağlamaya teşvik eder.
Cüzdan Bağlantısı ve Analizi:- Kullanıcı "Connect Wallet" butonuna tıkladığında, site kullanıcının cüzdan adresini alır. Gelişmiş drainer kitleri, bu aşamada cüzdanın içindeki değerli varlıkları (yüksek değerli NFT'ler, büyük miktarda token'lar) otomatik olarak tarar ve saldırının potansiyelini değerlendirir.
Aldatıcı İşlem Talebi :- Drainer'ın en kritik adımı burasıdır. Site, kullanıcıya masum görünen bir eylem (örneğin "Airdrop Talep Et", "Ücretsiz NFT Al", "Cüzdanını Doğrula") için bir işlem imzalama talebi gönderir. Ancak arka planda talep edilen imza, son derece tehlikeli fonksiyonları tetikler:
setApprovalForAll (NFT'ler için):- Bu, bir NFT koleksiyonu için en tehlikeli onaydır. Kullanıcı bu işlemi imzaladığında, saldırganın akıllı kontratına, o koleksiyondaki tüm NFT'lerini transfer etme yetkisi verir. Arayüzde "Verify Ownership" yazarken, MetaMask gibi cüzdanların işlem detayında setApprovalForAll onayı istendiği görülebilir.
approve (ERC-20 Token'ları için):- Bu fonksiyon, setApprovalForAll'un token'lar için olan versiyonudur. Saldırgan, genellikle cüzdandaki token bakiyesinin tamamını veya teknik olarak mümkün olan en yüksek sayıyı (uint256.max) harcama izni ister.
signTypedData / Permit2:- Bunlar daha yeni ve sinsi yöntemlerdir. Kullanıcıdan bir işlem (transaction) yerine bir mesaj (message) imzalaması istenir. Bu imza, gaz ücreti ödemeden token harcama onayı vermek için kullanılabilir. Kullanıcılar genellikle mesaj imzalamanın bir işleme göre daha az riskli olduğunu düşündüğü için bu tuzağa daha kolay düşer. Saldırgan bu imzayı kullanarak daha sonra varlıkları kendi cüzdanına çeker.
Otomatik Varlık Çekimi:- Kullanıcı tehlikeli onayı verdiği anda, saldırganın sunucusunda çalışan bir bot (backend script) bunu anında tespit eder ve onay verilen varlıkları kendi kontrolündeki cüzdanlara transfer etmek için transferFrom fonksiyonunu çağırır. Bu süreç saniyeler içinde tamamlanır.
Güvenlik Mekanizmaları Nasıl Bypass Ediliyor?
Saldırganlar, hem kullanıcıları hem de güvenlik yazılımlarını atlatmak için çeşitli sofistike yöntemler kullanır.
ZyroX
, [12.11.2025 16:41][ ZyroX
kişisinden iletildi ] "Safe Browsing" ve Phishing Filtrelerini Atlatma- Tarayıcıların ve güvenlik eklentilerinin kullandığı kara listeleri (blacklist) aşmak için şu teknikler kullanılır:
Hızlı Alan Adı Değişimi:- Saldırganlar, yüzlerce alan adı satın alır. Bir alan adı tespit edilip engellendiğinde, anında bir diğerine geçerler.
Gizleme (Cloaking):- Web sitesi, ziyaretçinin bir güvenlik botu mu (örneğin Google's Safe Browsing tarayıcısı) yoksa gerçek bir kullanıcı mı olduğunu tespit etmeye çalışır. Eğer ziyaretçinin bir bot olduğunu anlarsa, ona zararsız, boş bir sayfa gösterir. Ancak tarayıcısında MetaMask gibi bir cüzdan eklentisi olan gerçek bir kullanıcı geldiğinde, kötü amaçlı arayüzü yükler.
Alt Alan Adları (Subdomains):- Saldırganlar, ele geçirdikleri meşru bir web sitesinin alt alan adlarını (subdomain) kullanarak phishing sitesi oluşturabilir. Bu, ana domainin itibarından faydalandıkları için tespit edilmesini zorlaştırır.
Cüzdan Uyarılarını ve "Anti-Drain" Korumalarını Atlatma- Cüzdanların ve güvenlik eklentilerinin sunduğu korumalar genellikle kullanıcının dikkatsizliği veya bilgi eksikliği nedeniyle aşılır:
Sosyal Mühendislik:- En etkili yöntem budur. Saldırgan, kullanıcıyı acele etmeye veya bir fırsatı kaçırma korkusuyla (FOMO) hareket etmeye zorlar. "Sınırlı sayıda NFT kaldı!", "Airdrop süresi doluyor!" gibi ifadelerle kullanıcının cüzdanın gösterdiği uyarıları dikkatlice okumasını engeller.
İşlem Maskeleme:- Kullanıcıya sunulan web arayüzü "Koleksiyona Katıl" gibi masum bir metin gösterirken, cüzdanın onay penceresinde setApprovalForAll gibi teknik bir ifade yer alır. Ortalama bir kullanıcı bu ifadenin ne anlama geldiğini bilmediği için onaylayabilir.
İşlem Simülasyonunu Kandırma:- Bazı gelişmiş güvenlik eklentileri (örneğin Pocket Universe, Fire), bir işlemi imzalamadan önce ne yapacağını simüle ederek kullanıcıyı uyarır. Saldırganlar, kodlarının bir simülasyon ortamında mı çalıştığını tespit etmeye yönelik teknikler geliştirebilir. Eğer simülasyonda olduğunu anlarsa, kötü amaçlı kodu çalıştırmaz ve böylece tespit edilmekten kaçınır.
ZyroXTelegram : @ZyroX6