- Proyecto Crypto Wallet Drainer — trustspendcards.net
- Empresa Merabytes
- Sector Fintech / DeFi
- Fecha : 24 June, 2026
- Duración Campaña activa
Hoy, mientras unos descansan porque es festivo, a nosotros nos tocó revisar un anuncio sospechoso de Instagram que nos reportó un usuario.
El usuario en cuestión gestiona la tesorería crypto de su empresa y quería convertir dinero de crypto a fiat. 14 minutos después de que nos avisara teníamos las wallets del atacante, sus claves API, el secreto de backend y la lógica de vaciado completa. Esto es lo que había dentro.
Una campaña con presupuesto y Meta Ads
Lo sorprendente de esta estafa es que está comprando activamente anuncios en Instagram y sigue activa. La trampa que promociona es una “Tarjeta VISA USDT Débito” para usuarios DeFi. Es una operación con branding robado de una marca de confianza en el mundo cripto (Trust Wallet), infraestructura técnica funcional y capacidad para drenar 7 blockchains de forma simultánea.
Por qué funciona
La trampa del anuncio es que simula ser algo que los usuarios de DeFi llevan mucho tiempo esperando: un puente entre el mundo cripto y el sistema de pagos tradicional. Una tarjeta que permita gastar USDT en cualquier comercio es exactamente lo que millones de usuarios de criptomonedas querrían tener.
Además, el flujo de conexión de wallet — ese paso de “conecta tu cartera para verificar tu identidad” — es tan familiar para un usuario de DeFi que la señal de alarma no llega a activarse.
El drenador
trustspendcards[.]net, al hacer clic en el botón para pedir tu tarjeta, carga un modal de WalletConnect v2 en el evento onload, camuflado como una transacción de verificación de fondos. El JavaScript público de Vite/React (index-BJT51uc1.js) contiene la lógica de vaciado completa en texto plano. Sin ofuscación.
La página hace lo siguiente en el momento en que intentas pedir tu crypto VISA:
- Llama a la API de NowNodes para enumerar tu saldo USDT en 7 cadenas: ETH, BSC, POL, AVAX, ARB, BASE, TRON
- Solicita
eth_sendTransactionpara mover todo a la wallet EVM del atacante - Solicita
eth_signTypedDatacon unpermitEIP-712 para aprobaciones gasless - En TRON: firma una transferencia TRC20 con
tronweby la envía via POST a/api/tron-drain - En EVM: registra la aprobación en
/api/register-approved
Los endpoints se autentican con la cabecera HTTP x-drainer-secret. La víctima ve un modal de “verificación de tarjeta”. Tras aceptar, le vacía las wallets.
Lo que el atacante dejó en el frontend
const DRAINER_SECRET = "fOdhGD475JKOEF23rfrje&Fh3u4"; // auth backend — cualquiera puede llamar los endpoints
const EVM_SPENDER = "0xD4d6A26Dc84516FF9e1AC8837Dd347Ebe5bCb0c7"; // ETH/BSC/POL/AVAX/ARB/BASE
const TRON_SPENDER = "TSxfbXySDAtoEyDDAHZxYA6X6dY2nB4P29"; // TRON
const NOWNODES_KEY = "fc94c112-d3c2-4202-8f08-e236870e1e4b"; // reconocimiento de saldos en vivo
El atacante usó tooling de configuración de frontend para exponer credenciales que deberían estar en el backend. La opsec del threat actor no es la mejor.
Contactos de red al cargar la página
trustspendcards[.]net— entrega del payloadexplorer-api.walletconnect.com— listado de wallets e iconos, abusado para proyectar legitimidadconnect.facebook.net— Pixel1695678144955877— rastreo de conversión de víctimas, campaña activa
IOCs
trustspendcards.net0xD4d6A26Dc84516FF9e1AC8837Dd347Ebe5bCb0c7— wallet de vaciado EVMTSxfbXySDAtoEyDDAHZxYA6X6dY2nB4P29— wallet de vaciado TRON/api/tron-drain,/api/register-approved— endpoints de vaciado- WalletConnect project
5816c5bba147eba277e1575494697210— reportar para revocación - NowNodes key
fc94c112-d3c2-4202-8f08-e236870e1e4b— reportar a NowNodes - Pixel FB
1695678144955877— reportar campaña a Meta (utm_id: 52525097425042)
Ningún protocolo DeFi legítimo pide firmar una transacción para activar una tarjeta. Si tu wallet muestra eth_sendTransaction y tú no has iniciado un swap, cierra la pestaña.
La campaña sigue activa.
#threatintelligence #dfir #defi #cryptodrainer #walletconnect #web3security
¿Trabajas con activos digitales o tienes un equipo con exposición a DeFi? merabytes.com
Preguntas frecuentes
Un Adversary-Aware SOC va más allá del monitoreo de seguridad tradicional al comprender las tácticas, técnicas y procedimientos (TTPs) de los atacantes. Cazamos amenazas de forma proactiva usando el framework MITRE ATT&CK, análisis de comportamiento e inteligencia de amenazas para detectar ataques que evaden los controles de seguridad convencionales.
Las herramientas de seguridad tradicionales se enfocan en firmas e indicadores conocidos. Nuestra detección por comportamiento analiza anomalías en la actividad de usuarios, patrones de correo, tráfico de red y comportamiento del sistema para identificar ataques sofisticados que usan herramientas legítimas o evaden controles de autenticación. Esto detectó los ataques en estos casos de estudio antes de que ocurriera un daño significativo.
Nuestro SOC opera 24/7 con monitoreo en tiempo real y capacidades de respuesta automatizada. Las alertas críticas activan investigación inmediata y acciones de contención en minutos. Proporcionamos caza de amenazas continua, análisis forense y respuesta coordinada a incidentes para minimizar el impacto y prevenir el movimiento lateral.
Combinamos feeds de inteligencia de amenazas globales con nuestra propia investigación de incidentes reales. Cada ataque que analizamos contribuye a nuestras reglas de detección y base de datos de IOCs, que se comparte inmediatamente en todos los entornos protegidos. Esto significa que si vemos un nuevo patrón de ataque contra un cliente, todos los clientes están automáticamente protegidos en horas.
Absolutamente. Nuestro SOC se integra con sus herramientas existentes de EDR, XDR, SIEM, firewalls, seguridad de correo y protección de identidad. Mejoramos su efectividad correlacionando eventos de todas las fuentes, aplicando lógica de detección consciente de adversarios y proporcionando análisis humano experto que las herramientas automatizadas por sí solas no pueden lograr.