Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / AR / BUYTRX DRAINER EXPOSED

الكشف عن «[REDACTED] Drainer»: تشريح عملية احتيال

The Enablers Registry·Editorial mirror·/ar/buytrx-drainer-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

عملية تصيد احتيالي تحت مسمى «TRON USDT approval» · الكشف عن البنية الخلفية · أدلة على السلسلة · التمويل عبر إعلانات Google

الكشف عن برنامج «[REDACTED] Drainer»
0+
نطاقات التصيد الاحتيالي
0
سجلات الضحايا التي تم الكشف عنها
0
مصادقة واجهة برمجة التطبيقات (API)
$0
تكلفة الوصول إلى جميع البيانات

ما هو [REDACTED]؟

[REDACTED] هي عملية استنزاف أموال USDT تعتمد على شبكة TRON، وتتخفى في شكل خدمة تبادل عملات مشفرة شرعية. وتتميز المواقع بواجهات ذات مظهر احترافي، وتعد بتحويل USDT إلى TRX بأسعار مغرية. لكن عملية «التبادل» هذه لا تتم أبدًا.

بدلاً من ذلك، يُطلب من الضحية التوقيع على approve(MAX_UINT256) معاملة على العقد الذكي لـ USDT (TRC-20). هذا التوقيع الفردي يمنح عقد «drainer» التابع للمهاجم إذن غير محدود لتحويل رصيد الضحية بالكامل من USDT — الآن وإلى الأبد — إلى أن يتم إلغاء الموافقة يدويًّا.

بمجرد تأكيد الموافقة على السلسلة، يقوم المشغل بالاتصال بـ transferFrom() لسرقة المحفظة. لا ترى الضحية شيئًا. لا تبادل. لا TRX. مجرد رصيد فارغ.

توقيع واحد. وصول غير محدود. قدرة تصريف دائمة.

لا تؤدي عملية استدعاء الدالة approve() إلى تحويل الرموز الرقمية — بل تمنح الإذن فقط. أما السرقة الفعلية فتحدث بصمت عبر الدالة transferFrom() بعد ثوانٍ أو ساعات. ولا يربط معظم الضحايا أبدًا بين هاتين المعاملتين.

هذه العملية نشطة منذ ما لا يقل عن يوليو 2025، حيث تتنقل بين عشرات النطاقات كلما تم الإبلاغ عن النطاقات القديمة وإزالتها. وتتكيف البنية التحتية بسرعة تفوق قدرة معظم جهات التسجيل ومزودي خدمات الاستضافة على الاستجابة.

أكثر من 55 نطاقًا — عملية واحدة

كشفت تحقيقاتنا عن شبكة واسعة النطاق من نطاقات التصيد الاحتيالي، تقدم جميعها واجهات تداول «[REDACTED]» متطابقة أو شبه متطابقة. وتمتد هذه النطاقات لتشمل خدمات «IANA #1910 Workers» و«IANA #1910 Pages» وخوادم المنشأ المادية.

النطاقات النشطة حاليًا

المجالالنوعالاستضافة
[REDACTED]الابتدائيIANA #1910
[REDACTED]المرحلة الابتدائية + APIIANA #1910
[REDACTED].movنشطIANA #1910
[REDACTED].cxنشطIANA #1910
[REDACTED]نشطIANA #1910
[REDACTED].betنشطIANA #1910
[REDACTED].storeنشطIANA #1910
[REDACTED].clickنشطIANA #1910
[REDACTED]نشطIANA #1910
[REDACTED]نشطIANA #1910

IANA #1910 Workers و Pages

النطاق الفرعيالمنصة
shrill-haze-5ff7.[REDACTED].workers.devالعمال
[REDACTED]العمال
[REDACTED].pages.devالصفحات
[REDACTED]الصفحات

خوادم Origin

عنوان IPالمزودالغرض
107.155.88.198HIVELOCITY (AS29802)المصدر الأساسي
46.21.151.194HVC-ASالأصل الثانوي

إضافة إلى ذلك أكثر من 50 نطاقًا معاد تدويره تم تحديدها، ومن بينها:

[REDACTED].net [REDACTED].org [REDACTED].io [REDACTED].co [REDACTED].exchange [REDACTED].app [REDACTED].pro [REDACTED].cc [REDACTED].xyz [REDACTED].site [REDACTED].online [REDACTED].live [REDACTED].fun [REDACTED].top [REDACTED].vip [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] وغيرها الكثير.

تم حذف واستبدال أكثر من 50 نطاقًا. تتكيف البنية التحتية بسرعة أكبر من سرعة استجابة معظم جهات التسجيل.

واجهات برمجة التطبيقات (API) التي لا تتطلب مصادقة — الخلفية مفتوحة على مصراعيها

تعمل عملية [REDACTED] على 6 نقاط نهاية لAPI Express.js التي تشترك في قاعدة بيانات واحدة. وتُستضاف واجهة برمجة التطبيقات (API) الرئيسية على [REDACTED]. كل نقطة نهاية على حدة تعرض بيانات الضحية كاملةً دون أي مصادقة.

نقاط النهاية غير المصادق عليها

نقطة النهايةالمرتجعات
GET /api/recordsجميع سجلات الضحايا
GET /api/records/:idتفاصيل الضحية الفردية
GET /api/statsإحصاءات العمليات
POST /api/recordsإنشاء سجل جديد
PUT /api/records/:idتحديث السجل
DELETE /api/records/:idحذف السجل

لوحة تحكم المسؤول غير المصادق عليها

يمكن الوصول إلى لوحة الإدارة على الرابط التالي: /8fb198a6e9b7af32 — مسار تجزئة يعتمد على مبدأ «الأمان عن طريق الغموض» مع المصادقة الصفرية. ويوفر هذا النظام موجزًا في الوقت الفعلي عن الضحايا يعرض ما يلي:

  • عناوين محافظ كل ضحية
  • معرّفات المعاملات (تجزئات الموافقة)
  • عناوين IP للضحايا
  • الطوابع الزمنية لكل تفاعل
  • مبالغ الموافقة (عادةً ما تكون MAX_UINT256)
استجابة API غير مصدقة — [REDACTED]
{
  "records": [
    {
      "id": 1,
      "wallet": "TKjdnS...redacted",
      "txHash": "a8f3e2...redacted",
      "ip": "185.xxx.xxx.xxx",
      "amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
      "status": "approved",
      "createdAt": "2026-02-14T09:23:41.000Z"
    }
  ]
}

تم اكتشاف ثغرات أمنية إضافية:

  • العامل المحدد الضعيف: 6 طلبات لكل نافذة، يمكن تجاوزها بسهولة باستخدام تدوير عناوين IP
  • تسرب رأس الصفحة في Express.js: X-Powered-By: Express تكشف عن تقنية الخوادم
  • ثغرة XSS مخزنة محتملة: تعرض لوحة الإدارة سلاسل «user-agent» غير معقمة
قام المشغلون بإنشاء نظام تصريف، لكنهم نسوا تأمين نظامهم الخلفي.

يمكن الحصول على عنوان محفظة كل ضحية، وعنوان IP الخاص به، وهاش المعاملة، ومبلغ الموافقة بمجرد إرسال طلب GET واحد غير مصدق. لا توجد مفاتيح API. لا توجد توكنات. لا يوجد أمان.

الأدلة الموجودة على السلسلة

يتم نشر عقود «الدرينر» على شبكة «ترون»، وقد استُخدمت بشكل نشط لمعالجة معاملات الموافقة المقدمة من الضحايا.

العقدالتسميةتم نشرهاالمعاملات
TRnruCYe2k...UPJ8 SwapTRX (حاليًا) 13 ديسمبر 2025 نشط
TXwXfz8Bp9...uHnS العقد القديم في وقت سابق 323 حالة مسجلة

4 معاملات موافقة مؤكدة على السلسلة تم مطابقتها مع سجلات الضحايا في قاعدة البيانات التي تم الكشف عنها (السجلات 1–10). ويبدو أن السجلات من 11 إلى 30 هي بيانات اختبار المشغل — اختبار المحافظ باستخدام مبالغ صغيرة، وأنماط توقيت متتالية، ونطاقات عناوين IP متطابقة.

تكامل WalletConnect

تستخدم مواقع التصيد الاحتيالي خدمة WalletConnect لإظهار نافذة طلب التوقيع للموافقة في المحافظ الرقمية على الهواتف المحمولة. وتستخدم هذه العملية معرّف مشروع WalletConnect:

31eee2e7b3ff1dc4ebdfa6f839467664

يجب الإبلاغ عن معرّف المشروع هذا إلى WalletConnect من أجل إدراجه فوراً في القائمة السوداء.

تتبع مسار الأموال — إعلانات Google ونظام إسناد الفضل

ولعل النتيجة الأكثر إثارة للقلق هي: يدفع مشغلو [REDACTED] أموالاً لشركة جوجل للإعلان عن برنامج الاستنزاف الخاص بهم.

المؤشر القيمة
حساب Google Ads AW-17287232508
تتبع التحويلات يتتبع عمليات الموافقة الناجحة باعتبارها تحويلات
جهة الاتصال على [REDACTED] [REDACTED] ("بايترون")
لغة لوحة الإدارةالصينية المبسطة

تتبع حساب Google Ads عمليات الموافقة الناجحة على المحافظ كأحداث تحويل. وهذا يعني أن منصة الإعلانات التابعة لـ«جوجل» تعمل فعليًّا على تحسين عملية عرض الإعلانات بهدف العثور على المزيد من الضحايا لبرنامج استنزاف العملات المشفرة — وتقوم بتحصيل رسوم مقابل هذه الخدمة.

لوحة تحكم المسؤول مكتوبة بالكامل بلغة الصينية المبسطة، مع عناصر واجهة المستخدم مثل 日間 / 夜間 (أزرار التبديل بين الوضع النهاري والليلي) وتعليقات شفرة المصدر باللغة الصينية. اسم المستخدم على [REDACTED] [REDACTED] تُعدّ قناة الاتصال الرئيسية مع المشغل.

إنهم يديرون حملات إعلانية عبر Google Ads تتعقب عمليات سحب الأموال الناجحة من المحفظة باعتبارها أحداث تحويل.

تتلقى «جوجل» أموالاً مقابل تحسين عرض الإعلانات لصالح عملية تصيد احتيالي. والمعلنون لا يخفون أمرهم — فهم يدفعون مقابل الحصول على زيارات مستهدفة، ويقيسون «النجاح» بعدد المحافظ التي يتم استنزافها.

توصيات بشأن عمليات إزالة المحتوى

تتعلق هذه العملية بعدد من مقدمي الخدمات. ومن الضروري التنسيق في تقديم التقارير عبر جميع القنوات:

IANA #1910

الإبلاغ عن حالات إساءة استخدام العمال، وحالات إساءة استخدام الصفحات، وسجلات DNS لجميع النطاقات التي يزيد عددها عن 55 نطاقًا. تقرير جماعي عن حالات إساءة الاستخدام مع قائمة كاملة بالنطاقات.

شركات تسجيل النطاقات

أكثر من 55 نطاقًا موزعة على عدة جهات تسجيل. ويتطلب كل منها تقديم بلاغات منفصلة عن إساءة الاستخدام تشير إلى عمليات التصيد الاحتيالي والاحتيال المالي.

HIVELOCITY

خادم Origin على العنوان 107.155.88.198 الذي يستضيف واجهة برمجة التطبيقات (API) الخلفية. تقرير بشأن استضافة بنية تحتية لعمليات التصيد الاحتيالي.

WalletConnect

رقم تعريف مشروع القائمة السوداء 31eee2e7b3ff1dc4ebdfa6f839467664 لمنع مواقع التصيد الاحتيالي من إظهار مطالبات التوقيع الخاصة بالمحفظة.

ترونسكان

عقود تصريف الأعلام TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 و TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.

إعلانات Google

الإبلاغ عن الحساب AW-17287232508 للترويج لعمليات التصيد الاحتيالي والاحتيال المالي. ويُثبت تتبع التحويل وجود نية خبيثة.

الأدلة والبيانات المصدرية

إزالة البنية التحتية بالكامل

تحليل تقني شامل: النطاقات، وواجهات برمجة التطبيقات (API)، والعقود، وتحديد المصدر.

قائمة النطاقات وتفاصيلها

أكثر من 55 نطاقًا مع تفاصيل الاستضافة ومعلومات التسجيل والحالة الحالية.

مجموعة بيانات ضحايا واجهة برمجة التطبيقات (API) في صيغتها الأولية

ردود واجهة برمجة التطبيقات (API) غير المحجوبة من الخادم الخلفي غير المصادق عليه. 30 سجلًا.

Tronscan: عقد SwapTRX

عقد «Active Drainer» على شبكة TRON. اطلع على المعاملات والموافقات على السلسلة.

التحقق. الإلغاء. الإبلاغ.

شبكة نطاقات التصيد الاحتيالي «[REDACTED]» — خريطة مفصلة للمجموعات
شبكة نطاقات التصيد الاحتيالي «[REDACTED]» — خريطة مفصلة للمجموعات
نظرة عامة على شبكة نطاقات [REDACTED] — بنية تحتية مترابطة لعمليات التصيد الاحتيالي
نظرة عامة على شبكة نطاقات [REDACTED] — بنية تحتية مترابطة لعمليات التصيد الاحتيالي
تدفق أموال [REDACTED] — كيف تنتقل عملات TRX المسروقة عبر سلسلة غسل الأموال
تدفق أموال [REDACTED] — كيف تنتقل عملات TRX المسروقة عبر سلسلة غسل الأموال

إذا كنت قد تفاعلت مع أي نطاق تابع لـ [REDACTED]، فافحص على الفور أذونات توكنات TRON الخاصة بك. قم بإلغاء أي أذونات مشبوهة وأبلغ عن هذه النطاقات.

إلغاء الموافقات على الرموز المميزة الإبلاغ عن نطاق أدوات DestroyList
#CryptoDrainer#[REDACTED]#OSINT#PhishingInfrastructure#TronScam

التحقيقات ذات الصلة

تحقيق معمق
مجموعة أدوات «Crypto Drainer»: الكشف عن موزعي «Angel Drainer»
لوحة التصيد الاحتيالي الخاصة بـ «[REDACTED]»: سرقة 239 ألف دولار، و6 مشغلين
تحقيق معمق
لوحة التصيد الاحتيالي الخاصة بـ «[REDACTED]»: سرقة 239 ألف دولار، و6 مشغلين
التحقيق
الكشف عن المحتالين: تحليل 4 أنظمة خلفية لعمليات الاحتيال

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings