
Possibly phishing-Aktion im Zusammenhang mit TRON-USDT-Genehmigungen · Aufgedecktes Backend · On-Chain-Beweise · Finanzierung über Google Ads
Was ist [REDACTED]?
[REDACTED] ist ein auf TRON basierender Betrug, bei dem USDT-Guthaben abgezogen werden, der sich als seriöser Kryptowährungs-Swap-Dienst tarnt. Die Websites verfügen über professionell gestaltete Benutzeroberflächen, die versprechen, USDT zu attraktiven Kursen in TRX umzuwandeln. Doch der „Swap“ findet niemals statt.
Stattdessen wird das Opfer aufgefordert, eine approve(MAX_UINT256) Transaktion über den USDT (TRC-20)-Smart-Contract. Diese einzelne Signatur gewährt dem Drainer-Contract des Angreifers uneingeschränkte Berechtigung das gesamte USDT-Guthaben des Opfers zu übertragen – jetzt und für immer –, bis die Genehmigung manuell widerrufen wird.
Sobald die Genehmigung in der Blockchain bestätigt ist, ruft der Betreiber transferFrom() um das Wallet zu leeren. Das Opfer bemerkt nichts. Kein Austausch. Kein TRX. Nur ein leerer Kontostand.
Der Aufruf von „approve()“ überträgt keine Token – er erteilt lediglich eine Berechtigung. Der eigentliche Diebstahl erfolgt unbemerkt über „transferFrom()“, Sekunden oder Stunden später. Die meisten Opfer bringen diese beiden Transaktionen nie miteinander in Verbindung.
Die Operation ist seit mindestens Juli 2025, wobei Dutzende von Domains durchlaufen werden, sobald alte Domains gemeldet und gesperrt werden. Die Infrastruktur passt sich schneller an, als die meisten Registrare und Hosting-Anbieter reagieren können.
Über 55 Domains – alles aus einer Hand
Unsere Untersuchung deckte ein weitverzweigtes Netzwerk von Possibly phishing-Domains auf, die alle identische oder nahezu identische [REDACTED]-Swap-Oberflächen bereitstellen. Die Domains erstrecken sich über IANA #1910 Workers, IANA #1910 Pages und Bare-Metal-Origin-Server.
Derzeit aktive Domains
| Domäne | Typ | Hosting |
|---|---|---|
[REDACTED] | Grundschule | IANA #1910 |
[REDACTED] | Grundschule + API | IANA #1910 |
[REDACTED].mov | Aktiv | IANA #1910 |
[REDACTED].cx | Aktiv | IANA #1910 |
[REDACTED] | Aktiv | IANA #1910 |
[REDACTED].bet | Aktiv | IANA #1910 |
[REDACTED].store | Aktiv | IANA #1910 |
[REDACTED].click | Aktiv | IANA #1910 |
[REDACTED] | Aktiv | IANA #1910 |
[REDACTED] | Aktiv | IANA #1910 |
IANA #1910 Workers & Pages
| Subdomain | Plattform |
|---|---|
shrill-haze-5ff7.[REDACTED].workers.dev | Arbeitnehmer |
[REDACTED] | Arbeitnehmer |
[REDACTED].pages.dev | Seiten |
[REDACTED] | Seiten |
Origin-Server
| IP-Adresse | Anbieter | Zweck |
|---|---|---|
107.155.88.198 | HIVELOCITY (AS29802) | Primäre Herkunft |
46.21.151.194 | HVC-AS | Sekundäre Herkunft |
Ein weiterer Über 50 wiederverwertete Domains wurden ermittelt, darunter:
[REDACTED].net [REDACTED].org [REDACTED].io [REDACTED].co [REDACTED].exchange [REDACTED].app [REDACTED].pro [REDACTED].cc [REDACTED].xyz [REDACTED].site [REDACTED].online [REDACTED].live [REDACTED].fun [REDACTED].top [REDACTED].vip [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] und vieles mehr.
Über 50 Domains wurden gelöscht und ersetzt. Die Infrastruktur passt sich schneller an, als die meisten Registrare reagieren können.
Zero-Auth-APIs – Das Backend steht weit offen
Die Operation „[REDACTED]“ läuft auf 6 Express.js-API-Endpunkte die eine gemeinsame Datenbank nutzen. Die primäre API wird gehostet unter [REDACTED]. Jeder einzelne Endpunkt liefert die vollständigen Opferdaten zurück ohne jegliche Authentifizierung.
Nicht authentifizierte Endpunkte
| Endpunkt | Rücksendungen |
|---|---|
GET /api/records | Alle Opferdaten |
GET /api/records/:id | Einzelheiten zum Opfer |
GET /api/stats | Betriebsstatistiken |
POST /api/records | Neuen Datensatz anlegen |
PUT /api/records/:id | Datensatz aktualisieren |
DELETE /api/records/:id | Datensatz löschen |
Admin-Dashboard ohne Authentifizierung
Ein Admin-Bereich ist unter folgender Adresse erreichbar: /8fb198a6e9b7af32 — ein Hash-Pfad nach dem Prinzip „Sicherheit durch Verschleierung“ mit keine Authentifizierung. Es bietet einen Echtzeit-Feed zu den Opfern, der Folgendes anzeigt:
- Wallet-Adressen aller Opfer
- Transaktions-IDs (Genehmigungs-Hashes)
- IP-Adressen der Opfer
- Zeitstempel jeder Interaktion
- Genehmigungsbeträge (in der Regel MAX_UINT256)
{
"records": [
{
"id": 1,
"wallet": "TKjdnS...redacted",
"txHash": "a8f3e2...redacted",
"ip": "185.xxx.xxx.xxx",
"amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
"status": "approved",
"createdAt": "2026-02-14T09:23:41.000Z"
}
]
} Weitere entdeckte Sicherheitslücken:
- Schwache Geschwindigkeitsbegrenzung: 6 Anfragen pro Fenster, die sich durch IP-Rotation mühelos umgehen lassen
- Header-Leck bei Express.js:
X-Powered-By: Expressgibt Einblicke in die Servertechnologie - Potentielles gespeichertes XSS: Das Admin-Panel gibt nicht bereinigte User-Agent-Strings aus
Die Wallet-Adresse, die IP-Adresse, der Transaktions-Hash und der Genehmigungsbetrag jedes Opfers sind nur eine einzige nicht authentifizierte GET-Anfrage entfernt. Keine API-Schlüssel. Keine Token. Keine Sicherheit.
On-Chain-Beweise
Die „Drainer“-Verträge werden im TRON-Netzwerk eingesetzt und wurden aktiv zur Verarbeitung von Genehmigungstransaktionen der Opfer genutzt.
| Vertrag | Bezeichnung | Eingesetzt | Transaktionen |
|---|---|---|---|
TRnruCYe2k...UPJ8
|
SwapTRX (aktuell) | 13. Dezember 2025 | Aktiv |
TXwXfz8Bp9...uHnS
|
Alter Vertrag | Zuvor | 323 erfasst |
4 bestätigte On-Chain-Genehmigungstransaktionen wurden mit den Opferdatensätzen in der offengelegten Datenbank abgeglichen (Datensätze 1–10). Die Datensätze 11–30 scheinen Testdaten des Betreibers — Test-Wallets mit kleinen Beträgen, aufeinanderfolgenden Zeitmustern und identischen IP-Bereichen.
WalletConnect-Integration
Die Possibly phishing-Seiten nutzen WalletConnect, um die Aufforderung zur Bestätigungsunterschrift in mobilen Wallets auszulösen. Dabei wird ein einziges WalletConnect-Projekt-ID:
31eee2e7b3ff1dc4ebdfa6f839467664
Diese Projekt-ID sollte an WalletConnect gemeldet werden, damit sie umgehend auf die Sperrliste gesetzt wird.
Dem Geld auf der Spur – Google Ads und Attribution
Die vielleicht beunruhigendste Erkenntnis: Die Betreiber von [REDACTED] bezahlen Google dafür, für ihren Drainer zu werben.
| Indikator | Wert |
|---|---|
| Google Ads-Konto |
AW-17287232508
|
| Conversion-Tracking | Erfasst erfolgreiche Genehmigungen als Konversionen |
| [REDACTED]-Kontakt | [REDACTED] („[REDACTED]“) |
| Sprache des Admin-Panels | Vereinfachtes Chinesisch |
Das Google Ads-Konto erfasst Erfolgreiche Wallet-Genehmigungen als Konversionsereignisse. Das bedeutet, dass Googles Werbeplattform die Anzeigenauslieferung buchstäblich so optimiert, dass mehr Opfer für einen Krypto-Drainer gefunden werden – und dafür auch noch eine Vergütung erhält.
Das Admin-Dashboard ist vollständig in Vereinfachtes Chinesisch, mit UI-Elementen wie 日間 / 夜間 (Umschaltung zwischen Tag- und Nachtmodus) und Kommentare im Quellcode auf Chinesisch. Der [REDACTED]-Nutzername [REDACTED] dient als primeller Kontaktkanal für den Betreiber.
Google wird dafür bezahlt, die Anzeigenauslieferung für eine Possibly phishing-Aktion zu optimieren. Die Werbetreibenden machen keinen Hehl daraus – sie zahlen für gezielten Traffic und messen den „Erfolg“ daran, wie viele Geldbörsen leergeräumt werden.
Empfehlungen zur Abschaltung
Diese Maßnahme betrifft mehrere Dienstleister. Eine koordinierte Berichterstattung über alle Kanäle hinweg ist erforderlich:
IANA #1910
Meldung von Missbrauch durch Mitarbeiter, Seitenmissbrauch und DNS-Einträge für alle über 55 Domains. Sammelmeldung von Missbrauchsfällen mit vollständiger Domain-Liste.
Domain-Registrare
Über 55 Domains bei verschiedenen Registraren. Für jede davon sind separate Missbrauchsmeldungen unter Angabe von Possibly phishing und Finanzbetrug erforderlich.
HIVELOCITY
Der Origin-Server unter der Adresse 107.155.88.198 hostet die Backend-API. Meldung wegen des Betriebs einer Possibly phishing-Infrastruktur.
WalletConnect
Blacklist-Projekt-ID 31eee2e7b3ff1dc4ebdfa6f839467664 um zu verhindern, dass Possibly phishing-Seiten Aufforderungen zum Signieren von Wallets auslösen.
Tronscan
Verträge über den Abfluss von Flaggen TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 und TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.
Google Ads
Konto melden AW-17287232508 für Werbung für Possibly phishing und Finanzbetrug. Das Conversion-Tracking belegt die böswillige Absicht.
Nachweise und Quelldaten
Umfassende technische Analyse: Domains, APIs, Verträge und Zuordnung.
Über 55 Domains mit Angaben zu Hosting, Registrierung und aktuellem Status.
Unbearbeitete API-Antworten aus dem nicht authentifizierten Backend. 30 Datensätze.
Aktiver Drainer-Vertrag auf TRON. Transaktionen und Genehmigungen in der Blockchain anzeigen.
Überprüfen. Widerrufen. Melden.
Falls Sie mit einer der [REDACTED]-Domains in Kontakt gekommen sind, überprüfen Sie bitte umgehend Ihre TRON-Token-Berechtigungen. Widerrufen Sie alle verdächtigen Berechtigungen und melden Sie die Domains.