Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / DE / BUYTRX DRAINER EXPOSED

„[REDACTED] Drainer“ entlarvt: Die Anatomie eines Betrugs

The Enablers Registry·Editorial mirror·/de/buytrx-drainer-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Possibly phishing-Aktion im Zusammenhang mit TRON-USDT-Genehmigungen · Aufgedecktes Backend · On-Chain-Beweise · Finanzierung über Google Ads

[REDACTED] Drainer entlarvt
0+
Possibly phishing-Domains
0
Offengelegte Opferdaten
0
API-Authentifizierung
$0
Kosten für den Zugriff auf alle Daten

Was ist [REDACTED]?

[REDACTED] ist ein auf TRON basierender Betrug, bei dem USDT-Guthaben abgezogen werden, der sich als seriöser Kryptowährungs-Swap-Dienst tarnt. Die Websites verfügen über professionell gestaltete Benutzeroberflächen, die versprechen, USDT zu attraktiven Kursen in TRX umzuwandeln. Doch der „Swap“ findet niemals statt.

Stattdessen wird das Opfer aufgefordert, eine approve(MAX_UINT256) Transaktion über den USDT (TRC-20)-Smart-Contract. Diese einzelne Signatur gewährt dem Drainer-Contract des Angreifers uneingeschränkte Berechtigung das gesamte USDT-Guthaben des Opfers zu übertragen – jetzt und für immer –, bis die Genehmigung manuell widerrufen wird.

Sobald die Genehmigung in der Blockchain bestätigt ist, ruft der Betreiber transferFrom() um das Wallet zu leeren. Das Opfer bemerkt nichts. Kein Austausch. Kein TRX. Nur ein leerer Kontostand.

Eine Unterschrift. Unbegrenzter Zugang. Dauerhafte Entleerungsmöglichkeit.

Der Aufruf von „approve()“ überträgt keine Token – er erteilt lediglich eine Berechtigung. Der eigentliche Diebstahl erfolgt unbemerkt über „transferFrom()“, Sekunden oder Stunden später. Die meisten Opfer bringen diese beiden Transaktionen nie miteinander in Verbindung.

Die Operation ist seit mindestens Juli 2025, wobei Dutzende von Domains durchlaufen werden, sobald alte Domains gemeldet und gesperrt werden. Die Infrastruktur passt sich schneller an, als die meisten Registrare und Hosting-Anbieter reagieren können.

Über 55 Domains – alles aus einer Hand

Unsere Untersuchung deckte ein weitverzweigtes Netzwerk von Possibly phishing-Domains auf, die alle identische oder nahezu identische [REDACTED]-Swap-Oberflächen bereitstellen. Die Domains erstrecken sich über IANA #1910 Workers, IANA #1910 Pages und Bare-Metal-Origin-Server.

Derzeit aktive Domains

DomäneTypHosting
[REDACTED]GrundschuleIANA #1910
[REDACTED]Grundschule + APIIANA #1910
[REDACTED].movAktivIANA #1910
[REDACTED].cxAktivIANA #1910
[REDACTED]AktivIANA #1910
[REDACTED].betAktivIANA #1910
[REDACTED].storeAktivIANA #1910
[REDACTED].clickAktivIANA #1910
[REDACTED]AktivIANA #1910
[REDACTED]AktivIANA #1910

IANA #1910 Workers & Pages

SubdomainPlattform
shrill-haze-5ff7.[REDACTED].workers.devArbeitnehmer
[REDACTED]Arbeitnehmer
[REDACTED].pages.devSeiten
[REDACTED]Seiten

Origin-Server

IP-AdresseAnbieterZweck
107.155.88.198HIVELOCITY (AS29802)Primäre Herkunft
46.21.151.194HVC-ASSekundäre Herkunft

Ein weiterer Über 50 wiederverwertete Domains wurden ermittelt, darunter:

[REDACTED].net [REDACTED].org [REDACTED].io [REDACTED].co [REDACTED].exchange [REDACTED].app [REDACTED].pro [REDACTED].cc [REDACTED].xyz [REDACTED].site [REDACTED].online [REDACTED].live [REDACTED].fun [REDACTED].top [REDACTED].vip [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] und vieles mehr.

Über 50 Domains wurden gelöscht und ersetzt. Die Infrastruktur passt sich schneller an, als die meisten Registrare reagieren können.

Zero-Auth-APIs – Das Backend steht weit offen

Die Operation „[REDACTED]“ läuft auf 6 Express.js-API-Endpunkte die eine gemeinsame Datenbank nutzen. Die primäre API wird gehostet unter [REDACTED]. Jeder einzelne Endpunkt liefert die vollständigen Opferdaten zurück ohne jegliche Authentifizierung.

Nicht authentifizierte Endpunkte

EndpunktRücksendungen
GET /api/recordsAlle Opferdaten
GET /api/records/:idEinzelheiten zum Opfer
GET /api/statsBetriebsstatistiken
POST /api/recordsNeuen Datensatz anlegen
PUT /api/records/:idDatensatz aktualisieren
DELETE /api/records/:idDatensatz löschen

Admin-Dashboard ohne Authentifizierung

Ein Admin-Bereich ist unter folgender Adresse erreichbar: /8fb198a6e9b7af32 — ein Hash-Pfad nach dem Prinzip „Sicherheit durch Verschleierung“ mit keine Authentifizierung. Es bietet einen Echtzeit-Feed zu den Opfern, der Folgendes anzeigt:

  • Wallet-Adressen aller Opfer
  • Transaktions-IDs (Genehmigungs-Hashes)
  • IP-Adressen der Opfer
  • Zeitstempel jeder Interaktion
  • Genehmigungsbeträge (in der Regel MAX_UINT256)
NICHT AUTHENTIFIZIERTE API-ANTWORT — [REDACTED]
{
  "records": [
    {
      "id": 1,
      "wallet": "TKjdnS...redacted",
      "txHash": "a8f3e2...redacted",
      "ip": "185.xxx.xxx.xxx",
      "amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
      "status": "approved",
      "createdAt": "2026-02-14T09:23:41.000Z"
    }
  ]
}

Weitere entdeckte Sicherheitslücken:

  • Schwache Geschwindigkeitsbegrenzung: 6 Anfragen pro Fenster, die sich durch IP-Rotation mühelos umgehen lassen
  • Header-Leck bei Express.js: X-Powered-By: Express gibt Einblicke in die Servertechnologie
  • Potentielles gespeichertes XSS: Das Admin-Panel gibt nicht bereinigte User-Agent-Strings aus
Die Betreiber haben einen Abtropfbehälter gebaut, dabei aber vergessen, ihre eigene Rückseite zu sichern.

Die Wallet-Adresse, die IP-Adresse, der Transaktions-Hash und der Genehmigungsbetrag jedes Opfers sind nur eine einzige nicht authentifizierte GET-Anfrage entfernt. Keine API-Schlüssel. Keine Token. Keine Sicherheit.

On-Chain-Beweise

Die „Drainer“-Verträge werden im TRON-Netzwerk eingesetzt und wurden aktiv zur Verarbeitung von Genehmigungstransaktionen der Opfer genutzt.

VertragBezeichnungEingesetztTransaktionen
TRnruCYe2k...UPJ8 SwapTRX (aktuell) 13. Dezember 2025 Aktiv
TXwXfz8Bp9...uHnS Alter Vertrag Zuvor 323 erfasst

4 bestätigte On-Chain-Genehmigungstransaktionen wurden mit den Opferdatensätzen in der offengelegten Datenbank abgeglichen (Datensätze 1–10). Die Datensätze 11–30 scheinen Testdaten des Betreibers — Test-Wallets mit kleinen Beträgen, aufeinanderfolgenden Zeitmustern und identischen IP-Bereichen.

WalletConnect-Integration

Die Possibly phishing-Seiten nutzen WalletConnect, um die Aufforderung zur Bestätigungsunterschrift in mobilen Wallets auszulösen. Dabei wird ein einziges WalletConnect-Projekt-ID:

31eee2e7b3ff1dc4ebdfa6f839467664

Diese Projekt-ID sollte an WalletConnect gemeldet werden, damit sie umgehend auf die Sperrliste gesetzt wird.

Dem Geld auf der Spur – Google Ads und Attribution

Die vielleicht beunruhigendste Erkenntnis: Die Betreiber von [REDACTED] bezahlen Google dafür, für ihren Drainer zu werben.

Indikator Wert
Google Ads-Konto AW-17287232508
Conversion-Tracking Erfasst erfolgreiche Genehmigungen als Konversionen
[REDACTED]-Kontakt [REDACTED] („[REDACTED]“)
Sprache des Admin-PanelsVereinfachtes Chinesisch

Das Google Ads-Konto erfasst Erfolgreiche Wallet-Genehmigungen als Konversionsereignisse. Das bedeutet, dass Googles Werbeplattform die Anzeigenauslieferung buchstäblich so optimiert, dass mehr Opfer für einen Krypto-Drainer gefunden werden – und dafür auch noch eine Vergütung erhält.

Das Admin-Dashboard ist vollständig in Vereinfachtes Chinesisch, mit UI-Elementen wie 日間 / 夜間 (Umschaltung zwischen Tag- und Nachtmodus) und Kommentare im Quellcode auf Chinesisch. Der [REDACTED]-Nutzername [REDACTED] dient als primeller Kontaktkanal für den Betreiber.

Sie führen Google-Ads-Kampagnen durch, bei denen erfolgreiche Abbuchungen vom Konto als Conversion-Ereignisse erfasst werden.

Google wird dafür bezahlt, die Anzeigenauslieferung für eine Possibly phishing-Aktion zu optimieren. Die Werbetreibenden machen keinen Hehl daraus – sie zahlen für gezielten Traffic und messen den „Erfolg“ daran, wie viele Geldbörsen leergeräumt werden.

Empfehlungen zur Abschaltung

Diese Maßnahme betrifft mehrere Dienstleister. Eine koordinierte Berichterstattung über alle Kanäle hinweg ist erforderlich:

IANA #1910

Meldung von Missbrauch durch Mitarbeiter, Seitenmissbrauch und DNS-Einträge für alle über 55 Domains. Sammelmeldung von Missbrauchsfällen mit vollständiger Domain-Liste.

Domain-Registrare

Über 55 Domains bei verschiedenen Registraren. Für jede davon sind separate Missbrauchsmeldungen unter Angabe von Possibly phishing und Finanzbetrug erforderlich.

HIVELOCITY

Der Origin-Server unter der Adresse 107.155.88.198 hostet die Backend-API. Meldung wegen des Betriebs einer Possibly phishing-Infrastruktur.

WalletConnect

Blacklist-Projekt-ID 31eee2e7b3ff1dc4ebdfa6f839467664 um zu verhindern, dass Possibly phishing-Seiten Aufforderungen zum Signieren von Wallets auslösen.

Tronscan

Verträge über den Abfluss von Flaggen TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 und TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.

Google Ads

Konto melden AW-17287232508 für Werbung für Possibly phishing und Finanzbetrug. Das Conversion-Tracking belegt die böswillige Absicht.

Nachweise und Quelldaten

Vollständiger Abbau der Infrastruktur

Umfassende technische Analyse: Domains, APIs, Verträge und Zuordnung.

Domain-Liste und Details

Über 55 Domains mit Angaben zu Hosting, Registrierung und aktuellem Status.

Unverarbeitete API-Daten zu Opfern

Unbearbeitete API-Antworten aus dem nicht authentifizierten Backend. 30 Datensätze.

Tronscan: SwapTRX-Vertrag

Aktiver Drainer-Vertrag auf TRON. Transaktionen und Genehmigungen in der Blockchain anzeigen.

Überprüfen. Widerrufen. Melden.

[REDACTED]-Phishing-Domain-Netzwerk – detaillierte Clusterkarte
[REDACTED]-Possibly phishing-Domain-Netzwerk – detaillierte Clusterkarte
Überblick über das [REDACTED]-Domain-Netzwerk – vernetzte Phishing-Infrastruktur
Überblick über das [REDACTED]-Domain-Netzwerk – vernetzte Possibly phishing-Infrastruktur
[REDACTED]-Geldfluss – wie gestohlene TRX durch die Geldwäschekette fließen
[REDACTED]-Geldfluss – wie gestohlene TRX durch die Geldwäschekette fließen

Falls Sie mit einer der [REDACTED]-Domains in Kontakt gekommen sind, überprüfen Sie bitte umgehend Ihre TRON-Token-Berechtigungen. Widerrufen Sie alle verdächtigen Berechtigungen und melden Sie die Domains.

Token-Genehmigungen widerrufen Eine Domain melden DestroyList-Tools
#CryptoDrainer#[REDACTED]#OSINT#PhishingInfrastructure#TronScam

Verwandte Ermittlungen

GRÜNDLICHE UNTERSUCHUNG
Crypto Drainer Toolkit: Wiederverkäufer von „Angel Drainer“ entlarvt
[REDACTED]-Phishing-Panel: 239.000 Dollar gestohlen, 6 Betreiber
GRÜNDLICHE UNTERSUCHUNG
[REDACTED]-Possibly phishing-Panel: 239.000 Dollar gestohlen, 6 Betreiber
UNTERSUCHUNG
Betrüger entlarvt: 4 Betrugs-Backends unter der Lupe

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings