Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / ES / BUYTRX DRAINER EXPOSED

[REDACTED] Drainer al descubierto: la anatomía de una estafa

The Enablers Registry·Editorial mirror·/es/buytrx-drainer-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Operación de possibly phishing relacionada con la aprobación de TRON USDT · Backend expuesto · Pruebas en la cadena de bloques · Financiación a través de Google Ads

[REDACTED] Drainer al descubierto
0+
Dominios de possibly phishing
0
Exposición de los datos de las víctimas
0
Autenticación de la API
$0
Coste de acceso a todos los datos

¿Qué es [REDACTED]?

[REDACTED] es una operación de drenaje de fondos de USDT basada en TRON que se hace pasar por un servicio legítimo de intercambio de criptomonedas. Las páginas web presentan interfaces de aspecto profesional que prometen convertir USDT a TRX a tipos de cambio atractivos. Pero el «intercambio» nunca se lleva a cabo.

En cambio, se le pide a la víctima que firme un approve(MAX_UINT256) transacción en el contrato inteligente de USDT (TRC-20). Esta única firma otorga al contrato de drenaje del atacante permisos ilimitados transferir la totalidad del saldo en USDT de la víctima —ahora y para siempre— hasta que se revoque manualmente la autorización.

Una vez que se confirma la aprobación en la cadena de bloques, el operador llama a transferFrom() para vaciar la cartera. La víctima no se da cuenta de nada. No hay intercambio. No hay TRX. Solo un saldo a cero.

Una sola firma. Acceso ilimitado. Capacidad de drenaje permanente.

La llamada a «approve()» no transfiere tokens, sino que concede permiso. El robo propiamente dicho se produce de forma silenciosa mediante «transferFrom()» segundos u horas más tarde. La mayoría de las víctimas nunca relacionan ambas transacciones.

La operación lleva en marcha al menos desde Julio de 2025, pasando por docenas de dominios a medida que los antiguos son denunciados y retirados. La infraestructura se adapta más rápido de lo que la mayoría de los registradores y proveedores de alojamiento pueden reaccionar.

Más de 55 dominios: una sola operación

Nuestra investigación ha sacado a la luz una extensa red de dominios de possibly phishing, todos ellos con interfaces de intercambio de [REDACTED] idénticas o casi idénticas. Los dominios abarcan IANA #1910 Workers, IANA #1910 Pages y servidores de origen «bare-metal».

Dominios actualmente activos

DominioTipoAlojamiento web
[REDACTED]PrimariaIANA #1910
[REDACTED]Primaria + APIIANA #1910
[REDACTED].movActivoIANA #1910
[REDACTED].cxActivoIANA #1910
[REDACTED]ActivoIANA #1910
[REDACTED].betActivoIANA #1910
[REDACTED].storeActivoIANA #1910
[REDACTED].clickActivoIANA #1910
[REDACTED]ActivoIANA #1910
[REDACTED]ActivoIANA #1910

IANA #1910 Workers y Pages

SubdominioPlataforma
shrill-haze-5ff7.[REDACTED].workers.devTrabajadores
[REDACTED]Trabajadores
[REDACTED].pages.devPáginas
[REDACTED]Páginas

Servidores de origen

Dirección IPProveedorObjetivo
107.155.88.198HIVELOCITY (AS29802)Origen principal
46.21.151.194HVC-ASOrigen secundario

Además, Más de 50 dominios reciclados se identificaron, entre ellas:

[REDACTED].net [REDACTED].org [REDACTED].io [REDACTED].co [REDACTED].exchange [REDACTED].app [REDACTED].pro [REDACTED].cc [REDACTED].xyz [REDACTED].site [REDACTED].online [REDACTED].live [REDACTED].fun [REDACTED].top [REDACTED].vip [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] y muchos más.

Se han eliminado y sustituido más de 50 dominios. La infraestructura se adapta más rápido de lo que tardan en reaccionar la mayoría de los registradores.

API sin autenticación: el backend a las puertas de cualquiera

La operación [REDACTED] se ejecuta en 6 puntos finales de la API de Express.js que comparten una única base de datos. La API principal está alojada en [REDACTED]. Cada uno de los puntos finales devuelve todos los datos de la víctima sin necesidad de autenticación.

Puntos finales sin autenticar

Punto finalDevoluciones
GET /api/recordsTodos los expedientes de las víctimas
GET /api/records/:idDatos detallados de cada víctima
GET /api/statsEstadísticas de funcionamiento
POST /api/recordsCrear un nuevo registro
PUT /api/records/:idActualizar registro
DELETE /api/records/:idEliminar registro

Panel de administración sin autenticación

Se puede acceder al panel de administración en /8fb198a6e9b7af32 — una ruta de hash basada en la «seguridad por oscuridad» con sin autenticación. Ofrece un resumen en tiempo real de las víctimas en el que se muestra:

  • Direcciones de monedero de cada víctima
  • Identificadores de transacción (hash de aprobación)
  • Direcciones IP de las víctimas
  • Marcas de tiempo de cada interacción
  • Importes de autorización (normalmente MAX_UINT256)
RESPUESTA DE LA API SIN AUTENTIFICAR — [REDACTED]
{
  "records": [
    {
      "id": 1,
      "wallet": "TKjdnS...redacted",
      "txHash": "a8f3e2...redacted",
      "ip": "185.xxx.xxx.xxx",
      "amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
      "status": "approved",
      "createdAt": "2026-02-14T09:23:41.000Z"
    }
  ]
}

Se han descubierto nuevas vulnerabilidades:

  • Limitación de velocidad débil: 6 solicitudes por ventana, que se eluden fácilmente mediante la rotación de direcciones IP
  • Fuga de encabezados en Express.js: X-Powered-By: Express desvela la tecnología de los servidores
  • XSS potencial almacenado: El panel de administración muestra cadenas de «user-agent» sin depurar
Los operadores crearon un sistema de drenaje, pero se olvidaron de proteger su propio backend.

La dirección de monedero, la IP, el hash de la transacción y el importe de la autorización de cada víctima están a solo una solicitud GET sin autenticar de distancia. Cero claves API. Cero tokens. Cero seguridad.

Pruebas en la cadena de bloques

Los contratos «drainer» se han implementado en la red TRON y se han utilizado de forma activa para procesar las transacciones de autorización de las víctimas.

ContratoEtiquetaImplementadoTransacciones
TRnruCYe2k...UPJ8 SwapTRX (actual) 13 de diciembre de 2025 Activo
TXwXfz8Bp9...uHnS Contrato heredado Antes 323 registrados

4 transacciones de aprobación confirmadas en la cadena se coincidían con los registros de las víctimas en la base de datos filtrada (registros 1-10). Los registros 11-30 parecen ser datos de prueba del operador — carteras de prueba con pequeñas cantidades, patrones temporales secuenciales y rangos de IP idénticos.

Integración con WalletConnect

Los sitios web de possibly phishing utilizan WalletConnect para activar la solicitud de firma de aprobación en las carteras móviles. La operación utiliza un único ID del proyecto WalletConnect:

31eee2e7b3ff1dc4ebdfa6f839467664

Este ID de proyecto debe comunicarse a WalletConnect para que sea incluido inmediatamente en la lista negra.

Siguiendo el rastro del dinero: Google Ads y la atribución

Quizás el hallazgo más inquietante: Los operadores de [REDACTED] están pagando a Google para anunciar su «drainer».

Indicador Valor
Cuenta de Google Ads AW-17287232508
Seguimiento de conversiones Registra las aprobaciones exitosas como conversiones
Contacto en [REDACTED] [REDACTED][REDACTED]»)
Idioma del panel de administraciónChino simplificado

La cuenta de Google Ads realiza un seguimiento de aprobaciones de monederos completadas con éxito como eventos de conversión. Esto significa que la plataforma publicitaria de Google está, literalmente, optimizando la publicación de anuncios para encontrar más víctimas de un programa de robo de criptomonedas — y cobrando por el servicio.

El panel de control de administración está íntegramente en Chino simplificado, con elementos de la interfaz de usuario como 日間 / 夜間 (botones para alternar entre el modo diurno y nocturno) y comentarios en el código fuente en chino. El nombre de usuario de [REDACTED] [REDACTED] sirve como principal canal de contacto con el operador.

Están llevando a cabo campañas de Google Ads en las que registran los casos en los que se vacía con éxito la cartera como eventos de conversión.

A Google le pagan por optimizar la difusión de anuncios para una operación de possibly phishing. Los anunciantes no se esconden: pagan por tráfico dirigido y miden el «éxito» en función del número de carteras que consiguen vaciar.

Recomendaciones para la retirada

Esta operación afecta a varios proveedores de servicios. Es necesario que la comunicación sea coordinada en todos los ámbitos:

IANA #1910

Denuncia de abusos por parte de los usuarios, abusos en las páginas y registros DNS de los más de 55 dominios. Denuncia masiva de abusos con la lista completa de dominios.

Registradores de dominios

Más de 55 dominios repartidos entre varios registradores. Cada uno de ellos requiere una denuncia por abuso específica en la que se mencionen el possibly phishing y el fraude financiero.

HIVELOCITY

Servidor de origen en 107.155.88.198 que aloja la API de fondo. Denuncia por alojar infraestructura de possibly phishing.

WalletConnect

ID del proyecto «Lista negra» 31eee2e7b3ff1dc4ebdfa6f839467664 para evitar que los sitios web de possibly phishing activen las solicitudes de firma de la cartera.

Tronscan

Contratos de desagüe de banderas TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 y TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.

Google Ads

Denunciar cuenta AW-17287232508 por publicidad relacionada con el possibly phishing y el fraude financiero. El seguimiento de conversiones demuestra la intención maliciosa.

Datos probatorios y datos de origen

Desmontaje completo de la infraestructura

Análisis técnico completo: dominios, API, contratos y atribución.

Lista y detalles de dominios

Más de 55 dominios con detalles sobre el alojamiento, información de registro y estado actual.

Datos sin procesar de las víctimas de la API

Respuestas de la API sin censurar procedentes del backend sin autenticar. 30 registros.

Tronscan: Contrato SwapTRX

Contrato «Active Drainer» en TRON. Consulta las transacciones y las aprobaciones en la cadena.

Comprobar. Revocar. Informar.

Red de dominios de phishing de [REDACTED]: mapa detallado de clústeres
Red de dominios de possibly phishing de [REDACTED]: mapa detallado de clústeres
Descripción general de la red de dominios [REDACTED]: infraestructura de phishing interconectada
Descripción general de la red de dominios [REDACTED]: infraestructura de possibly phishing interconectada
Flujo de fondos de [REDACTED]: cómo se mueven los TRX robados a través de la cadena de blanqueo
Flujo de fondos de [REDACTED]: cómo se mueven los TRX robados a través de la cadena de blanqueo

Si has interactuado con algún dominio de [REDACTED], comprueba inmediatamente tus autorizaciones de tokens TRON. Revoca cualquier autorización sospechosa y denuncia los dominios.

Revocar autorizaciones de tokens Denunciar un dominio Herramientas de DestroyList
#CryptoDrainer#[REDACTED]#OSINT#PhishingInfrastructure#TronScam

Investigaciones relacionadas

INVESTIGACIÓN EN PROFUNDIDAD
Kit de herramientas «Crypto Drainer»: se desenmascara a los distribuidores de «Angel Drainer»
Panel sobre el ataque de phishing a [REDACTED]: 239 000 dólares robados, 6 operadores
INVESTIGACIÓN EN PROFUNDIDAD
Panel sobre el ataque de possibly phishing a [REDACTED]: 239 000 dólares robados, 6 operadores
INVESTIGACIÓN
Estafadores al descubierto: análisis detallado de cuatro sistemas de gestión de estafas

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings