
Operación de possibly phishing relacionada con la aprobación de TRON USDT · Backend expuesto · Pruebas en la cadena de bloques · Financiación a través de Google Ads
¿Qué es [REDACTED]?
[REDACTED] es una operación de drenaje de fondos de USDT basada en TRON que se hace pasar por un servicio legítimo de intercambio de criptomonedas. Las páginas web presentan interfaces de aspecto profesional que prometen convertir USDT a TRX a tipos de cambio atractivos. Pero el «intercambio» nunca se lleva a cabo.
En cambio, se le pide a la víctima que firme un approve(MAX_UINT256) transacción en el contrato inteligente de USDT (TRC-20). Esta única firma otorga al contrato de drenaje del atacante permisos ilimitados transferir la totalidad del saldo en USDT de la víctima —ahora y para siempre— hasta que se revoque manualmente la autorización.
Una vez que se confirma la aprobación en la cadena de bloques, el operador llama a transferFrom() para vaciar la cartera. La víctima no se da cuenta de nada. No hay intercambio. No hay TRX. Solo un saldo a cero.
La llamada a «approve()» no transfiere tokens, sino que concede permiso. El robo propiamente dicho se produce de forma silenciosa mediante «transferFrom()» segundos u horas más tarde. La mayoría de las víctimas nunca relacionan ambas transacciones.
La operación lleva en marcha al menos desde Julio de 2025, pasando por docenas de dominios a medida que los antiguos son denunciados y retirados. La infraestructura se adapta más rápido de lo que la mayoría de los registradores y proveedores de alojamiento pueden reaccionar.
Más de 55 dominios: una sola operación
Nuestra investigación ha sacado a la luz una extensa red de dominios de possibly phishing, todos ellos con interfaces de intercambio de [REDACTED] idénticas o casi idénticas. Los dominios abarcan IANA #1910 Workers, IANA #1910 Pages y servidores de origen «bare-metal».
Dominios actualmente activos
| Dominio | Tipo | Alojamiento web |
|---|---|---|
[REDACTED] | Primaria | IANA #1910 |
[REDACTED] | Primaria + API | IANA #1910 |
[REDACTED].mov | Activo | IANA #1910 |
[REDACTED].cx | Activo | IANA #1910 |
[REDACTED] | Activo | IANA #1910 |
[REDACTED].bet | Activo | IANA #1910 |
[REDACTED].store | Activo | IANA #1910 |
[REDACTED].click | Activo | IANA #1910 |
[REDACTED] | Activo | IANA #1910 |
[REDACTED] | Activo | IANA #1910 |
IANA #1910 Workers y Pages
| Subdominio | Plataforma |
|---|---|
shrill-haze-5ff7.[REDACTED].workers.dev | Trabajadores |
[REDACTED] | Trabajadores |
[REDACTED].pages.dev | Páginas |
[REDACTED] | Páginas |
Servidores de origen
| Dirección IP | Proveedor | Objetivo |
|---|---|---|
107.155.88.198 | HIVELOCITY (AS29802) | Origen principal |
46.21.151.194 | HVC-AS | Origen secundario |
Además, Más de 50 dominios reciclados se identificaron, entre ellas:
[REDACTED].net [REDACTED].org [REDACTED].io [REDACTED].co [REDACTED].exchange [REDACTED].app [REDACTED].pro [REDACTED].cc [REDACTED].xyz [REDACTED].site [REDACTED].online [REDACTED].live [REDACTED].fun [REDACTED].top [REDACTED].vip [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] y muchos más.
Se han eliminado y sustituido más de 50 dominios. La infraestructura se adapta más rápido de lo que tardan en reaccionar la mayoría de los registradores.
API sin autenticación: el backend a las puertas de cualquiera
La operación [REDACTED] se ejecuta en 6 puntos finales de la API de Express.js que comparten una única base de datos. La API principal está alojada en [REDACTED]. Cada uno de los puntos finales devuelve todos los datos de la víctima sin necesidad de autenticación.
Puntos finales sin autenticar
| Punto final | Devoluciones |
|---|---|
GET /api/records | Todos los expedientes de las víctimas |
GET /api/records/:id | Datos detallados de cada víctima |
GET /api/stats | Estadísticas de funcionamiento |
POST /api/records | Crear un nuevo registro |
PUT /api/records/:id | Actualizar registro |
DELETE /api/records/:id | Eliminar registro |
Panel de administración sin autenticación
Se puede acceder al panel de administración en /8fb198a6e9b7af32 — una ruta de hash basada en la «seguridad por oscuridad» con sin autenticación. Ofrece un resumen en tiempo real de las víctimas en el que se muestra:
- Direcciones de monedero de cada víctima
- Identificadores de transacción (hash de aprobación)
- Direcciones IP de las víctimas
- Marcas de tiempo de cada interacción
- Importes de autorización (normalmente MAX_UINT256)
{
"records": [
{
"id": 1,
"wallet": "TKjdnS...redacted",
"txHash": "a8f3e2...redacted",
"ip": "185.xxx.xxx.xxx",
"amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
"status": "approved",
"createdAt": "2026-02-14T09:23:41.000Z"
}
]
} Se han descubierto nuevas vulnerabilidades:
- Limitación de velocidad débil: 6 solicitudes por ventana, que se eluden fácilmente mediante la rotación de direcciones IP
- Fuga de encabezados en Express.js:
X-Powered-By: Expressdesvela la tecnología de los servidores - XSS potencial almacenado: El panel de administración muestra cadenas de «user-agent» sin depurar
La dirección de monedero, la IP, el hash de la transacción y el importe de la autorización de cada víctima están a solo una solicitud GET sin autenticar de distancia. Cero claves API. Cero tokens. Cero seguridad.
Pruebas en la cadena de bloques
Los contratos «drainer» se han implementado en la red TRON y se han utilizado de forma activa para procesar las transacciones de autorización de las víctimas.
| Contrato | Etiqueta | Implementado | Transacciones |
|---|---|---|---|
TRnruCYe2k...UPJ8
|
SwapTRX (actual) | 13 de diciembre de 2025 | Activo |
TXwXfz8Bp9...uHnS
|
Contrato heredado | Antes | 323 registrados |
4 transacciones de aprobación confirmadas en la cadena se coincidían con los registros de las víctimas en la base de datos filtrada (registros 1-10). Los registros 11-30 parecen ser datos de prueba del operador — carteras de prueba con pequeñas cantidades, patrones temporales secuenciales y rangos de IP idénticos.
Integración con WalletConnect
Los sitios web de possibly phishing utilizan WalletConnect para activar la solicitud de firma de aprobación en las carteras móviles. La operación utiliza un único ID del proyecto WalletConnect:
31eee2e7b3ff1dc4ebdfa6f839467664
Este ID de proyecto debe comunicarse a WalletConnect para que sea incluido inmediatamente en la lista negra.
Siguiendo el rastro del dinero: Google Ads y la atribución
Quizás el hallazgo más inquietante: Los operadores de [REDACTED] están pagando a Google para anunciar su «drainer».
| Indicador | Valor |
|---|---|
| Cuenta de Google Ads |
AW-17287232508
|
| Seguimiento de conversiones | Registra las aprobaciones exitosas como conversiones |
| Contacto en [REDACTED] | [REDACTED] («[REDACTED]») |
| Idioma del panel de administración | Chino simplificado |
La cuenta de Google Ads realiza un seguimiento de aprobaciones de monederos completadas con éxito como eventos de conversión. Esto significa que la plataforma publicitaria de Google está, literalmente, optimizando la publicación de anuncios para encontrar más víctimas de un programa de robo de criptomonedas — y cobrando por el servicio.
El panel de control de administración está íntegramente en Chino simplificado, con elementos de la interfaz de usuario como 日間 / 夜間 (botones para alternar entre el modo diurno y nocturno) y comentarios en el código fuente en chino. El nombre de usuario de [REDACTED] [REDACTED] sirve como principal canal de contacto con el operador.
A Google le pagan por optimizar la difusión de anuncios para una operación de possibly phishing. Los anunciantes no se esconden: pagan por tráfico dirigido y miden el «éxito» en función del número de carteras que consiguen vaciar.
Recomendaciones para la retirada
Esta operación afecta a varios proveedores de servicios. Es necesario que la comunicación sea coordinada en todos los ámbitos:
IANA #1910
Denuncia de abusos por parte de los usuarios, abusos en las páginas y registros DNS de los más de 55 dominios. Denuncia masiva de abusos con la lista completa de dominios.
Registradores de dominios
Más de 55 dominios repartidos entre varios registradores. Cada uno de ellos requiere una denuncia por abuso específica en la que se mencionen el possibly phishing y el fraude financiero.
HIVELOCITY
Servidor de origen en 107.155.88.198 que aloja la API de fondo. Denuncia por alojar infraestructura de possibly phishing.
WalletConnect
ID del proyecto «Lista negra» 31eee2e7b3ff1dc4ebdfa6f839467664 para evitar que los sitios web de possibly phishing activen las solicitudes de firma de la cartera.
Tronscan
Contratos de desagüe de banderas TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 y TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.
Google Ads
Denunciar cuenta AW-17287232508 por publicidad relacionada con el possibly phishing y el fraude financiero. El seguimiento de conversiones demuestra la intención maliciosa.
Datos probatorios y datos de origen
Análisis técnico completo: dominios, API, contratos y atribución.
Más de 55 dominios con detalles sobre el alojamiento, información de registro y estado actual.
Respuestas de la API sin censurar procedentes del backend sin autenticar. 30 registros.
Contrato «Active Drainer» en TRON. Consulta las transacciones y las aprobaciones en la cadena.
Comprobar. Revocar. Informar.
Si has interactuado con algún dominio de [REDACTED], comprueba inmediatamente tus autorizaciones de tokens TRON. Revoca cualquier autorización sospechosa y denuncia los dominios.