Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / FR / BUYTRX DRAINER EXPOSED

[REDACTED] Drainer démasqué : l'anatomie d'une arnaque

The Enablers Registry·Editorial mirror·/fr/buytrx-drainer-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Opération de hameçonnage liée à l'approbation de TRON USDT · Backend exposé · Preuves sur la blockchain · Financement via Google Ads

[REDACTED] Drainer : tout ce qu'il faut savoir
0+
Domaines utilisés pour le hameçonnage
0
Données relatives aux victimes divulguées
0
Authentification API
$0
Coût d'accès à l'ensemble des données

Qu'est-ce que [REDACTED] ?

[REDACTED] est une opération de détournement d'USDT basée sur TRON, déguisée en service légitime d'échange de cryptomonnaies. Les sites présentent des interfaces d'aspect professionnel qui promettent de convertir des USDT en TRX à des taux attractifs. Mais l'« échange » n'a jamais lieu.

Au lieu de cela, la victime est invitée à signer un approve(MAX_UINT256) transaction sur le contrat intelligent USDT (TRC-20). Cette signature unique autorise le contrat de « drainer » de l'attaquant autorisation illimitée pour transférer l'intégralité du solde en USDT de la victime — dès maintenant et pour toujours — jusqu'à ce que l'autorisation soit révoquée manuellement.

Une fois l'approbation confirmée sur la blockchain, l'opérateur appelle transferFrom() pour vider le portefeuille. La victime ne remarque rien. Pas d'échange. Pas de TRX. Juste un solde vide.

Une seule signature. Un accès illimité. Une capacité de vidange permanente.

L'appel à la fonction `approve()` ne transfère pas de jetons : il accorde simplement une autorisation. Le vol proprement dit s'effectue de manière silencieuse via la fonction `transferFrom()`, quelques secondes ou quelques heures plus tard. La plupart des victimes ne font jamais le lien entre ces deux transactions.

Cette opération est en cours depuis au moins juillet 2025, en passant par des dizaines de domaines à mesure que les anciens sont signalés et supprimés. L'infrastructure s'adapte plus rapidement que la plupart des bureaux d'enregistrement et des hébergeurs ne peuvent réagir.

Plus de 55 domaines — Une seule opération

Notre enquête a mis au jour un vaste réseau de domaines de hameçonnage, qui hébergent tous des interfaces d'échange [REDACTED] identiques ou quasi identiques. Ces domaines sont hébergés sur IANA #1910 Workers, IANA #1910 Pages et des serveurs d'origine « bare-metal ».

Domaines actuellement actifs

DomaineTypeHébergement
[REDACTED]PrimaireIANA #1910
[REDACTED]Primaire + APIIANA #1910
[REDACTED].movActifIANA #1910
[REDACTED].cxActifIANA #1910
[REDACTED]ActifIANA #1910
[REDACTED].betActifIANA #1910
[REDACTED].storeActifIANA #1910
[REDACTED].clickActifIANA #1910
[REDACTED]ActifIANA #1910
[REDACTED]ActifIANA #1910

IANA #1910 Workers et Pages

Sous-domainePlateforme
shrill-haze-5ff7.[REDACTED].workers.devSalariés
[REDACTED]Salariés
[REDACTED].pages.devPages
[REDACTED]Pages

Serveurs d'origine

Adresse IPFournisseurObjectif
107.155.88.198HIVELOCITY (AS29802)Origine première
46.21.151.194HVC-ASOrigine secondaire

Un autre Plus de 50 domaines recyclés ont été identifiés, notamment :

[REDACTED].net [REDACTED].org [REDACTED].io [REDACTED].co [REDACTED].exchange [REDACTED].app [REDACTED].pro [REDACTED].cc [REDACTED].xyz [REDACTED].site [REDACTED].online [REDACTED].live [REDACTED].fun [REDACTED].top [REDACTED].vip [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] et bien d'autres encore.

Plus de 50 domaines supprimés et remplacés. L'infrastructure s'adapte plus rapidement que la plupart des bureaux d'enregistrement ne réagissent.

API sans authentification — Un backend grand ouvert

L'opération [REDACTED] s'exécute sur 6 points de terminaison de l'API Express.js partageant une base de données unique. L'API principale est hébergée à l'adresse [REDACTED]. Chaque point de terminaison renvoie l'intégralité des données relatives à la victime sans aucune authentification.

Points de terminaison non authentifiés

Point d'extrémitéRetours
GET /api/recordsToutes les fiches des victimes
GET /api/records/:idDétails relatifs à une victime spécifique
GET /api/statsStatistiques d'exploitation
POST /api/recordsCréer un nouvel enregistrement
PUT /api/records/:idMettre à jour l'enregistrement
DELETE /api/records/:idSupprimer l'enregistrement

Tableau de bord administrateur sans authentification

Un panneau d'administration est accessible à l'adresse suivante : /8fb198a6e9b7af32 — un chemin de hachage de type « sécurité par obscurité » avec aucune authentification. Il propose un flux d'informations en temps réel sur les victimes, qui présente :

  • Les adresses de portefeuille de chaque victime
  • Identifiants de transaction (hachages d'approbation)
  • Adresses IP des victimes
  • Horodatage de chaque interaction
  • Montants d'autorisation (généralement MAX_UINT256)
RÉPONSE API NON AUTHENTIFIÉE — [REDACTED]
{
  "records": [
    {
      "id": 1,
      "wallet": "TKjdnS...redacted",
      "txHash": "a8f3e2...redacted",
      "ip": "185.xxx.xxx.xxx",
      "amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
      "status": "approved",
      "createdAt": "2026-02-14T09:23:41.000Z"
    }
  ]
}

Autres vulnérabilités découvertes :

  • Limitation de vitesse faible : 6 requêtes par fenêtre, facilement contournées grâce à la rotation des adresses IP
  • Fuite d'en-tête dans Express.js : X-Powered-By: Express présente la technologie des serveurs
  • Risque de XSS différé : Le panneau d'administration affiche des chaînes « user-agent » non validées
Les opérateurs ont mis en place un système de filtrage, mais ont oublié de sécuriser leur propre infrastructure.

L'adresse de portefeuille, l'adresse IP, le hachage de transaction et le montant autorisé de chaque victime sont accessibles via une simple requête GET non authentifiée. Aucune clé API. Aucun jeton. Aucune sécurité.

Preuves sur la blockchain

Les contrats « drainer » sont déployés sur le réseau TRON et ont été activement utilisés pour traiter les transactions d'approbation émanant des victimes.

ContratÉtiquetteDéployéTransactions
TRnruCYe2k...UPJ8 SwapTRX (actuel) 13 décembre 2025 Actif
TXwXfz8Bp9...uHnS Contrat historique Auparavant 323 enregistrés

4 transactions d'approbation confirmées sur la blockchain ont été mis en correspondance avec les fiches des victimes figurant dans la base de données divulguée (fiches 1 à 10). Les fiches 11 à 30 semblent être données de test de l'opérateur — tester des portefeuilles avec de petits montants, des schémas de synchronisation séquentiels et des plages d'adresses IP identiques.

Intégration de WalletConnect

Les sites de hameçonnage utilisent WalletConnect pour déclencher la demande de signature d'approbation dans les portefeuilles mobiles. L'opération utilise un seul Identifiant du projet WalletConnect:

31eee2e7b3ff1dc4ebdfa6f839467664

Cet identifiant de projet doit être signalé à WalletConnect afin qu'il soit immédiatement ajouté à la liste noire.

Sur les traces de l'argent — Google Ads et l'attribution

La conclusion la plus troublante est peut-être la suivante : Les exploitants de [REDACTED] paient Google pour faire la promotion de leur drainer.

Indicateur Valeur
Compte Google Ads AW-17287232508
Suivi des conversions Permet de suivre les validations réussies sous forme de conversions
Contact sur [REDACTED] [REDACTED][REDACTED] »)
Langue du panneau d'administrationChinois simplifié

Le compte Google Ads effectue un suivi les validations de portefeuille réussies en tant qu'événements de conversion. Cela signifie que la plateforme publicitaire de Google optimise littéralement la diffusion des publicités afin de trouver davantage de victimes pour un programme de vol de cryptomonnaies — et qu'elle perçoit une rémunération pour ce service.

Le tableau de bord d'administration est entièrement en Chinois simplifié, avec des éléments d'interface utilisateur tels que 日間 / 夜間 (boutons de basculement entre les modes jour/nuit) et des commentaires en chinois dans le code source. Le pseudo [REDACTED] [REDACTED] constitue le principal canal de communication avec l'opérateur.

Ils mènent des campagnes Google Ads qui enregistrent les vides de portefeuille réussis comme des événements de conversion.

Google est rémunéré pour optimiser la diffusion de publicités au service d'une opération d'hameçonnage. Les annonceurs ne se cachent pas : ils paient pour générer du trafic ciblé et mesurent leur « succès » au nombre de portefeuilles vidés.

Recommandations concernant les retraits

Cette opération concerne plusieurs prestataires de services. Une coordination des rapports sur l'ensemble des vecteurs est nécessaire :

IANA #1910

Signalez les abus liés aux utilisateurs, aux pages et aux enregistrements DNS pour l'ensemble des plus de 55 domaines. Signalement groupé des abus avec la liste complète des domaines.

Bureaux d'enregistrement de noms de domaine

Plus de 55 domaines répartis entre plusieurs bureaux d'enregistrement. Chacun d'entre eux nécessite un signalement d'abus distinct, mentionnant le hameçonnage et la fraude financière.

HIVELOCITY

Serveur d'origine à l'adresse 107.155.88.198 hébergeant l'API backend. Signalement pour hébergement d'une infrastructure de hameçonnage.

WalletConnect

Identifiant du projet « Blacklist » 31eee2e7b3ff1dc4ebdfa6f839467664 pour empêcher les sites de hameçonnage de déclencher des invites de signature du portefeuille.

Tronscan

Contrats de vidange des drains « Flag » TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 et TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.

Google Ads

Signaler un compte AW-17287232508 pour la publicité liée au hameçonnage et à la fraude financière. Le suivi des conversions permet de prouver l'intention malveillante.

Données probantes et données sources

Démantèlement complet de l'infrastructure

Analyse technique complète : domaines, API, contrats et attribution.

Liste et détails des domaines

Plus de 55 domaines avec les détails de l'hébergement, les informations d'enregistrement et leur statut actuel.

Extrait brut des données relatives aux victimes de l'API

Réponses API non expurgées provenant du backend non authentifié. 30 enregistrements.

Tronscan : contrat SwapTRX

Contrat « Active Drainer » sur TRON. Consultez les transactions et les validations sur la blockchain.

Vérifier. Révoquer. Signaler.

Réseau de domaines de hameçonnage [REDACTED] — carte détaillée des clusters
Réseau de domaines de hameçonnage [REDACTED] — carte détaillée des clusters
Présentation du réseau de domaines [REDACTED] — une infrastructure de hameçonnage interconnectée
Présentation du réseau de domaines [REDACTED] — une infrastructure de hameçonnage interconnectée
Flux financiers de [REDACTED] — comment les TRX volés circulent dans la chaîne de blanchiment
Flux financiers de [REDACTED] — comment les TRX volés circulent dans la chaîne de blanchiment

Si vous avez interagi avec un domaine [REDACTED], vérifiez immédiatement vos autorisations relatives aux jetons TRON. Révociez toute autorisation suspecte et signalez ces domaines.

Révoquer les autorisations de jetons Signaler un nom de domaine Outils DestroyList
#CryptoDrainer#[REDACTED]#OSINT#PhishingInfrastructure#TronScam

Enquêtes connexes

ENQUÊTE APPROFONDIE
Crypto Drainer Toolkit : les revendeurs d'Angel Drainer démasqués
Panneau consacré au phishing de [REDACTED] : 239 000 dollars volés, 6 auteurs identifiés
ENQUÊTE APPROFONDIE
Panneau consacré au possibly phishing de [REDACTED] : 239 000 dollars volés, 6 auteurs identifiés
ENQUÊTE
Les escrocs démasqués : analyse de 4 infrastructures d'escroquerie

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings