
Opération de hameçonnage liée à l'approbation de TRON USDT · Backend exposé · Preuves sur la blockchain · Financement via Google Ads
Qu'est-ce que [REDACTED] ?
[REDACTED] est une opération de détournement d'USDT basée sur TRON, déguisée en service légitime d'échange de cryptomonnaies. Les sites présentent des interfaces d'aspect professionnel qui promettent de convertir des USDT en TRX à des taux attractifs. Mais l'« échange » n'a jamais lieu.
Au lieu de cela, la victime est invitée à signer un approve(MAX_UINT256) transaction sur le contrat intelligent USDT (TRC-20). Cette signature unique autorise le contrat de « drainer » de l'attaquant autorisation illimitée pour transférer l'intégralité du solde en USDT de la victime — dès maintenant et pour toujours — jusqu'à ce que l'autorisation soit révoquée manuellement.
Une fois l'approbation confirmée sur la blockchain, l'opérateur appelle transferFrom() pour vider le portefeuille. La victime ne remarque rien. Pas d'échange. Pas de TRX. Juste un solde vide.
L'appel à la fonction `approve()` ne transfère pas de jetons : il accorde simplement une autorisation. Le vol proprement dit s'effectue de manière silencieuse via la fonction `transferFrom()`, quelques secondes ou quelques heures plus tard. La plupart des victimes ne font jamais le lien entre ces deux transactions.
Cette opération est en cours depuis au moins juillet 2025, en passant par des dizaines de domaines à mesure que les anciens sont signalés et supprimés. L'infrastructure s'adapte plus rapidement que la plupart des bureaux d'enregistrement et des hébergeurs ne peuvent réagir.
Plus de 55 domaines — Une seule opération
Notre enquête a mis au jour un vaste réseau de domaines de hameçonnage, qui hébergent tous des interfaces d'échange [REDACTED] identiques ou quasi identiques. Ces domaines sont hébergés sur IANA #1910 Workers, IANA #1910 Pages et des serveurs d'origine « bare-metal ».
Domaines actuellement actifs
| Domaine | Type | Hébergement |
|---|---|---|
[REDACTED] | Primaire | IANA #1910 |
[REDACTED] | Primaire + API | IANA #1910 |
[REDACTED].mov | Actif | IANA #1910 |
[REDACTED].cx | Actif | IANA #1910 |
[REDACTED] | Actif | IANA #1910 |
[REDACTED].bet | Actif | IANA #1910 |
[REDACTED].store | Actif | IANA #1910 |
[REDACTED].click | Actif | IANA #1910 |
[REDACTED] | Actif | IANA #1910 |
[REDACTED] | Actif | IANA #1910 |
IANA #1910 Workers et Pages
| Sous-domaine | Plateforme |
|---|---|
shrill-haze-5ff7.[REDACTED].workers.dev | Salariés |
[REDACTED] | Salariés |
[REDACTED].pages.dev | Pages |
[REDACTED] | Pages |
Serveurs d'origine
| Adresse IP | Fournisseur | Objectif |
|---|---|---|
107.155.88.198 | HIVELOCITY (AS29802) | Origine première |
46.21.151.194 | HVC-AS | Origine secondaire |
Un autre Plus de 50 domaines recyclés ont été identifiés, notamment :
[REDACTED].net [REDACTED].org [REDACTED].io [REDACTED].co [REDACTED].exchange [REDACTED].app [REDACTED].pro [REDACTED].cc [REDACTED].xyz [REDACTED].site [REDACTED].online [REDACTED].live [REDACTED].fun [REDACTED].top [REDACTED].vip [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] et bien d'autres encore.
Plus de 50 domaines supprimés et remplacés. L'infrastructure s'adapte plus rapidement que la plupart des bureaux d'enregistrement ne réagissent.
API sans authentification — Un backend grand ouvert
L'opération [REDACTED] s'exécute sur 6 points de terminaison de l'API Express.js partageant une base de données unique. L'API principale est hébergée à l'adresse [REDACTED]. Chaque point de terminaison renvoie l'intégralité des données relatives à la victime sans aucune authentification.
Points de terminaison non authentifiés
| Point d'extrémité | Retours |
|---|---|
GET /api/records | Toutes les fiches des victimes |
GET /api/records/:id | Détails relatifs à une victime spécifique |
GET /api/stats | Statistiques d'exploitation |
POST /api/records | Créer un nouvel enregistrement |
PUT /api/records/:id | Mettre à jour l'enregistrement |
DELETE /api/records/:id | Supprimer l'enregistrement |
Tableau de bord administrateur sans authentification
Un panneau d'administration est accessible à l'adresse suivante : /8fb198a6e9b7af32 — un chemin de hachage de type « sécurité par obscurité » avec aucune authentification. Il propose un flux d'informations en temps réel sur les victimes, qui présente :
- Les adresses de portefeuille de chaque victime
- Identifiants de transaction (hachages d'approbation)
- Adresses IP des victimes
- Horodatage de chaque interaction
- Montants d'autorisation (généralement MAX_UINT256)
{
"records": [
{
"id": 1,
"wallet": "TKjdnS...redacted",
"txHash": "a8f3e2...redacted",
"ip": "185.xxx.xxx.xxx",
"amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
"status": "approved",
"createdAt": "2026-02-14T09:23:41.000Z"
}
]
} Autres vulnérabilités découvertes :
- Limitation de vitesse faible : 6 requêtes par fenêtre, facilement contournées grâce à la rotation des adresses IP
- Fuite d'en-tête dans Express.js :
X-Powered-By: Expressprésente la technologie des serveurs - Risque de XSS différé : Le panneau d'administration affiche des chaînes « user-agent » non validées
L'adresse de portefeuille, l'adresse IP, le hachage de transaction et le montant autorisé de chaque victime sont accessibles via une simple requête GET non authentifiée. Aucune clé API. Aucun jeton. Aucune sécurité.
Preuves sur la blockchain
Les contrats « drainer » sont déployés sur le réseau TRON et ont été activement utilisés pour traiter les transactions d'approbation émanant des victimes.
| Contrat | Étiquette | Déployé | Transactions |
|---|---|---|---|
TRnruCYe2k...UPJ8
|
SwapTRX (actuel) | 13 décembre 2025 | Actif |
TXwXfz8Bp9...uHnS
|
Contrat historique | Auparavant | 323 enregistrés |
4 transactions d'approbation confirmées sur la blockchain ont été mis en correspondance avec les fiches des victimes figurant dans la base de données divulguée (fiches 1 à 10). Les fiches 11 à 30 semblent être données de test de l'opérateur — tester des portefeuilles avec de petits montants, des schémas de synchronisation séquentiels et des plages d'adresses IP identiques.
Intégration de WalletConnect
Les sites de hameçonnage utilisent WalletConnect pour déclencher la demande de signature d'approbation dans les portefeuilles mobiles. L'opération utilise un seul Identifiant du projet WalletConnect:
31eee2e7b3ff1dc4ebdfa6f839467664
Cet identifiant de projet doit être signalé à WalletConnect afin qu'il soit immédiatement ajouté à la liste noire.
Sur les traces de l'argent — Google Ads et l'attribution
La conclusion la plus troublante est peut-être la suivante : Les exploitants de [REDACTED] paient Google pour faire la promotion de leur drainer.
| Indicateur | Valeur |
|---|---|
| Compte Google Ads |
AW-17287232508
|
| Suivi des conversions | Permet de suivre les validations réussies sous forme de conversions |
| Contact sur [REDACTED] | [REDACTED] (« [REDACTED] ») |
| Langue du panneau d'administration | Chinois simplifié |
Le compte Google Ads effectue un suivi les validations de portefeuille réussies en tant qu'événements de conversion. Cela signifie que la plateforme publicitaire de Google optimise littéralement la diffusion des publicités afin de trouver davantage de victimes pour un programme de vol de cryptomonnaies — et qu'elle perçoit une rémunération pour ce service.
Le tableau de bord d'administration est entièrement en Chinois simplifié, avec des éléments d'interface utilisateur tels que 日間 / 夜間 (boutons de basculement entre les modes jour/nuit) et des commentaires en chinois dans le code source. Le pseudo [REDACTED] [REDACTED] constitue le principal canal de communication avec l'opérateur.
Google est rémunéré pour optimiser la diffusion de publicités au service d'une opération d'hameçonnage. Les annonceurs ne se cachent pas : ils paient pour générer du trafic ciblé et mesurent leur « succès » au nombre de portefeuilles vidés.
Recommandations concernant les retraits
Cette opération concerne plusieurs prestataires de services. Une coordination des rapports sur l'ensemble des vecteurs est nécessaire :
IANA #1910
Signalez les abus liés aux utilisateurs, aux pages et aux enregistrements DNS pour l'ensemble des plus de 55 domaines. Signalement groupé des abus avec la liste complète des domaines.
Bureaux d'enregistrement de noms de domaine
Plus de 55 domaines répartis entre plusieurs bureaux d'enregistrement. Chacun d'entre eux nécessite un signalement d'abus distinct, mentionnant le hameçonnage et la fraude financière.
HIVELOCITY
Serveur d'origine à l'adresse 107.155.88.198 hébergeant l'API backend. Signalement pour hébergement d'une infrastructure de hameçonnage.
WalletConnect
Identifiant du projet « Blacklist » 31eee2e7b3ff1dc4ebdfa6f839467664 pour empêcher les sites de hameçonnage de déclencher des invites de signature du portefeuille.
Tronscan
Contrats de vidange des drains « Flag » TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 et TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.
Google Ads
Signaler un compte AW-17287232508 pour la publicité liée au hameçonnage et à la fraude financière. Le suivi des conversions permet de prouver l'intention malveillante.
Données probantes et données sources
Analyse technique complète : domaines, API, contrats et attribution.
Plus de 55 domaines avec les détails de l'hébergement, les informations d'enregistrement et leur statut actuel.
Réponses API non expurgées provenant du backend non authentifié. 30 enregistrements.
Contrat « Active Drainer » sur TRON. Consultez les transactions et les validations sur la blockchain.
Vérifier. Révoquer. Signaler.
Si vous avez interagi avec un domaine [REDACTED], vérifiez immédiatement vos autorisations relatives aux jetons TRON. Révociez toute autorisation suspecte et signalez ces domaines.