
ट्रॉन USDT अनुमोदन फ़िशिंग अभियान · बेकएंड उजागर · ऑन-चेन साक्ष्य · गूगल विज्ञापनों के लिए वित्त पोषण
[REDACTED] क्या है?
[REDACTED] एक TRON-आधारित USDT अप्रूवल ड्रेनर ऑपरेशन है, जो एक वैध क्रिप्टोकरेंसी स्वैप सेवा के रूप में छिपा हुआ है। ये साइटें पेशेवर दिखने वाले इंटरफेस पेश करती हैं जो आकर्षक दरों पर USDT को TRX में बदलने का वादा करती हैं। लेकिन "स्वैप" कभी नहीं होता।
इसके बजाय, पीड़ित को एक पर हस्ताक्षर करने के लिए कहा जाता है। approve(MAX_UINT256) USDT (TRC-20) स्मार्ट कॉन्ट्रैक्ट पर लेनदेन। यह एकल हस्ताक्षर हमलावर के ड्रेनर कॉन्ट्रैक्ट को अनुमति देता है। असीमित अनुमति पीड़ित की संपूर्ण USDT शेष राशि को स्थानांतरित करना — अब और हमेशा — जब तक कि अनुमोदन को मैन्युअल रूप से रद्द नहीं किया जाता।
एक बार ऑन-चेन पर अनुमोदन की पुष्टि हो जाने के बाद, ऑपरेटर कॉल करता है। transferFrom() वॉलेट को साफ कर देना। पीड़ित को कुछ भी नहीं दिखता। कोई स्वैप नहीं। कोई TRX नहीं। सिर्फ एक खाली बैलेंस।
approve() कॉल टोकन स्थानांतरित नहीं करता — यह अनुमति प्रदान करता है। असली चोरी transferFrom() के माध्यम से कुछ सेकंड या घंटों बाद चुपचाप होती है। अधिकांश पीड़ित दोनों लेनदेन को कभी नहीं जोड़ पाते।
यह ऑपरेशन कम से कम से सक्रिय है। जुलाई २०२५पुराने डोमेन रिपोर्ट किए जाने और हटाए जाने पर दर्जनों नए डोमेन में साइकल करते हुए। यह बुनियादी ढांचा अधिकांश रजिस्ट्रारों और होस्टिंग प्रदाताओं की प्रतिक्रिया देने की गति से भी तेज़ी से अनुकूलित होता है।
55+ डोमेन — एक संचालन
हमारी जांच में फिशिंग डोमेनों का एक विशाल नेटवर्क उजागर हुआ, जो सभी समान या लगभग समान [REDACTED] स्वैप इंटरफेस प्रदान कर रहे थे। ये डोमेन IANA #1910 Workers, IANA #1910 Pages और बेयर-मेटल ओरिजिन सर्वरों पर फैले हुए हैं।
वर्तमान में सक्रिय डोमेन
| डोमेन | प्रकार | होस्टिंग |
|---|---|---|
[REDACTED] | प्राथमिक | क्लाउडफ्लेयर |
[REDACTED] | प्राथमिक + एपीआई | क्लाउडफ्लेयर |
[REDACTED].mov | सक्रिय | क्लाउडफ्लेयर |
[REDACTED].cx | सक्रिय | क्लाउडफ्लेयर |
[REDACTED] | सक्रिय | क्लाउडफ्लेयर |
[REDACTED].bet | सक्रिय | क्लाउडफ्लेयर |
[REDACTED].store | सक्रिय | क्लाउडफ्लेयर |
[REDACTED].click | सक्रिय | क्लाउडफ्लेयर |
[REDACTED] | सक्रिय | क्लाउडफ्लेयर |
[REDACTED] | सक्रिय | क्लाउडफ्लेयर |
क्लाउडफ्लेयर वर्कर्स और पेजेस
| उप-डोमेन | मंच |
|---|---|
shrill-haze-5ff7.[REDACTED].workers.dev | मजदूर |
[REDACTED] | मजदूर |
[REDACTED].pages.dev | पृष्ठ |
[REDACTED] | पृष्ठ |
मूल सर्वर
| आईपी पता | प्रदाता | उद्देश्य |
|---|---|---|
107.155.88.198 | एचआईवीएलॉसिटी (AS29802) | प्राथमिक उत्पत्ति |
46.21.151.194 | एचवीसी-एएस | द्वितीयक उत्पत्ति |
एक अतिरिक्त 50+ पुनर्नवीनीकृत डोमेन की पहचान की गई, जिनमें शामिल हैं:
[REDACTED].net [REDACTED].org [REDACTED].io [REDACTED].co [REDACTED].exchange [REDACTED].app [REDACTED].pro [REDACTED].cc [REDACTED].xyz [REDACTED].site [REDACTED].online [REDACTED].live [REDACTED].fun [REDACTED].top [REDACTED].vip [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] और भी बहुत कुछ।
50 से अधिक डोमेन जलाए और प्रतिस्थापित किए गए। यह बुनियादी ढांचा अधिकांश रजिस्ट्रारों की प्रतिक्रिया देने से भी तेज़ी से अनुकूलित होता है।
ज़ीरो ऑथ एपीआई — बैकएंड वाइड ओपन
[REDACTED] ऑपरेशन पर चलता है 6 Express.js एपीआई एंडपॉइंट्स एक ही डेटाबेस साझा करना। प्राथमिक एपीआई यहाँ होस्ट की गई है [REDACTED]प्रत्येक एंडपॉइंट पूर्ण पीड़ित डेटा लौटाता है। बिना किसी प्रमाणीकरण के.
अप्रमाणित एंडपॉइंट्स
| अंतिम बिंदु | वापसी |
|---|---|
GET /api/records | सभी पीड़ित रिकॉर्ड |
GET /api/records/:id | व्यक्तिगत पीड़ित का विवरण |
GET /api/stats | संचालन सांख्यिकी |
POST /api/records | नया रिकॉर्ड बनाएँ |
PUT /api/records/:id | रिकॉर्ड अपडेट करें |
DELETE /api/records/:id | रिकॉर्ड हटाएँ |
अप्रमाणित एडमिन डैशबोर्ड
एक एडमिन पैनल पर सुलभ है /8fb198a6e9b7af32 — एक "अस्पष्टता द्वारा सुरक्षा" हैश पथ के साथ शून्य प्रमाणीकरणयह एक रीयल-टाइम पीड़ित फ़ीड प्रदान करता है जो दिखाता है:
- प्रत्येक पीड़ित का वॉलेट पता
- लेनदेन आईडी (अनुमोदन हैश)
- पीड़ितों के आईपी पते
- हर बातचीत की टाइमस्टैम्प
- अनुमोदन राशि (आमतौर पर MAX_UINT256)
{
"records": [
{
"id": 1,
"wallet": "TKjdnS...redacted",
"txHash": "a8f3e2...redacted",
"ip": "185.xxx.xxx.xxx",
"amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
"status": "approved",
"createdAt": "2026-02-14T09:23:41.000Z"
}
]
} अतिरिक्त कमजोरियाँ पाई गईं:
- कमजोर दर सीमांकन: प्रति विंडो 6 अनुरोध, आईपी रोटेशन से आसानी से बाईपास हो जाते हैं
- Express.js हेडर लीक:
X-Powered-By: Expressसर्वर तकनीक का खुलासा करता है - संभावित संग्रहीत XSS: एडमिन पैनल असंसाधित यूज़र-एजेंट स्ट्रिंग्स प्रदर्शित करता है।
प्रत्येक पीड़ित का वॉलेट पता, आईपी, ट्रांजैक्शन हैश और अनुमोदन राशि केवल एक अनाधिकृत GET अनुरोध दूर है। शून्य API कुंजियाँ। शून्य टोकन। शून्य सुरक्षा।
ऑन-चेन साक्ष्य
ड्रेनर कॉन्ट्रैक्ट्स को TRON नेटवर्क पर तैनात किया गया है और इन्हें पीड़ितों से अनुमोदन लेनदेन संसाधित करने के लिए सक्रिय रूप से उपयोग किया गया है।
| अनुबंध | लेबल | तैनात | लेन-देन |
|---|---|---|---|
TRnruCYe2k...UPJ8
|
स्वैपटीआरएक्स (वर्तमान) | १३ दिसंबर, २०२५ | सक्रिय |
TXwXfz8Bp9...uHnS
|
वारिस अनुबंध | पहले | 323 दर्ज |
4 पुष्ट ऑन-चेन अनुमोदन लेनदेन प्रकट किए गए डेटाबेस (रिकॉर्ड 1–10) में पीड़ित रिकॉर्डों से मेल खाए थे। रिकॉर्ड 11–30 प्रतीत होते हैं ऑपरेटर परीक्षण डेटा — छोटी मात्राओं, क्रमिक समय पैटर्न, और समान आईपी रेंज के साथ परीक्षण वॉलेट।
WalletConnect एकीकरण
फ़िशिंग साइटें मोबाइल वॉलेट में अनुमोदन हस्ताक्षर प्रॉम्प्ट ट्रिगर करने के लिए वॉलेटकनेक्ट का उपयोग करती हैं। ऑपरेशन एक एकल का उपयोग करता है WalletConnect प्रोजेक्ट आईडी:
31eee2e7b3ff1dc4ebdfa6f839467664
इस प्रोजेक्ट आईडी को तत्काल ब्लैकलिस्टिंग के लिए वॉलेटकनेक्ट को रिपोर्ट किया जाना चाहिए।
पैसा का पीछा — गूगल विज्ञापन और एट्रिब्यूशन
शायद सबसे परेशान करने वाला निष्कर्ष: [REDACTED] ऑपरेटर अपने ड्रेनर का विज्ञापन करने के लिए गूगल को भुगतान कर रहे हैं।.
| संकेतक | मूल्य |
|---|---|
| गूगल विज्ञापन खाता |
AW-17287232508
|
| परिवर्तन ट्रैकिंग | सफल स्वीकृतियों को परिवर्तनों के रूप में ट्रैक करता है। |
| टेलीग्राम संपर्क | [REDACTED] ("बायट्रॉन") |
| प्रशासन पैनल भाषा | सरलीकृत चीनी |
गूगल विज्ञापन खाता ट्रैक करता है सफल वॉलेट अनुमोदन रूपांतरण घटनाओं के रूप में. इसका मतलब है कि गूगल का विज्ञापन प्लेटफ़ॉर्म सचमुच विज्ञापन वितरण को अनुकूलित कर रहा है ताकि क्रिप्टो ड्रेनर के लिए और अधिक शिकार ढूंढे जा सकें — और इस सेवा के लिए भुगतान भी वसूल रहा है।
प्रशासक डैशबोर्ड पूरी तरह से सरलीकृत चीनी, यूआई तत्वों जैसे 日間 / 夜間 (दिन/रात मोड स्विच) और स्रोत कोड में चीनी में टिप्पणियाँ। टेलीग्राम हैंडल [REDACTED] मुख्य ऑपरेटर संपर्क चैनल के रूप में कार्य करता है।
Google को एक फ़िशिंग अभियान के लिए विज्ञापन वितरण को अनुकूलित करने के लिए भुगतान किया जा रहा है। विज्ञापनदाता छिपे नहीं हैं — वे लक्षित ट्रैफ़िक के लिए भुगतान कर रहे हैं और "सफलता" को इस आधार पर माप रहे हैं कि कितने वॉलेट खाली हो जाते हैं।
हटाने की सिफारिशें
यह ऑपरेशन कई सेवा प्रदाताओं को प्रभावित करता है। सभी वेक्टर्स में समन्वित रिपोर्टिंग आवश्यक है:
क्लाउडफ्लेयर
55+ डोमेन के लिए वर्कर्स दुरुपयोग, पेजेस दुरुपयोग और DNS रिकॉर्ड्स की रिपोर्ट करें। पूर्ण डोमेन सूची के साथ थोक दुरुपयोग रिपोर्ट।
डोमेन रजिस्ट्रार
कई रजिस्ट्रारों में 55+ डोमेन। प्रत्येक के लिए फिशिंग और वित्तीय धोखाधड़ी का हवाला देते हुए व्यक्तिगत दुरुपयोग रिपोर्ट की आवश्यकता है।
एचआईवीएलॉसिटी
107.155.88.198 पर स्थित ओरिजिन सर्वर बैकएंड API होस्ट कर रहा है। फ़िशिंग इंफ्रास्ट्रक्चर होस्ट करने की रिपोर्ट।
वॉलेटकनेक्ट
ब्लैकलिस्ट प्रोजेक्ट आईडी 31eee2e7b3ff1dc4ebdfa6f839467664 फ़िशिंग साइटों को वॉलेट साइनिंग प्रॉम्प्ट्स ट्रिगर करने से रोकने के लिए।
ट्रॉनस्कैन
फ़्लैग ड्रेनर अनुबंध TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 और TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.
गूगल विज्ञापन
खाते की रिपोर्ट करें AW-17287232508 विज्ञापन के माध्यम से फ़िशिंग और वित्तीय धोखाधड़ी के लिए। कन्वर्ज़न ट्रैकिंग दुर्भावनापूर्ण इरादे को साबित करती है।
साक्ष्य और स्रोत डेटा
पूर्ण तकनीकी विश्लेषण: डोमेन, एपीआई, अनुबंध और श्रेय।
होस्टिंग विवरण, पंजीकरण जानकारी और वर्तमान स्थिति सहित 55+ डोमेन।
अनधिकृत बैकएंड से अनरेडक्टेड API प्रतिक्रियाएँ। 30 रिकॉर्ड।
TRON पर सक्रिय ड्रेनर अनुबंध। ऑन-चेन लेनदेन और अनुमोदन देखें।
जाँचें। रद्द करें। रिपोर्ट करें।
यदि आपने किसी भी [REDACTED] डोमेन के साथ इंटरैक्शन किया है, तो तुरंत अपनी TRON टोकन अनुमोदनों की जाँच करें। किसी भी संदिग्ध अनुमोदन को रद्द करें और उन डोमेनों की रिपोर्ट करें।