Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / HI / BUYTRX DRAINER EXPOSED

[REDACTED] Drainer Exposed: एक घोटाले की संरचना

The Enablers Registry·Editorial mirror·/hi/buytrx-drainer-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

ट्रॉन USDT अनुमोदन फ़िशिंग अभियान · बेकएंड उजागर · ऑन-चेन साक्ष्य · गूगल विज्ञापनों के लिए वित्त पोषण

बायटीआरएक्स ड्रेनर बेनकाब
0+
फ़िशिंग डोमेन
0
प्रकट पीड़ित अभिलेख
0
एपीआई प्रमाणीकरण
$0
सभी डेटा तक पहुँचने की लागत

[REDACTED] क्या है?

[REDACTED] एक TRON-आधारित USDT अप्रूवल ड्रेनर ऑपरेशन है, जो एक वैध क्रिप्टोकरेंसी स्वैप सेवा के रूप में छिपा हुआ है। ये साइटें पेशेवर दिखने वाले इंटरफेस पेश करती हैं जो आकर्षक दरों पर USDT को TRX में बदलने का वादा करती हैं। लेकिन "स्वैप" कभी नहीं होता।

इसके बजाय, पीड़ित को एक पर हस्ताक्षर करने के लिए कहा जाता है। approve(MAX_UINT256) USDT (TRC-20) स्मार्ट कॉन्ट्रैक्ट पर लेनदेन। यह एकल हस्ताक्षर हमलावर के ड्रेनर कॉन्ट्रैक्ट को अनुमति देता है। असीमित अनुमति पीड़ित की संपूर्ण USDT शेष राशि को स्थानांतरित करना — अब और हमेशा — जब तक कि अनुमोदन को मैन्युअल रूप से रद्द नहीं किया जाता।

एक बार ऑन-चेन पर अनुमोदन की पुष्टि हो जाने के बाद, ऑपरेटर कॉल करता है। transferFrom() वॉलेट को साफ कर देना। पीड़ित को कुछ भी नहीं दिखता। कोई स्वैप नहीं। कोई TRX नहीं। सिर्फ एक खाली बैलेंस।

एक हस्ताक्षर। असीमित पहुँच। स्थायी निकासी क्षमता।

approve() कॉल टोकन स्थानांतरित नहीं करता — यह अनुमति प्रदान करता है। असली चोरी transferFrom() के माध्यम से कुछ सेकंड या घंटों बाद चुपचाप होती है। अधिकांश पीड़ित दोनों लेनदेन को कभी नहीं जोड़ पाते।

यह ऑपरेशन कम से कम से सक्रिय है। जुलाई २०२५पुराने डोमेन रिपोर्ट किए जाने और हटाए जाने पर दर्जनों नए डोमेन में साइकल करते हुए। यह बुनियादी ढांचा अधिकांश रजिस्ट्रारों और होस्टिंग प्रदाताओं की प्रतिक्रिया देने की गति से भी तेज़ी से अनुकूलित होता है।

55+ डोमेन — एक संचालन

हमारी जांच में फिशिंग डोमेनों का एक विशाल नेटवर्क उजागर हुआ, जो सभी समान या लगभग समान [REDACTED] स्वैप इंटरफेस प्रदान कर रहे थे। ये डोमेन IANA #1910 Workers, IANA #1910 Pages और बेयर-मेटल ओरिजिन सर्वरों पर फैले हुए हैं।

वर्तमान में सक्रिय डोमेन

डोमेनप्रकारहोस्टिंग
[REDACTED]प्राथमिकक्लाउडफ्लेयर
[REDACTED]प्राथमिक + एपीआईक्लाउडफ्लेयर
[REDACTED].movसक्रियक्लाउडफ्लेयर
[REDACTED].cxसक्रियक्लाउडफ्लेयर
[REDACTED]सक्रियक्लाउडफ्लेयर
[REDACTED].betसक्रियक्लाउडफ्लेयर
[REDACTED].storeसक्रियक्लाउडफ्लेयर
[REDACTED].clickसक्रियक्लाउडफ्लेयर
[REDACTED]सक्रियक्लाउडफ्लेयर
[REDACTED]सक्रियक्लाउडफ्लेयर

क्लाउडफ्लेयर वर्कर्स और पेजेस

उप-डोमेनमंच
shrill-haze-5ff7.[REDACTED].workers.devमजदूर
[REDACTED]मजदूर
[REDACTED].pages.devपृष्ठ
[REDACTED]पृष्ठ

मूल सर्वर

आईपी पताप्रदाताउद्देश्य
107.155.88.198एचआईवीएलॉसिटी (AS29802)प्राथमिक उत्पत्ति
46.21.151.194एचवीसी-एएसद्वितीयक उत्पत्ति

एक अतिरिक्त 50+ पुनर्नवीनीकृत डोमेन की पहचान की गई, जिनमें शामिल हैं:

[REDACTED].net [REDACTED].org [REDACTED].io [REDACTED].co [REDACTED].exchange [REDACTED].app [REDACTED].pro [REDACTED].cc [REDACTED].xyz [REDACTED].site [REDACTED].online [REDACTED].live [REDACTED].fun [REDACTED].top [REDACTED].vip [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] और भी बहुत कुछ।

50 से अधिक डोमेन जलाए और प्रतिस्थापित किए गए। यह बुनियादी ढांचा अधिकांश रजिस्ट्रारों की प्रतिक्रिया देने से भी तेज़ी से अनुकूलित होता है।

ज़ीरो ऑथ एपीआई — बैकएंड वाइड ओपन

[REDACTED] ऑपरेशन पर चलता है 6 Express.js एपीआई एंडपॉइंट्स एक ही डेटाबेस साझा करना। प्राथमिक एपीआई यहाँ होस्ट की गई है [REDACTED]प्रत्येक एंडपॉइंट पूर्ण पीड़ित डेटा लौटाता है। बिना किसी प्रमाणीकरण के.

अप्रमाणित एंडपॉइंट्स

अंतिम बिंदुवापसी
GET /api/recordsसभी पीड़ित रिकॉर्ड
GET /api/records/:idव्यक्तिगत पीड़ित का विवरण
GET /api/statsसंचालन सांख्यिकी
POST /api/recordsनया रिकॉर्ड बनाएँ
PUT /api/records/:idरिकॉर्ड अपडेट करें
DELETE /api/records/:idरिकॉर्ड हटाएँ

अप्रमाणित एडमिन डैशबोर्ड

एक एडमिन पैनल पर सुलभ है /8fb198a6e9b7af32 — एक "अस्पष्टता द्वारा सुरक्षा" हैश पथ के साथ शून्य प्रमाणीकरणयह एक रीयल-टाइम पीड़ित फ़ीड प्रदान करता है जो दिखाता है:

  • प्रत्येक पीड़ित का वॉलेट पता
  • लेनदेन आईडी (अनुमोदन हैश)
  • पीड़ितों के आईपी पते
  • हर बातचीत की टाइमस्टैम्प
  • अनुमोदन राशि (आमतौर पर MAX_UINT256)
अप्रमाणित एपीआई प्रतिक्रिया — [REDACTED]
{
  "records": [
    {
      "id": 1,
      "wallet": "TKjdnS...redacted",
      "txHash": "a8f3e2...redacted",
      "ip": "185.xxx.xxx.xxx",
      "amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
      "status": "approved",
      "createdAt": "2026-02-14T09:23:41.000Z"
    }
  ]
}

अतिरिक्त कमजोरियाँ पाई गईं:

  • कमजोर दर सीमांकन: प्रति विंडो 6 अनुरोध, आईपी रोटेशन से आसानी से बाईपास हो जाते हैं
  • Express.js हेडर लीक: X-Powered-By: Express सर्वर तकनीक का खुलासा करता है
  • संभावित संग्रहीत XSS: एडमिन पैनल असंसाधित यूज़र-एजेंट स्ट्रिंग्स प्रदर्शित करता है।
ऑपरेटरों ने एक ड्रेनर बनाया लेकिन अपना बैकएंड सुरक्षित करना भूल गए।

प्रत्येक पीड़ित का वॉलेट पता, आईपी, ट्रांजैक्शन हैश और अनुमोदन राशि केवल एक अनाधिकृत GET अनुरोध दूर है। शून्य API कुंजियाँ। शून्य टोकन। शून्य सुरक्षा।

ऑन-चेन साक्ष्य

ड्रेनर कॉन्ट्रैक्ट्स को TRON नेटवर्क पर तैनात किया गया है और इन्हें पीड़ितों से अनुमोदन लेनदेन संसाधित करने के लिए सक्रिय रूप से उपयोग किया गया है।

अनुबंधलेबलतैनातलेन-देन
TRnruCYe2k...UPJ8 स्वैपटीआरएक्स (वर्तमान) १३ दिसंबर, २०२५ सक्रिय
TXwXfz8Bp9...uHnS वारिस अनुबंध पहले 323 दर्ज

4 पुष्ट ऑन-चेन अनुमोदन लेनदेन प्रकट किए गए डेटाबेस (रिकॉर्ड 1–10) में पीड़ित रिकॉर्डों से मेल खाए थे। रिकॉर्ड 11–30 प्रतीत होते हैं ऑपरेटर परीक्षण डेटा — छोटी मात्राओं, क्रमिक समय पैटर्न, और समान आईपी रेंज के साथ परीक्षण वॉलेट।

WalletConnect एकीकरण

फ़िशिंग साइटें मोबाइल वॉलेट में अनुमोदन हस्ताक्षर प्रॉम्प्ट ट्रिगर करने के लिए वॉलेटकनेक्ट का उपयोग करती हैं। ऑपरेशन एक एकल का उपयोग करता है WalletConnect प्रोजेक्ट आईडी:

31eee2e7b3ff1dc4ebdfa6f839467664

इस प्रोजेक्ट आईडी को तत्काल ब्लैकलिस्टिंग के लिए वॉलेटकनेक्ट को रिपोर्ट किया जाना चाहिए।

पैसा का पीछा — गूगल विज्ञापन और एट्रिब्यूशन

शायद सबसे परेशान करने वाला निष्कर्ष: [REDACTED] ऑपरेटर अपने ड्रेनर का विज्ञापन करने के लिए गूगल को भुगतान कर रहे हैं।.

संकेतक मूल्य
गूगल विज्ञापन खाता AW-17287232508
परिवर्तन ट्रैकिंग सफल स्वीकृतियों को परिवर्तनों के रूप में ट्रैक करता है।
टेलीग्राम संपर्क [REDACTED] ("बायट्रॉन")
प्रशासन पैनल भाषासरलीकृत चीनी

गूगल विज्ञापन खाता ट्रैक करता है सफल वॉलेट अनुमोदन रूपांतरण घटनाओं के रूप में. इसका मतलब है कि गूगल का विज्ञापन प्लेटफ़ॉर्म सचमुच विज्ञापन वितरण को अनुकूलित कर रहा है ताकि क्रिप्टो ड्रेनर के लिए और अधिक शिकार ढूंढे जा सकें — और इस सेवा के लिए भुगतान भी वसूल रहा है।

प्रशासक डैशबोर्ड पूरी तरह से सरलीकृत चीनी, यूआई तत्वों जैसे 日間 / 夜間 (दिन/रात मोड स्विच) और स्रोत कोड में चीनी में टिप्पणियाँ। टेलीग्राम हैंडल [REDACTED] मुख्य ऑपरेटर संपर्क चैनल के रूप में कार्य करता है।

वे Google Ads अभियान चला रहे हैं जो सफल वॉलेट खाली होने को रूपांतरण घटनाओं के रूप में ट्रैक करते हैं।

Google को एक फ़िशिंग अभियान के लिए विज्ञापन वितरण को अनुकूलित करने के लिए भुगतान किया जा रहा है। विज्ञापनदाता छिपे नहीं हैं — वे लक्षित ट्रैफ़िक के लिए भुगतान कर रहे हैं और "सफलता" को इस आधार पर माप रहे हैं कि कितने वॉलेट खाली हो जाते हैं।

हटाने की सिफारिशें

यह ऑपरेशन कई सेवा प्रदाताओं को प्रभावित करता है। सभी वेक्टर्स में समन्वित रिपोर्टिंग आवश्यक है:

क्लाउडफ्लेयर

55+ डोमेन के लिए वर्कर्स दुरुपयोग, पेजेस दुरुपयोग और DNS रिकॉर्ड्स की रिपोर्ट करें। पूर्ण डोमेन सूची के साथ थोक दुरुपयोग रिपोर्ट।

डोमेन रजिस्ट्रार

कई रजिस्ट्रारों में 55+ डोमेन। प्रत्येक के लिए फिशिंग और वित्तीय धोखाधड़ी का हवाला देते हुए व्यक्तिगत दुरुपयोग रिपोर्ट की आवश्यकता है।

एचआईवीएलॉसिटी

107.155.88.198 पर स्थित ओरिजिन सर्वर बैकएंड API होस्ट कर रहा है। फ़िशिंग इंफ्रास्ट्रक्चर होस्ट करने की रिपोर्ट।

वॉलेटकनेक्ट

ब्लैकलिस्ट प्रोजेक्ट आईडी 31eee2e7b3ff1dc4ebdfa6f839467664 फ़िशिंग साइटों को वॉलेट साइनिंग प्रॉम्प्ट्स ट्रिगर करने से रोकने के लिए।

ट्रॉनस्कैन

फ़्लैग ड्रेनर अनुबंध TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 और TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.

गूगल विज्ञापन

खाते की रिपोर्ट करें AW-17287232508 विज्ञापन के माध्यम से फ़िशिंग और वित्तीय धोखाधड़ी के लिए। कन्वर्ज़न ट्रैकिंग दुर्भावनापूर्ण इरादे को साबित करती है।

साक्ष्य और स्रोत डेटा

पूर्ण अवसंरचना विखंडन

पूर्ण तकनीकी विश्लेषण: डोमेन, एपीआई, अनुबंध और श्रेय।

डोमेन सूची और विवरण

होस्टिंग विवरण, पंजीकरण जानकारी और वर्तमान स्थिति सहित 55+ डोमेन।

कच्चा एपीआई पीड़ित डेटा डंप

अनधिकृत बैकएंड से अनरेडक्टेड API प्रतिक्रियाएँ। 30 रिकॉर्ड।

ट्रॉनस्कैन: SwapTRX कॉन्ट्रैक्ट

TRON पर सक्रिय ड्रेनर अनुबंध। ऑन-चेन लेनदेन और अनुमोदन देखें।

जाँचें। रद्द करें। रिपोर्ट करें।

[REDACTED] फ़िशिंग डोमेन नेटवर्क — विस्तृत क्लस्टर मानचित्र
[REDACTED] फ़िशिंग डोमेन नेटवर्क — विस्तृत क्लस्टर मानचित्र
[REDACTED] डोमेन नेटवर्क अवलोकन — परस्पर जुड़ा फ़िशिंग बुनियादी ढांचा
[REDACTED] डोमेन नेटवर्क अवलोकन — परस्पर जुड़ा फ़िशिंग बुनियादी ढांचा
[REDACTED] धन प्रवाह — चोरी किया गया TRX लॉन्ड्रिंग श्रृंखला के माध्यम से कैसे चलता है
[REDACTED] धन प्रवाह — चोरी किया गया TRX लॉन्ड्रिंग श्रृंखला के माध्यम से कैसे चलता है

यदि आपने किसी भी [REDACTED] डोमेन के साथ इंटरैक्शन किया है, तो तुरंत अपनी TRON टोकन अनुमोदनों की जाँच करें। किसी भी संदिग्ध अनुमोदन को रद्द करें और उन डोमेनों की रिपोर्ट करें।

टोकन अनुमोदन रद्द करें डोमेन की रिपोर्ट करें डिस्ट्रॉयलিস্ট टूल्स
#CryptoDrainer#[REDACTED]#OSINT#PhishingInfrastructure#TronScam

संबंधित जांचें

गहन जांच
क्रिप्टो ड्रेनर टूलकिट: एंजेल ड्रेनर पुनर्विक्रेता बेनकाब
ट्रस्ट वॉलेट फ़िशिंग पैनल: $239K चोरी, 6 ऑपरेटर
गहन जांच
ट्रस्ट वॉलेट फ़िशिंग पैनल: $239K चोरी, 6 ऑपरेटर
जांच
ठग बेनकाब: 4 घोटाला बैकएंड्स का विश्लेषण

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings