
Operasi possibly phishing persetujuan TRON USDT · Backend yang terungkap · Bukti on-chain · Pendanaan melalui Google Ads
Apa Itu [REDACTED]?
[REDACTED] adalah operasi penipuan penguras dana USDT berbasis TRON yang menyamar sebagai layanan pertukaran mata uang kripto yang sah. Situs-situs tersebut menampilkan antarmuka yang tampak profesional dan menjanjikan konversi USDT ke TRX dengan kurs yang menggiurkan. Namun, "pertukaran" tersebut tidak pernah terjadi.
Sebaliknya, korban diminta untuk menandatangani sebuah approve(MAX_UINT256) transaksi pada kontrak pintar USDT (TRC-20). Tanda tangan tunggal ini memberikan wewenang kepada kontrak drainer milik penyerang izin tanpa batas untuk mentransfer seluruh saldo USDT korban — mulai sekarang dan selamanya — hingga persetujuan tersebut dicabut secara manual.
Setelah persetujuan dikonfirmasi di dalam blockchain, operator memanggil transferFrom() untuk menguras dompet tersebut. Korban tidak melihat apa-apa. Tidak ada pertukaran. Tidak ada TRX. Hanya saldo yang kosong.
Panggilan fungsi `approve()` tidak mentransfer token — melainkan memberikan izin. Pencurian yang sebenarnya terjadi secara diam-diam melalui fungsi `transferFrom()` beberapa detik atau jam kemudian. Sebagian besar korban tidak pernah menyadari adanya hubungan antara kedua transaksi tersebut.
Operasi tersebut telah berjalan setidaknya sejak Juli 2025, berpindah-pindah di antara puluhan domain seiring domain-domain lama dilaporkan dan ditutup. Infrastruktur tersebut beradaptasi lebih cepat daripada kemampuan sebagian besar penyedia pendaftaran domain dan penyedia layanan hosting untuk merespons.
55+ Domain — Satu Proses
Penyelidikan kami mengungkap jaringan domain possibly phishing yang sangat luas, yang semuanya menampilkan antarmuka swap [REDACTED] yang identik atau hampir identik. Domain-domain tersebut tersebar di IANA #1910 Workers, IANA #1910 Pages, dan server asal bare-metal.
Domain yang Saat Ini Aktif
| Domain | Jenis | Layanan Hosting |
|---|---|---|
[REDACTED] | Sekolah Dasar | IANA #1910 |
[REDACTED] | Sekolah Dasar + API | IANA #1910 |
[REDACTED].mov | Aktif | IANA #1910 |
[REDACTED].cx | Aktif | IANA #1910 |
[REDACTED] | Aktif | IANA #1910 |
[REDACTED].bet | Aktif | IANA #1910 |
[REDACTED].store | Aktif | IANA #1910 |
[REDACTED].click | Aktif | IANA #1910 |
[REDACTED] | Aktif | IANA #1910 |
[REDACTED] | Aktif | IANA #1910 |
IANA #1910 Workers & Pages
| Subdomain | Platform |
|---|---|
shrill-haze-5ff7.[REDACTED].workers.dev | Pekerja |
[REDACTED] | Pekerja |
[REDACTED].pages.dev | Halaman |
[REDACTED] | Halaman |
Server Asal
| Alamat IP | Penyedia | Tujuan |
|---|---|---|
107.155.88.198 | HIVELOCITY (AS29802) | Asal utama |
46.21.151.194 | HVC-AS | Asal sekunder |
Selain itu, Lebih dari 50 domain daur ulang telah diidentifikasi, antara lain:
[REDACTED].net [REDACTED].org [REDACTED].io [REDACTED].co [REDACTED].exchange [REDACTED].app [REDACTED].pro [REDACTED].cc [REDACTED].xyz [REDACTED].site [REDACTED].online [REDACTED].live [REDACTED].fun [REDACTED].top [REDACTED].vip [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] dan masih banyak lagi.
Lebih dari 50 domain telah dinonaktifkan dan diganti. Infrastruktur ini beradaptasi lebih cepat daripada respons kebanyakan penyedia layanan pendaftaran domain.
API Tanpa Otentikasi — Bagian Belakang yang Terbuka Lebar
Operasi [REDACTED] berjalan di 6 Titik akhir API Express.js berbagi satu basis data. API utamanya dihosting di [REDACTED]. Setiap titik akhir mengembalikan data lengkap korban tanpa otentikasi apa pun.
Titik Akhir yang Belum Terotentikasi
| Titik akhir | Pengembalian Barang |
|---|---|
GET /api/records | Semua catatan korban |
GET /api/records/:id | Rincian korban per orang |
GET /api/stats | Statistik operasi |
POST /api/records | Buat catatan baru |
PUT /api/records/:id | Perbarui catatan |
DELETE /api/records/:id | Hapus catatan |
Dasbor Admin Tanpa Otentikasi
Panel admin dapat diakses di /8fb198a6e9b7af32 — jalur hash "keamanan melalui kerahasiaan" dengan tanpa otentikasi. Fitur ini menampilkan umpan informasi korban secara real-time yang mencakup:
- Alamat dompet setiap korban
- ID Transaksi (hash persetujuan)
- Alamat IP para korban
- Cap waktu setiap interaksi
- Jumlah persetujuan (biasanya MAX_UINT256)
{
"records": [
{
"id": 1,
"wallet": "TKjdnS...redacted",
"txHash": "a8f3e2...redacted",
"ip": "185.xxx.xxx.xxx",
"amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
"status": "approved",
"createdAt": "2026-02-14T09:23:41.000Z"
}
]
} Kerentanan tambahan yang ditemukan:
- Faktor pembatas yang lemah: 6 permintaan per jendela, dapat dengan mudah dilewati dengan rotasi IP
- Kebocoran header Express.js:
X-Powered-By: Expressmengungkap teknologi server - Potensi XSS tersembunyi: Panel admin menampilkan string user-agent yang belum disterilkan
Alamat dompet, alamat IP, hash transaksi, dan jumlah persetujuan setiap korban dapat diakses hanya dengan satu permintaan GET yang tidak terotentikasi. Tanpa kunci API. Tanpa token. Tanpa keamanan.
Bukti dalam Rantai Blok
Kontrak drainer tersebut telah diluncurkan di jaringan TRON dan telah secara aktif digunakan untuk memproses transaksi persetujuan dari para korban.
| Kontrak | Label | Telah diterapkan | Transaksi |
|---|---|---|---|
TRnruCYe2k...UPJ8
|
SwapTRX (Saat Ini) | 13 Desember 2025 | Aktif |
TXwXfz8Bp9...uHnS
|
Kontrak Lama | Sebelumnya | 323 tercatat |
4 transaksi persetujuan on-chain yang telah dikonfirmasi telah dicocokkan dengan catatan korban dalam basis data yang bocor (catatan 1–10). Catatan 11–30 tampaknya merupakan data uji operator — dompet uji dengan jumlah kecil, pola waktu berurutan, dan rentang IP yang sama.
Integrasi WalletConnect
Situs-situs possibly phishing tersebut menggunakan WalletConnect untuk memicu munculnya permintaan persetujuan penandatanganan di dompet seluler. Operasi ini menggunakan satu ID Proyek WalletConnect:
31eee2e7b3ff1dc4ebdfa6f839467664
ID Proyek ini harus dilaporkan ke WalletConnect agar segera dimasukkan ke dalam daftar hitam.
Menelusuri Jejak Uang — Google Ads & Atribusi
Mungkin temuan yang paling mengkhawatirkan: Operator [REDACTED] membayar Google untuk mengiklankan drainer mereka.
| Indikator | Nilai |
|---|---|
| Akun Google Ads |
AW-17287232508
|
| Pelacakan Konversi | Melacak persetujuan yang berhasil sebagai konversi |
| Kontak [REDACTED] | [REDACTED] ("[REDACTED]") |
| Bahasa Panel Admin | Bahasa Mandarin Sederhana |
Akun Google Ads melacak persetujuan dompet yang berhasil sebagai peristiwa konversi. Artinya, platform periklanan Google secara harfiah mengoptimalkan penayangan iklan untuk mencari lebih banyak korban bagi program penguras kripto — dan menerima bayaran atas layanan tersebut.
Dasbor admin sepenuhnya tersedia dalam Bahasa Mandarin Sederhana, dengan elemen antarmuka pengguna seperti 日間 / 夜間 (tombol pengalih mode siang/malam) dan komentar kode sumber dalam bahasa Mandarin. Nama pengguna [REDACTED] [REDACTED] berfungsi sebagai saluran kontak utama bagi operator.
Google menerima bayaran untuk mengoptimalkan penayangan iklan demi operasi possibly phishing. Para pengiklan tidak berusaha menyembunyikan hal ini — mereka membayar untuk lalu lintas yang ditargetkan dan mengukur "kesuksesan" berdasarkan berapa banyak dompet yang berhasil dikuras.
Rekomendasi Penghapusan
Operasi ini melibatkan sejumlah penyedia layanan. Diperlukan pelaporan yang terkoordinasi di seluruh aspek:
IANA #1910
Laporkan penyalahgunaan oleh pekerja, penyalahgunaan halaman, dan catatan DNS untuk semua domain (lebih dari 55 domain). Laporan penyalahgunaan massal dengan daftar domain lengkap.
Penyedia Layanan Pendaftaran Nama Domain
Lebih dari 55 domain yang tersebar di berbagai penyedia layanan pendaftaran domain. Masing-masing memerlukan laporan penyalahgunaan tersendiri yang menyebutkan possibly phishing dan penipuan keuangan.
HIVELOCITY
Server Origin di alamat 107.155.88.198 yang menghosting API backend. Laporan terkait penggunaan server tersebut untuk menghosting infrastruktur possibly phishing.
WalletConnect
ID Proyek Daftar Hitam 31eee2e7b3ff1dc4ebdfa6f839467664 untuk mencegah situs possibly phishing memicu munculnya permintaan penandatanganan dompet.
Tronscan
Kontrak penyedia jasa pengeringan bendera TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 dan TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.
Google Ads
Laporkan akun AW-17287232508 untuk mengiklankan possibly phishing dan penipuan keuangan. Pelacakan konversi membuktikan adanya niat jahat.
Bukti & Data Sumber
Analisis teknis menyeluruh: domain, API, kontrak, dan atribusi.
Lebih dari 55 domain beserta rincian hosting, informasi pendaftaran, dan status terkini.
API yang belum disensor dari backend yang tidak terotentikasi. 30 catatan.
Kontrak Active Drainer di TRON. Lihat transaksi dan persetujuan di blockchain.
Periksa. Cabut. Laporkan.
Jika Anda pernah berinteraksi dengan domain [REDACTED] mana pun, segera periksa izin token TRON Anda. Cabut semua izin yang mencurigakan dan laporkan domain-domain tersebut.