Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / IT / BUYTRX DRAINER EXPOSED

[REDACTED] Drainer smascherato: anatomia di una truffa

The Enablers Registry·Editorial mirror·/it/buytrx-drainer-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Operazione di possibly phishing relativa all’approvazione di TRON USDT · Backend smascherato · Prove on-chain · Finanziamento tramite Google Ads

[REDACTED] Drainer: la verità svelata
0+
Domini di possibly phishing
0
Documentazione relativa alle vittime rese pubbliche
0
Autenticazione API
$0
Costo per l'accesso a tutti i dati

Che cos'è [REDACTED]?

[REDACTED] è un'operazione di sottrazione di USDT basata su TRON, mascherata da servizio legittimo di scambio di criptovalute. I siti presentano interfacce dall'aspetto professionale che promettono di convertire USDT in TRX a tassi vantaggiosi. Ma lo "scambio" non avviene mai.

Alla vittima viene invece chiesto di firmare un approve(MAX_UINT256) transazione sullo smart contract USDT (TRC-20). Questa singola firma autorizza il contratto di drenaggio dell'autore dell'attacco autorizzazione illimitata per trasferire l'intero saldo in USDT della vittima — ora e per sempre — fino a quando l'approvazione non venga revocata manualmente.

Una volta confermata l'approvazione sulla blockchain, l'operatore chiama transferFrom() per svuotare il portafoglio. La vittima non si accorge di nulla. Nessuno scambio. Nessun TRX. Solo un saldo a zero.

Una firma. Accesso illimitato. Capacità di scarico permanente.

La chiamata a `approve()` non trasferisce token, ma concede l'autorizzazione. Il furto vero e proprio avviene in modo invisibile tramite `transferFrom()` pochi secondi o ore dopo. La maggior parte delle vittime non collega mai le due transazioni.

L'operazione è attiva almeno da Luglio 2025, passando da una dozzina di domini all’altro man mano che quelli vecchi vengono segnalati e rimossi. L’infrastruttura si adatta più rapidamente di quanto la maggior parte dei registrar e dei provider di hosting riesca a reagire.

Oltre 55 domini — Un'unica operazione

La nostra indagine ha portato alla luce una vasta rete di domini di possibly phishing, che ospitano tutti interfacce di swap [REDACTED] identiche o quasi identiche. I domini si estendono su IANA #1910 Workers, IANA #1910 Pages e server di origine bare-metal.

Domini attualmente attivi

DominioTipoHosting
[REDACTED]PrimariaIANA #1910
[REDACTED]Primaria + APIIANA #1910
[REDACTED].movAttivoIANA #1910
[REDACTED].cxAttivoIANA #1910
[REDACTED]AttivoIANA #1910
[REDACTED].betAttivoIANA #1910
[REDACTED].storeAttivoIANA #1910
[REDACTED].clickAttivoIANA #1910
[REDACTED]AttivoIANA #1910
[REDACTED]AttivoIANA #1910

IANA #1910 Workers e Pages

SottodominioPiattaforma
shrill-haze-5ff7.[REDACTED].workers.devLavoratori
[REDACTED]Lavoratori
[REDACTED].pages.devPagine
[REDACTED]Pagine

Server di origine

Indirizzo IPFornitoreScopo
107.155.88.198HIVELOCITY (AS29802)Origine primaria
46.21.151.194HVC-ASOrigine secondaria

Un ulteriore Oltre 50 domini riciclati sono stati individuati, tra cui:

[REDACTED].net [REDACTED].org [REDACTED].io [REDACTED].co [REDACTED].exchange [REDACTED].app [REDACTED].pro [REDACTED].cc [REDACTED].xyz [REDACTED].site [REDACTED].online [REDACTED].live [REDACTED].fun [REDACTED].top [REDACTED].vip [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] e molti altri ancora.

Oltre 50 domini eliminati e sostituiti. L'infrastruttura si adatta più rapidamente di quanto la maggior parte dei registrar riesca a reagire.

API Zero Auth — Il backend completamente aperto

L'operazione [REDACTED] viene eseguita su 6 endpoint dell'API di Express.js condividendo un unico database. L'API principale è ospitata su [REDACTED]. Ogni singolo endpoint restituisce i dati completi della vittima senza alcuna autenticazione.

Endpoint non autenticati

EndpointResi
GET /api/recordsTutti i dati relativi alle vittime
GET /api/records/:idDettagli sulla singola vittima
GET /api/statsStatistiche operative
POST /api/recordsCrea un nuovo record
PUT /api/records/:idAggiorna record
DELETE /api/records/:idElimina record

Pannello di controllo amministratore senza autenticazione

È possibile accedere al pannello di amministrazione all'indirizzo /8fb198a6e9b7af32 — un percorso di hash basato sulla “sicurezza per oscurità” con autenticazione zero. Fornisce un feed in tempo reale sulle vittime che mostra:

  • Indirizzi dei portafogli di ciascuna vittima
  • ID delle transazioni (hash di approvazione)
  • Indirizzi IP delle vittime
  • Data e ora di ogni interazione
  • Importi approvati (in genere MAX_UINT256)
RISPOSTA API NON AUTENTICATA — [REDACTED]
{
  "records": [
    {
      "id": 1,
      "wallet": "TKjdnS...redacted",
      "txHash": "a8f3e2...redacted",
      "ip": "185.xxx.xxx.xxx",
      "amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
      "status": "approved",
      "createdAt": "2026-02-14T09:23:41.000Z"
    }
  ]
}

Sono state individuate ulteriori vulnerabilità:

  • Limite di velocità debole: 6 richieste per finestra, facilmente aggirabili con la rotazione degli indirizzi IP
  • Vulnerabilità nell'intestazione di Express.js: X-Powered-By: Express svela la tecnologia dei server
  • Potenziale vulnerabilità XSS nascosta: Il pannello di amministrazione visualizza stringhe user-agent non sanificate
Gli operatori hanno creato uno strumento di drenaggio, ma hanno dimenticato di proteggere il proprio backend.

L'indirizzo del portafoglio, l'IP, l'hash della transazione e l'importo autorizzato di ogni vittima sono accessibili con una semplice richiesta GET non autenticata. Zero chiavi API. Zero token. Zero sicurezza.

Prove on-chain

I contratti “drainer” sono stati distribuiti sulla rete TRON e sono stati utilizzati attivamente per elaborare le transazioni di approvazione da parte delle vittime.

ContrattoEtichettaImplementatoTransazioni
TRnruCYe2k...UPJ8 SwapTRX (attuale) 13 dicembre 2025 Attivo
TXwXfz8Bp9...uHnS Contratto pregresso In precedenza 323 registrati

4 transazioni di approvazione confermate sulla blockchain sono stati abbinati ai record delle vittime presenti nel database violato (record da 1 a 10). I record da 11 a 30 sembrano essere dati di test dell'operatore — portafogli di prova con importi modesti, schemi temporali sequenziali e intervalli di indirizzi IP identici.

Integrazione con WalletConnect

I siti di possibly phishing utilizzano WalletConnect per attivare la richiesta di approvazione nei portafogli mobili. L'operazione utilizza un unico ID del progetto WalletConnect:

31eee2e7b3ff1dc4ebdfa6f839467664

Questo ID progetto deve essere segnalato a WalletConnect affinché venga immediatamente inserito nella lista nera.

Seguire il flusso di denaro — Google Ads e attribuzione

Forse il dato più inquietante: Gli operatori di [REDACTED] pagano Google per pubblicizzare il loro drainer.

Indicatore Valore
Account Google Ads AW-17287232508
Monitoraggio delle conversioni Registra le approvazioni andate a buon fine come conversioni
Contatto su [REDACTED] [REDACTED] ("[REDACTED]")
Lingua del pannello di amministrazioneCinese semplificato

L'account Google Ads tiene traccia di approvazioni di portafogli andate a buon fine come eventi di conversione. Ciò significa che la piattaforma pubblicitaria di Google sta letteralmente ottimizzando la distribuzione degli annunci per trovare altre vittime di un programma di sottrazione di criptovalute — e incassando il compenso per il servizio.

La dashboard di amministrazione è interamente in Cinese semplificato, con elementi dell'interfaccia utente come 日間 / 夜間 (tasti di alternanza tra modalità giorno/notte) e commenti al codice sorgente in cinese. L'account [REDACTED] [REDACTED] funge da canale di contatto principale con l'operatore.

Stanno conducendo campagne Google Ads che registrano i casi in cui gli utenti svuotano il proprio portafoglio come eventi di conversione.

Google viene pagata per ottimizzare la diffusione di annunci pubblicitari a favore di un'operazione di possibly phishing. Gli inserzionisti non si nascondono: pagano per ottenere traffico mirato e misurano il "successo" in base al numero di conti svuotati.

Raccomandazioni per le rimozioni

Questa operazione coinvolge diversi fornitori di servizi. È necessario garantire una comunicazione coordinata su tutti i fronti:

IANA #1910

Segnala casi di abuso da parte degli utenti, abuso delle pagine e record DNS per tutti gli oltre 55 domini. Segnalazione di abusi in blocco con elenco completo dei domini.

Registrar di domini

Oltre 55 domini distribuiti su diversi registrar. Per ciascuno di essi è necessario presentare una segnalazione di abuso specifica, indicando come motivo il possibly phishing e la frode finanziaria.

HIVELOCITY

Server Origin all'indirizzo 107.155.88.198 che ospita l'API di backend. Segnalazione relativa all'hosting di un'infrastruttura di possibly phishing.

WalletConnect

ID del progetto "Blacklist" 31eee2e7b3ff1dc4ebdfa6f839467664 per impedire che i siti di possibly phishing attivino le richieste di firma del portafoglio.

Tronscan

Contratti per impianti di drenaggio a bandiera TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 e TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.

Google Ads

Segnala account AW-17287232508 per la pubblicità finalizzata al possibly phishing e alle frodi finanziarie. Il monitoraggio delle conversioni dimostra l'intenzione dolosa.

Prove e dati di riferimento

Smantellamento completo dell'infrastruttura

Analisi tecnica completa: domini, API, contratti e attribuzione.

Elenco e dettagli dei domini

Oltre 55 domini con dettagli sull'hosting, informazioni sulla registrazione e stato attuale.

Dump dei dati grezzi delle vittime dell'API

Risposte API non censurate provenienti dal backend non autenticato. 30 record.

Tronscan: Contratto SwapTRX

Contratto "Active Drainer" su TRON. Visualizza le transazioni e le approvazioni sulla blockchain.

Verifica. Revoca. Segnala.

Rete di domini di phishing [REDACTED] — mappa dettagliata dei cluster
Rete di domini di possibly phishing [REDACTED] — mappa dettagliata dei cluster
Panoramica sulla rete di domini [REDACTED] — infrastruttura di phishing interconnessa
Panoramica sulla rete di domini [REDACTED] — infrastruttura di possibly phishing interconnessa
Flusso di denaro [REDACTED] — come i TRX rubati si muovono lungo la catena di riciclaggio
Flusso di denaro [REDACTED] — come i TRX rubati si muovono lungo la catena di riciclaggio

Se hai interagito con uno qualsiasi dei domini [REDACTED], controlla immediatamente le tue autorizzazioni relative ai token TRON. Revoca eventuali autorizzazioni sospette e segnala i domini.

Revoca delle autorizzazioni dei token Segnala un dominio Strumenti DestroyList
#CryptoDrainer#[REDACTED]#OSINT#PhishingInfrastructure#TronScam

Indagini correlate

INDAGINE APPROFONDITA
Crypto Drainer Toolkit: smascherati i rivenditori di Angel Drainer
Panel sul phishing di [REDACTED]: 239.000 dollari rubati, 6 operatori
INDAGINE APPROFONDITA
Panel sul possibly phishing di [REDACTED]: 239.000 dollari rubati, 6 operatori
INDAGINE
Truffatori smascherati: analisi approfondita di 4 sistemi di gestione delle truffe

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings