Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / PT BR / BUYTRX DRAINER EXPOSED

[REDACTED] Drainer ao descoberto: a anatomia de um golpe

The Enablers Registry·Editorial mirror·/pt-br/buytrx-drainer-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Operação de possibly phishing envolvendo a aprovação de TRON USDT · Back-end exposto · Evidências na cadeia de blocos · Financiamento pelo Google Ads

[REDACTED] Drainer: A Verdade Revelada
0+
Domínios de possibly phishing
0
Registros de vítimas expostos
0
Autenticação da API
$0
Custo para acessar todos os dados

O que é o [REDACTED]?

O [REDACTED] é uma operação de drenagem de aprovações de USDT baseada na rede TRON, disfarçada de serviço legítimo de troca de criptomoedas. Os sites apresentam interfaces com aparência profissional que prometem converter USDT em TRX a taxas atraentes. Mas a “troca” nunca ocorre.

Em vez disso, a vítima é instada a assinar um approve(MAX_UINT256) transação no contrato inteligente do USDT (TRC-20). Essa única assinatura concede ao contrato de drenagem do invasor permissão ilimitada transferir todo o saldo em USDT da vítima — agora e para sempre — até que a aprovação seja revogada manualmente.

Assim que a aprovação for confirmada na cadeia de blocos, o operador chama transferFrom() para roubar a carteira. A vítima não percebe nada. Sem troca. Sem TRX. Apenas um saldo zerado.

Uma assinatura. Acesso ilimitado. Capacidade de drenagem permanente.

A chamada ao `approve()` não transfere tokens — ela apenas concede permissão. O roubo propriamente dito ocorre de forma silenciosa por meio do `transferFrom()`, segundos ou horas depois. A maioria das vítimas nunca associa as duas transações.

A operação está em andamento há pelo menos Julho de 2025, alternando entre dezenas de domínios à medida que os antigos são denunciados e retirados do ar. A infraestrutura se adapta mais rapidamente do que a maioria dos registradores e provedores de hospedagem consegue reagir.

Mais de 55 domínios — uma única operação

Nossa investigação revelou uma extensa rede de domínios de possibly phishing, todos hospedando interfaces de swap do [REDACTED] idênticas ou quase idênticas. Os domínios estão hospedados no IANA #1910 Workers, no IANA #1910 Pages e em servidores de origem bare-metal.

Domínios atualmente ativos

DomínioTipoHospedagem
[REDACTED]PrimárioIANA #1910
[REDACTED]Primário + APIIANA #1910
[REDACTED].movAtivoIANA #1910
[REDACTED].cxAtivoIANA #1910
[REDACTED]AtivoIANA #1910
[REDACTED].betAtivoIANA #1910
[REDACTED].storeAtivoIANA #1910
[REDACTED].clickAtivoIANA #1910
[REDACTED]AtivoIANA #1910
[REDACTED]AtivoIANA #1910

IANA #1910 Workers e Pages

SubdomínioPlataforma
shrill-haze-5ff7.[REDACTED].workers.devTrabalhadores
[REDACTED]Trabalhadores
[REDACTED].pages.devPáginas
[REDACTED]Páginas

Servidores de origem

Endereço IPProvedorObjetivo
107.155.88.198HIVELOCITY (AS29802)Origem primária
46.21.151.194HVC-ASOrigem secundária

Um adicional Mais de 50 domínios reciclados foram identificados, incluindo:

[REDACTED].net [REDACTED].org [REDACTED].io [REDACTED].co [REDACTED].exchange [REDACTED].app [REDACTED].pro [REDACTED].cc [REDACTED].xyz [REDACTED].site [REDACTED].online [REDACTED].live [REDACTED].fun [REDACTED].top [REDACTED].vip [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] e muitos outros.

Mais de 50 domínios foram desativados e substituídos. A infraestrutura se adapta mais rapidamente do que a maioria dos registradores consegue responder.

APIs sem autenticação — O back-end totalmente aberto

A operação [REDACTED] é executada em 6 pontos de extremidade da API do Express.js compartilhando um único banco de dados. A API principal está hospedada em [REDACTED]. Cada endpoint retorna todos os dados da vítima sem qualquer autenticação.

Pontos de extremidade não autenticados

Ponto finalDevoluções
GET /api/recordsTodos os registros das vítimas
GET /api/records/:idDetalhes individuais da vítima
GET /api/statsEstatísticas operacionais
POST /api/recordsCriar novo registro
PUT /api/records/:idAtualizar registro
DELETE /api/records/:idExcluir registro

Painel de controle do administrador sem autenticação

É possível acessar o painel de administração em /8fb198a6e9b7af32 — um método de hash baseado na “segurança por obscuridade” com autenticação zero. Ele oferece um feed em tempo real sobre as vítimas, mostrando:

  • Endereços de carteiras de cada vítima
  • IDs de transação (hashes de aprovação)
  • Endereços IP das vítimas
  • Registros de data e hora de cada interação
  • Valores de aprovação (normalmente MAX_UINT256)
RESPOSTA DA API NÃO AUTENTICADA — [REDACTED]
{
  "records": [
    {
      "id": 1,
      "wallet": "TKjdnS...redacted",
      "txHash": "a8f3e2...redacted",
      "ip": "185.xxx.xxx.xxx",
      "amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
      "status": "approved",
      "createdAt": "2026-02-14T09:23:41.000Z"
    }
  ]
}

Vulnerabilidades adicionais descobertas:

  • Limitação de taxa fraca: 6 solicitações por janela, facilmente contornadas com a rotação de IPs
  • Vazamento de cabeçalho no Express.js: X-Powered-By: Express revela a tecnologia de servidores
  • Possível XSS armazenado: O painel de administração exibe strings de user-agent sem sanitização
Os operadores criaram um drainer, mas se esqueceram de proteger seu próprio backend.

O endereço da carteira, o IP, o hash da transação e o valor da aprovação de cada vítima estão a apenas uma solicitação GET não autenticada de distância. Zero chaves de API. Zero tokens. Zero segurança.

Evidências na cadeia de blocos

Os contratos “drainer” são implantados na rede TRON e têm sido utilizados ativamente para processar transações de aprovação das vítimas.

ContratoEtiquetaImplantadoTransações
TRnruCYe2k...UPJ8 SwapTRX (Atual) 13 de dezembro de 2025 Ativo
TXwXfz8Bp9...uHnS Contrato antigo Antes 323 registrados

4 transações de aprovação confirmadas na cadeia de blocos foram correlacionados aos registros das vítimas no banco de dados exposto (registros 1–10). Os registros 11–30 parecem ser dados de teste da operadora — carteiras de teste com pequenos valores, padrões de tempo sequenciais e intervalos de IP idênticos.

Integração com o WalletConnect

Os sites de possibly phishing utilizam o WalletConnect para acionar o aviso de aprovação nas carteiras digitais. A operação utiliza um único ID do projeto WalletConnect:

31eee2e7b3ff1dc4ebdfa6f839467664

Esse ID do projeto deve ser comunicado ao WalletConnect para que seja imediatamente incluído na lista negra.

Seguindo o dinheiro — Google Ads e atribuição

Talvez a constatação mais preocupante: Os operadores do [REDACTED] estão pagando ao Google para anunciar seu drainer.

Indicador Valor
Conta do Google Ads AW-17287232508
Acompanhamento de conversões Acompanha as aprovações bem-sucedidas como conversões
Contato no [REDACTED] [REDACTED] ("[REDACTED]")
Idioma do painel de administraçãoChinês simplificado

A conta do Google Ads rastreia aprovações bem-sucedidas de carteiras como eventos de conversão. Isso significa que a plataforma de publicidade do Google está, literalmente, otimizando a exibição de anúncios para encontrar mais vítimas para um programa de roubo de criptomoedas — e recebendo pagamento por esse serviço.

O painel de administração está inteiramente em Chinês simplificado, com elementos da interface do usuário como 日間 / 夜間 (botões para alternar entre os modos dia/noite) e comentários no código-fonte em chinês. O nome de usuário no [REDACTED] [REDACTED] funciona como o principal canal de contato com a operadora.

Eles estão realizando campanhas no Google Ads que registram as transações bem-sucedidas de retirada de fundos como eventos de conversão.

O Google está sendo pago para otimizar a veiculação de anúncios para uma operação de possibly phishing. Os anunciantes não estão se escondendo — eles estão pagando por tráfego direcionado e medindo o “sucesso” pelo número de carteiras que são esvaziadas.

Recomendações para remoções

Essa operação envolve vários prestadores de serviços. É necessário que haja um relato coordenado em todas as frentes:

IANA #1910

Denuncie abusos por parte de usuários, abusos em páginas e registros de DNS para todos os mais de 55 domínios. Denúncia em massa de abusos com a lista completa de domínios.

Registradores de domínios

Mais de 55 domínios em diversos registradores. Cada um deles requer denúncias individuais de abuso, citando possibly phishing e fraude financeira.

HIVELOCITY

Servidor de origem em 107.155.88.198, que hospeda a API de back-end. Denúncia por hospedar infraestrutura de possibly phishing.

WalletConnect

ID do Projeto da Lista Negra 31eee2e7b3ff1dc4ebdfa6f839467664 para impedir que sites de possibly phishing acionem solicitações de assinatura na carteira.

Tronscan

Contratos de drenagem de bandeiras TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 e TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.

Google Ads

Denunciar conta AW-17287232508 por divulgar possibly phishing e fraudes financeiras. O rastreamento de conversões comprova a intenção maliciosa.

Evidências e dados de origem

Desmontagem completa da infraestrutura

Análise técnica completa: domínios, APIs, contratos e atribuição.

Lista e detalhes de domínios

Mais de 55 domínios com detalhes de hospedagem, informações de registro e status atual.

Dump de dados brutos das vítimas da API

Respostas da API sem censura provenientes do backend não autenticado. 30 registros.

Tronscan: Contrato do SwapTRX

Contrato do Active Drainer na TRON. Visualize as transações e aprovações na cadeia de blocos.

Verificar. Revogar. Comunicar.

Rede de domínios de phishing [REDACTED] — mapa detalhado do cluster
Rede de domínios de possibly phishing [REDACTED] — mapa detalhado do cluster
Visão geral da rede de domínios [REDACTED] — infraestrutura de phishing interconectada
Visão geral da rede de domínios [REDACTED] — infraestrutura de possibly phishing interconectada
Fluxo de dinheiro do [REDACTED] — como o TRX roubado circula pela cadeia de lavagem de dinheiro
Fluxo de dinheiro do [REDACTED] — como o TRX roubado circula pela cadeia de lavagem de dinheiro

Se você já interagiu com algum domínio da [REDACTED], verifique imediatamente suas autorizações de tokens TRON. Revogue quaisquer autorizações suspeitas e denuncie os domínios.

Revogar aprovações de tokens Denunciar um domínio Ferramentas do DestroyList
#CryptoDrainer#[REDACTED]#OSINT#PhishingInfrastructure#TronScam

Investigações relacionadas

INVESTIGAÇÃO APROFUNDADA
Kit de ferramentas Crypto Drainer: revendedores do Angel Drainer são desmascarados
Painel sobre o caso de phishing da [REDACTED]: US$ 239 mil roubados, 6 operadores
INVESTIGAÇÃO APROFUNDADA
Painel sobre o caso de possibly phishing da [REDACTED]: US$ 239 mil roubados, 6 operadores
INVESTIGAÇÃO
Golpistas desmascarados: análise detalhada de quatro sistemas de back-end de golpes

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings