
Фишинговая операция, связанная с утверждением TRON USDT · Раскрытый бэкенд · Доказательства в цепочке блоков · Финансирование через Google Ads
Что такое [REDACTED]?
[REDACTED] — это схема по хищению средств с помощью USDT на базе TRON, замаскированная под легальный сервис обмена криптовалют. Сайты этой схемы имеют профессионально оформленный интерфейс и обещают конвертировать USDT в TRX по привлекательным курсам. Однако «обмен» так и не происходит.
Вместо этого жертве предлагается подписать approve(MAX_UINT256) транзакция в смарт-контракте USDT (TRC-20). Эта единственная подпись предоставляет контракту злоумышленника, предназначенному для слива средств, неограниченное разрешение перечислять весь баланс жертвы в USDT — сейчас и навсегда — до тех пор, пока разрешение не будет отозвано вручную.
Как только одобрение подтверждается в цепочке блоков, оператор вызывает transferFrom() чтобы опустошить кошелек. Жертва ничего не замечает. Никакого обмена. Никаких TRX. Просто пустой баланс.
Вызов approve() не предусматривает передачу токенов — он лишь предоставляет разрешение. Фактическое хищение происходит незаметно с помощью функции transferFrom() через несколько секунд или часов. Большинство жертв никогда не связывают эти две транзакции между собой.
Операция ведётся, по крайней мере, с Июль 2025 года, переключаясь между десятками доменов по мере того, как старые домены попадают в черный список и удаляются. Эта инфраструктура адаптируется быстрее, чем успевают отреагировать большинство регистраторов и хостинг-провайдеров.
Более 55 доменов — одна операция
В ходе нашего расследования была выявлена обширная сеть фишинговых доменов, на всех которых размещены идентичные или практически идентичные интерфейсы обмена [REDACTED]. Эти домены размещены на IANA #1910 Workers, IANA #1910 Pages и на отдельных физических серверах-источниках.
Активные в настоящее время домены
| Домен | Тип | Хостинг |
|---|---|---|
[REDACTED] | Начальная школа | IANA #1910 |
[REDACTED] | Начальная школа + API | IANA #1910 |
[REDACTED].mov | Активный | IANA #1910 |
[REDACTED].cx | Активный | IANA #1910 |
[REDACTED] | Активный | IANA #1910 |
[REDACTED].bet | Активный | IANA #1910 |
[REDACTED].store | Активный | IANA #1910 |
[REDACTED].click | Активный | IANA #1910 |
[REDACTED] | Активный | IANA #1910 |
[REDACTED] | Активный | IANA #1910 |
IANA #1910 Workers и Pages
| Поддомен | Платформа |
|---|---|
shrill-haze-5ff7.[REDACTED].workers.dev | Работники |
[REDACTED] | Работники |
[REDACTED].pages.dev | Страницы |
[REDACTED] | Страницы |
Серверы Origin
| IP-адрес | Поставщик | Цель |
|---|---|---|
107.155.88.198 | HIVELOCITY (AS29802) | Первоначальное происхождение |
46.21.151.194 | HVC-AS | Вторичное происхождение |
Еще один Более 50 доменов из вторичного рынка были выявлены, в том числе:
[REDACTED].net [REDACTED].org [REDACTED].io [REDACTED].co [REDACTED].exchange [REDACTED].app [REDACTED].pro [REDACTED].cc [REDACTED].xyz [REDACTED].site [REDACTED].online [REDACTED].live [REDACTED].fun [REDACTED].top [REDACTED].vip [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] и многое другое.
Более 50 доменов были заблокированы и заменены. Инфраструктура адаптируется быстрее, чем успевают отреагировать большинство регистраторов.
API без аутентификации — полностью открытый бэкенд
Операция [REDACTED] выполняется на 6 конечных точек API Express.js использующие одну базу данных. Основной API размещен по адресу [REDACTED]. Каждый конечный пункт возвращает полные данные о жертве без какой-либо аутентификации.
Неаутентифицированные конечные точки
| Конечная точка | Возврат товаров |
|---|---|
GET /api/records | Все записи о пострадавших |
GET /api/records/:id | Подробная информация о конкретной жертве |
GET /api/stats | Статистика работы |
POST /api/records | Создать новую запись |
PUT /api/records/:id | Обновить запись |
DELETE /api/records/:id | Удалить запись |
Панель администратора без авторизации
Доступ к панели администратора можно получить по адресу /8fb198a6e9b7af32 — хеш-путь, основанный на принципе «безопасности за счёт скрытности», с аутентификация по нулю. На сайте в режиме реального времени публикуются данные о пострадавших, в том числе:
- Адреса кошельков каждой жертвы
- Идентификаторы транзакций (хэши подтверждений)
- IP-адреса пострадавших
- Временные метки каждого взаимодействия
- Суммы одобрения (как правило, MAX_UINT256)
{
"records": [
{
"id": 1,
"wallet": "TKjdnS...redacted",
"txHash": "a8f3e2...redacted",
"ip": "185.xxx.xxx.xxx",
"amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
"status": "approved",
"createdAt": "2026-02-14T09:23:41.000Z"
}
]
} Обнаружены дополнительные уязвимости:
- Слабое ограничение скорости: 6 запросов на одно окно, что легко обойти с помощью ротации IP-адресов
- Утечка заголовков в Express.js:
X-Powered-By: Expressраскрывает секреты серверных технологий - Потенциальный XSS с сохранением данных: Административная панель выводит строки «user-agent» без предварительной очистки
Адрес кошелька, IP-адрес, хеш транзакции и сумма утверждения каждой жертвы доступны всего за один неавторизованный запрос GET. Никаких API-ключей. Никаких токенов. Никакой безопасности.
Доказательства, содержащиеся в цепочке блоков
Контракты-дрейнеры развернуты в сети TRON и активно используются для обработки транзакций по утверждению от потерпевших.
| Договор | Этикетка | Развернуто | Транзакции |
|---|---|---|---|
TRnruCYe2k...UPJ8
|
SwapTRX (текущий) | 13 декабря 2025 г. | Активный |
TXwXfz8Bp9...uHnS
|
Устаревший договор | Ранее | Зарегистрировано 323 |
4 подтверждённых транзакции с одобрением в цепочке блоков были сопоставлены с записями о жертвах в утечке базы данных (записи 1–10). Записи 11–30, по-видимому, являются тестовые данные оператора — тестовые кошельки с небольшими суммами, последовательными временными интервалами и одинаковыми диапазонами IP-адресов.
Интеграция с WalletConnect
Фишинговые сайты используют WalletConnect для вызова запроса на подтверждение подписи в мобильных кошельках. В ходе этой операции используется один Идентификатор проекта WalletConnect:
31eee2e7b3ff1dc4ebdfa6f839467664
Этот идентификатор проекта необходимо сообщить в WalletConnect для немедленного внесения в черный список.
По следам денег — Google Ads и атрибуция
Пожалуй, самый тревожный вывод: Операторы [REDACTED] платят Google за рекламу своего дрейнера.
| Показатель | Значение |
|---|---|
| Аккаунт Google Ads |
AW-17287232508
|
| Отслеживание конверсий | Отслеживает успешные утверждения как конверсии |
| Контакт в [REDACTED] | [REDACTED] («[REDACTED]») |
| Язык панели администратора | Упрощённый китайский |
В аккаунте Google Ads отслеживаются успешные утверждения кошельков в качестве событий конвертации. Это означает, что рекламная платформа Google буквально оптимизирует показ рекламы, чтобы найти больше жертв для программы, крадущей криптовалюту, — и при этом получает вознаграждение за эту услугу.
Панель администратора полностью выполнена на Упрощённый китайский, с такими элементами пользовательского интерфейса, как 日間 / 夜間 (переключение между дневным и ночным режимами) и комментарии в исходном коде на китайском языке. Ник в [REDACTED] [REDACTED] является основным каналом связи с оператором.
Google получает деньги за оптимизацию показа рекламы в рамках фишинговой операции. Рекламодатели не скрывают своих намерений — они платят за таргетированный трафик и оценивают «успех» по количеству опустошенных кошельков.
Рекомендации по ликвидации
Эта операция затрагивает нескольких поставщиков услуг. Требуется скоординированная отчетность по всем направлениям:
IANA #1910
Сообщите о злоупотреблениях со стороны пользователей, злоупотреблениях со стороны сайтов и записях DNS для всех более чем 55 доменов. Массовая отправка сообщений о злоупотреблениях с полным списком доменов.
Регистраторы доменов
Более 55 доменов, зарегистрированных у различных регистраторов. По каждому из них необходимо подать отдельное заявление о злоупотреблении с указанием фактов фишинга и финансового мошенничества.
HIVELOCITY
Сервер Origin с адресом 107.155.88.198, на котором размещен бэкэнд API. Сообщение о размещении фишинговой инфраструктуры.
WalletConnect
Идентификатор проекта «Черный список» 31eee2e7b3ff1dc4ebdfa6f839467664 чтобы фишинговые сайты не вызывали запросы на подпись в кошельке.
Tronscan
Контракты на установку дренажных систем «Flag» TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 и TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.
Google Ads
Сообщить об аккаунте AW-17287232508 для рекламы фишинга и финансового мошенничества. Отслеживание конверсий подтверждает злонамеренные намерения.
Доказательства и исходные данные
Полный технический анализ: домены, API, контракты и атрибуция.
Более 55 доменов с данными о хостинге, информацией о регистрации и текущим статусом.
Неотредактированные ответы API от неавторизованного бэкенда. 30 записей.
Действующий контракт «Drainer» на TRON. Просмотр транзакций и утверждений в цепочке блоков.
Проверить. Отменить. Сообщить.
Если вы взаимодействовали с каким-либо доменом [REDACTED], немедленно проверьте свои разрешения на использование токенов TRON. Отмените все подозрительные разрешения и сообщите об этих доменах.