Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / RU / BUYTRX DRAINER EXPOSED

«[REDACTED] Drainer» разоблачен: анатомия мошенничества

The Enablers Registry·Editorial mirror·/ru/buytrx-drainer-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Фишинговая операция, связанная с утверждением TRON USDT · Раскрытый бэкенд · Доказательства в цепочке блоков · Финансирование через Google Ads

Разоблачение [REDACTED] Drainer
0+
Фишинговые домены
0
Доступные данные о жертвах
0
Аутентификация через API
$0
Стоимость доступа ко всем данным

Что такое [REDACTED]?

[REDACTED] — это схема по хищению средств с помощью USDT на базе TRON, замаскированная под легальный сервис обмена криптовалют. Сайты этой схемы имеют профессионально оформленный интерфейс и обещают конвертировать USDT в TRX по привлекательным курсам. Однако «обмен» так и не происходит.

Вместо этого жертве предлагается подписать approve(MAX_UINT256) транзакция в смарт-контракте USDT (TRC-20). Эта единственная подпись предоставляет контракту злоумышленника, предназначенному для слива средств, неограниченное разрешение перечислять весь баланс жертвы в USDT — сейчас и навсегда — до тех пор, пока разрешение не будет отозвано вручную.

Как только одобрение подтверждается в цепочке блоков, оператор вызывает transferFrom() чтобы опустошить кошелек. Жертва ничего не замечает. Никакого обмена. Никаких TRX. Просто пустой баланс.

Одна подпись. Неограниченный доступ. Возможность постоянного списания средств.

Вызов approve() не предусматривает передачу токенов — он лишь предоставляет разрешение. Фактическое хищение происходит незаметно с помощью функции transferFrom() через несколько секунд или часов. Большинство жертв никогда не связывают эти две транзакции между собой.

Операция ведётся, по крайней мере, с Июль 2025 года, переключаясь между десятками доменов по мере того, как старые домены попадают в черный список и удаляются. Эта инфраструктура адаптируется быстрее, чем успевают отреагировать большинство регистраторов и хостинг-провайдеров.

Более 55 доменов — одна операция

В ходе нашего расследования была выявлена обширная сеть фишинговых доменов, на всех которых размещены идентичные или практически идентичные интерфейсы обмена [REDACTED]. Эти домены размещены на IANA #1910 Workers, IANA #1910 Pages и на отдельных физических серверах-источниках.

Активные в настоящее время домены

ДоменТипХостинг
[REDACTED]Начальная школаIANA #1910
[REDACTED]Начальная школа + APIIANA #1910
[REDACTED].movАктивныйIANA #1910
[REDACTED].cxАктивныйIANA #1910
[REDACTED]АктивныйIANA #1910
[REDACTED].betАктивныйIANA #1910
[REDACTED].storeАктивныйIANA #1910
[REDACTED].clickАктивныйIANA #1910
[REDACTED]АктивныйIANA #1910
[REDACTED]АктивныйIANA #1910

IANA #1910 Workers и Pages

ПоддоменПлатформа
shrill-haze-5ff7.[REDACTED].workers.devРаботники
[REDACTED]Работники
[REDACTED].pages.devСтраницы
[REDACTED]Страницы

Серверы Origin

IP-адресПоставщикЦель
107.155.88.198HIVELOCITY (AS29802)Первоначальное происхождение
46.21.151.194HVC-ASВторичное происхождение

Еще один Более 50 доменов из вторичного рынка были выявлены, в том числе:

[REDACTED].net [REDACTED].org [REDACTED].io [REDACTED].co [REDACTED].exchange [REDACTED].app [REDACTED].pro [REDACTED].cc [REDACTED].xyz [REDACTED].site [REDACTED].online [REDACTED].live [REDACTED].fun [REDACTED].top [REDACTED].vip [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] и многое другое.

Более 50 доменов были заблокированы и заменены. Инфраструктура адаптируется быстрее, чем успевают отреагировать большинство регистраторов.

API без аутентификации — полностью открытый бэкенд

Операция [REDACTED] выполняется на 6 конечных точек API Express.js использующие одну базу данных. Основной API размещен по адресу [REDACTED]. Каждый конечный пункт возвращает полные данные о жертве без какой-либо аутентификации.

Неаутентифицированные конечные точки

Конечная точкаВозврат товаров
GET /api/recordsВсе записи о пострадавших
GET /api/records/:idПодробная информация о конкретной жертве
GET /api/statsСтатистика работы
POST /api/recordsСоздать новую запись
PUT /api/records/:idОбновить запись
DELETE /api/records/:idУдалить запись

Панель администратора без авторизации

Доступ к панели администратора можно получить по адресу /8fb198a6e9b7af32 — хеш-путь, основанный на принципе «безопасности за счёт скрытности», с аутентификация по нулю. На сайте в режиме реального времени публикуются данные о пострадавших, в том числе:

  • Адреса кошельков каждой жертвы
  • Идентификаторы транзакций (хэши подтверждений)
  • IP-адреса пострадавших
  • Временные метки каждого взаимодействия
  • Суммы одобрения (как правило, MAX_UINT256)
ОТВЕТ API БЕЗ АУТЕНТИФИКАЦИИ — [REDACTED]
{
  "records": [
    {
      "id": 1,
      "wallet": "TKjdnS...redacted",
      "txHash": "a8f3e2...redacted",
      "ip": "185.xxx.xxx.xxx",
      "amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
      "status": "approved",
      "createdAt": "2026-02-14T09:23:41.000Z"
    }
  ]
}

Обнаружены дополнительные уязвимости:

  • Слабое ограничение скорости: 6 запросов на одно окно, что легко обойти с помощью ротации IP-адресов
  • Утечка заголовков в Express.js: X-Powered-By: Express раскрывает секреты серверных технологий
  • Потенциальный XSS с сохранением данных: Административная панель выводит строки «user-agent» без предварительной очистки
Операторы создали систему слива, но забыли обезопасить свою собственную бэкэнд-систему.

Адрес кошелька, IP-адрес, хеш транзакции и сумма утверждения каждой жертвы доступны всего за один неавторизованный запрос GET. Никаких API-ключей. Никаких токенов. Никакой безопасности.

Доказательства, содержащиеся в цепочке блоков

Контракты-дрейнеры развернуты в сети TRON и активно используются для обработки транзакций по утверждению от потерпевших.

ДоговорЭтикеткаРазвернутоТранзакции
TRnruCYe2k...UPJ8 SwapTRX (текущий) 13 декабря 2025 г. Активный
TXwXfz8Bp9...uHnS Устаревший договор Ранее Зарегистрировано 323

4 подтверждённых транзакции с одобрением в цепочке блоков были сопоставлены с записями о жертвах в утечке базы данных (записи 1–10). Записи 11–30, по-видимому, являются тестовые данные оператора — тестовые кошельки с небольшими суммами, последовательными временными интервалами и одинаковыми диапазонами IP-адресов.

Интеграция с WalletConnect

Фишинговые сайты используют WalletConnect для вызова запроса на подтверждение подписи в мобильных кошельках. В ходе этой операции используется один Идентификатор проекта WalletConnect:

31eee2e7b3ff1dc4ebdfa6f839467664

Этот идентификатор проекта необходимо сообщить в WalletConnect для немедленного внесения в черный список.

По следам денег — Google Ads и атрибуция

Пожалуй, самый тревожный вывод: Операторы [REDACTED] платят Google за рекламу своего дрейнера.

Показатель Значение
Аккаунт Google Ads AW-17287232508
Отслеживание конверсий Отслеживает успешные утверждения как конверсии
Контакт в [REDACTED] [REDACTED][REDACTED]»)
Язык панели администратораУпрощённый китайский

В аккаунте Google Ads отслеживаются успешные утверждения кошельков в качестве событий конвертации. Это означает, что рекламная платформа Google буквально оптимизирует показ рекламы, чтобы найти больше жертв для программы, крадущей криптовалюту, — и при этом получает вознаграждение за эту услугу.

Панель администратора полностью выполнена на Упрощённый китайский, с такими элементами пользовательского интерфейса, как 日間 / 夜間 (переключение между дневным и ночным режимами) и комментарии в исходном коде на китайском языке. Ник в [REDACTED] [REDACTED] является основным каналом связи с оператором.

Они запускают рекламные кампании в Google Ads, в которых успешные операции по списанию средств с кошелька отслеживаются как события конверсии.

Google получает деньги за оптимизацию показа рекламы в рамках фишинговой операции. Рекламодатели не скрывают своих намерений — они платят за таргетированный трафик и оценивают «успех» по количеству опустошенных кошельков.

Рекомендации по ликвидации

Эта операция затрагивает нескольких поставщиков услуг. Требуется скоординированная отчетность по всем направлениям:

IANA #1910

Сообщите о злоупотреблениях со стороны пользователей, злоупотреблениях со стороны сайтов и записях DNS для всех более чем 55 доменов. Массовая отправка сообщений о злоупотреблениях с полным списком доменов.

Регистраторы доменов

Более 55 доменов, зарегистрированных у различных регистраторов. По каждому из них необходимо подать отдельное заявление о злоупотреблении с указанием фактов фишинга и финансового мошенничества.

HIVELOCITY

Сервер Origin с адресом 107.155.88.198, на котором размещен бэкэнд API. Сообщение о размещении фишинговой инфраструктуры.

WalletConnect

Идентификатор проекта «Черный список» 31eee2e7b3ff1dc4ebdfa6f839467664 чтобы фишинговые сайты не вызывали запросы на подпись в кошельке.

Tronscan

Контракты на установку дренажных систем «Flag» TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 и TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.

Google Ads

Сообщить об аккаунте AW-17287232508 для рекламы фишинга и финансового мошенничества. Отслеживание конверсий подтверждает злонамеренные намерения.

Доказательства и исходные данные

Полный разбор инфраструктуры

Полный технический анализ: домены, API, контракты и атрибуция.

Список доменов и подробная информация

Более 55 доменов с данными о хостинге, информацией о регистрации и текущим статусом.

Дамп необработанных данных о жертвах API

Неотредактированные ответы API от неавторизованного бэкенда. 30 записей.

Tronscan: Контракт SwapTRX

Действующий контракт «Drainer» на TRON. Просмотр транзакций и утверждений в цепочке блоков.

Проверить. Отменить. Сообщить.

Сеть фишинговых доменов [REDACTED] — подробная карта кластеров
Сеть фишинговых доменов [REDACTED] — подробная карта кластеров
Обзор доменной сети [REDACTED] — взаимосвязанная фишинговая инфраструктура
Обзор доменной сети [REDACTED] — взаимосвязанная фишинговая инфраструктура
Денежные потоки [REDACTED] — как похищенные TRX проходят через цепочку отмывания
Денежные потоки [REDACTED] — как похищенные TRX проходят через цепочку отмывания

Если вы взаимодействовали с каким-либо доменом [REDACTED], немедленно проверьте свои разрешения на использование токенов TRON. Отмените все подозрительные разрешения и сообщите об этих доменах.

Отменить разрешения на использование токенов Сообщить о домене Инструменты DestroyList
#CryptoDrainer#[REDACTED]#OSINT#PhishingInfrastructure#TronScam

Связанные расследования

ТЩАТЕЛЬНОЕ РАССЛЕДОВАНИЕ
Набор инструментов «Crypto Drainer»: раскрыты имена реселлеров «Angel Drainer»
Панель по фишингу [REDACTED]: похищено 239K долларов, 6 операторов
ТЩАТЕЛЬНОЕ РАССЛЕДОВАНИЕ
Панель по фишингу [REDACTED]: похищено 239K долларов, 6 операторов
РАССЛЕДОВАНИЕ
Разоблачение мошенников: подробный анализ 4 бэкендов мошеннических схем

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings