Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / UK / BUYTRX DRAINER EXPOSED

«[REDACTED] Drainer» розкрито: анатомія афери

The Enablers Registry·Editorial mirror·/uk/buytrx-drainer-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Фішинг-операція з використанням «TRON USDT approval» · Виявлений бекенд · Докази в блокчейні · Фінансування через Google Ads

«[REDACTED] Drainer» — розкриття таємниці
0+
Фішингові домени
0
Відкриті записи про жертв
0
Аутентифікація через API
$0
Вартість доступу до всіх даних

Що таке [REDACTED]?

[REDACTED] — це операція з виведення коштів під виглядом легального сервісу обміну криптовалют, що базується на мережі TRON і використовує USDT. Сайти мають професійно оформлений інтерфейс і обіцяють конвертувати USDT у TRX за привабливими курсами. Однак «обмін» так і не відбувається.

Натомість потерпілому пропонують підписати approve(MAX_UINT256) транзакція на смарт-контракті USDT (TRC-20). Цей єдиний підпис надає контракту зливу зловмисника необмежений дозвіл переказати весь баланс USDT жертви — відтепер і назавжди — доти, доки це схвалення не буде скасовано вручну.

Як тільки затвердження підтвердиться в ланцюжку блоків, оператор здійснює дзвінок transferFrom() щоб викрасти кошти з гаманця. Жертва нічого не помічає. Ніякого обміну. Ніякого TRX. Лише порожній баланс.

Один підпис. Необмежений доступ. Можливість постійного зливу.

Виклик функції approve() не передбачає передачу токенів — він лише надає дозвіл. Фактичне викрадення відбувається непомітно за допомогою функції transferFrom() через кілька секунд або годин. Більшість жертв ніколи не пов’язують ці дві транзакції між собою.

Операція триває щонайменше з Липень 2025 року, переходячи з одного домену на інший, оскільки старі домени виявляються та видаляються. Ця інфраструктура адаптується швидше, ніж встигають зреагувати більшість реєстраторів та хостинг-провайдерів.

Понад 55 доменів — одна операція

Наше розслідування виявило розгалужену мережу фішингових доменів, які всі обслуговують ідентичні або майже ідентичні інтерфейси обміну [REDACTED]. Ці домени розміщені на IANA #1910 Workers, IANA #1910 Pages та на фізичних серверах-джерелах.

Домени, що наразі активні

ДоменТипХостинг
[REDACTED]ПочатковаIANA #1910
[REDACTED]Початкова освіта + APIIANA #1910
[REDACTED].movАктивнийIANA #1910
[REDACTED].cxАктивнийIANA #1910
[REDACTED]АктивнийIANA #1910
[REDACTED].betАктивнийIANA #1910
[REDACTED].storeАктивнийIANA #1910
[REDACTED].clickАктивнийIANA #1910
[REDACTED]АктивнийIANA #1910
[REDACTED]АктивнийIANA #1910

IANA #1910 Workers та Pages

ПіддоменПлатформа
shrill-haze-5ff7.[REDACTED].workers.devПрацівники
[REDACTED]Працівники
[REDACTED].pages.devСторінки
[REDACTED]Сторінки

Сервери Origin

IP-адресаПостачальникМета
107.155.88.198HIVELOCITY (AS29802)Первинне походження
46.21.151.194HVC-ASВторинне походження

Ще одне Понад 50 доменів із вторинного ринку були виявлені, зокрема:

[REDACTED].net [REDACTED].org [REDACTED].io [REDACTED].co [REDACTED].exchange [REDACTED].app [REDACTED].pro [REDACTED].cc [REDACTED].xyz [REDACTED].site [REDACTED].online [REDACTED].live [REDACTED].fun [REDACTED].top [REDACTED].vip [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] та багато іншого.

Понад 50 доменів було видалено та замінено. Інфраструктура адаптується швидше, ніж встигають реагувати більшість реєстраторів.

API без авторизації — повністю відкритий бекенд

Операція [REDACTED] виконується на 6 кінцевих точок API Express.js використовуючи єдину базу даних. Основний API розміщений за адресою [REDACTED]. Кожен кінцевий пункт повертає повні дані про жертву без будь-якої аутентифікації.

Неавтентифіковані кінцеві точки

Кінцева точкаПовернення
GET /api/recordsУсі записи про потерпілих
GET /api/records/:idДетальна інформація про окрему жертву
GET /api/statsСтатистика роботи
POST /api/recordsСтворити новий запис
PUT /api/records/:idОновити запис
DELETE /api/records/:idВидалити запис

Панель адміністратора без авторизації

Доступ до панелі адміністратора можна отримати за адресою /8fb198a6e9b7af32 — шлях хешування за принципом «безпека через прихованість» із відсутність автентифікації. Він надає стрічку новин про потерпілих у режимі реального часу, де відображається:

  • Адреси гаманців кожної жертви
  • Ідентифікатори транзакцій (хеші підтвердження)
  • IP-адреси жертв
  • Часові мітки кожної взаємодії
  • Суми затвердження (зазвичай MAX_UINT256)
НЕАВТЕНТИФІКОВАНА ВІДПОВІДЬ API — [REDACTED]
{
  "records": [
    {
      "id": 1,
      "wallet": "TKjdnS...redacted",
      "txHash": "a8f3e2...redacted",
      "ip": "185.xxx.xxx.xxx",
      "amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
      "status": "approved",
      "createdAt": "2026-02-14T09:23:41.000Z"
    }
  ]
}

Виявлено додаткові вразливості:

  • Слабке обмеження швидкості: 6 запитів на одне вікно, що легко обходиться за допомогою ротації IP-адрес
  • Витік даних із заголовка Express.js: X-Powered-By: Express розкриває технологію серверів
  • Потенційний XSS, що зберігається: Адміністративна панель відображає неперевірені рядки «user-agent»
Оператори створили систему для збору даних, але забули забезпечити безпеку власного серверного середовища.

Адреса гаманця, IP-адреса, хеш транзакції та сума затвердження кожної жертви доступні за допомогою одного неавтентифікованого запиту GET. Жодних API-ключів. Жодних токенів. Жодної безпеки.

Докази з блокчейну

Контракти-драйнери розгорнуті в мережі TRON і активно використовуються для обробки транзакцій затвердження від жертв.

ДоговірЕтикеткаРозгорнутоТранзакції
TRnruCYe2k...UPJ8 SwapTRX (наразі) 13 грудня 2025 року Активний
TXwXfz8Bp9...uHnS Старий контракт Раніше Зареєстровано 323

4 підтверджені транзакції з затвердженням у ланцюжку блоків були зіставлені із записами про жертв у базі даних, що потрапила у відкритий доступ (записи 1–10). Записи 11–30, судячи з усього, є тестові дані оператора — тестові гаманці з невеликими сумами, послідовними часовими інтервалами та однаковими діапазонами IP-адрес.

Інтеграція з WalletConnect

Фішингові сайти використовують WalletConnect для виведення запиту на підтвердження у мобільних гаманцях. Ця операція використовує єдиний Ідентифікатор проєкту WalletConnect:

31eee2e7b3ff1dc4ebdfa6f839467664

Цей ідентифікатор проекту слід повідомити WalletConnect для негайного внесення до чорного списку.

Слідуючи за грошима — Google Ads та атрибуція

Мабуть, найтривожніший висновок: Оператори [REDACTED] платять Google за рекламу свого драйнера.

Показник Значення
Обліковий запис Google Ads AW-17287232508
Відстеження конверсій Відстежує успішні затвердження як конверсії
Контакт у [REDACTED] [REDACTED][REDACTED]»)
Мова панелі адміністратораСпрощена китайська

Акаунт Google Ads відстежує успішні затвердження гаманців як події конвертації. Це означає, що рекламна платформа Google буквально оптимізує показ реклами, щоб знайти більше жертв для програми, що викачує криптовалюту, — і отримує плату за цю послугу.

Панель адміністратора повністю виконана на Спрощена китайська, з такими елементами інтерфейсу, як 日間 / 夜間 (перемикання між денним і нічним режимами) та коментарі до вихідного коду китайською мовою. Нік у [REDACTED] [REDACTED] виступає основним каналом зв’язку з оператором.

Вони проводять рекламні кампанії в Google Ads, в яких успішні виведення коштів з гаманця відстежуються як події конверсії.

Google отримує гроші за оптимізацію показу реклами в рамках фішингової операції. Рекламодавці не приховують своїх намірів — вони платять за цільовий трафік і оцінюють «успіх» за кількістю спустошених гаманців.

Рекомендації щодо ліквідації контенту

Ця операція зачіпає інтереси багатьох постачальників послуг. Необхідна скоординована звітність за всіма напрямками:

IANA #1910

Повідомте про зловживання з боку користувачів, зловживання на сторінках та записи DNS для всіх понад 55 доменів. Масове повідомлення про зловживання з повним переліком доменів.

Реєстратори доменів

Понад 55 доменів у різних реєстраторів. Щодо кожного з них потрібно подати окремий звіт про зловживання, вказавши фішинг та фінансове шахрайство.

HIVELOCITY

Сервер Origin за адресою 107.155.88.198, на якому розміщено серверну частину API. Повідомлення про розміщення фішингової інфраструктури.

WalletConnect

Ідентифікатор проекту «Чорний список» 31eee2e7b3ff1dc4ebdfa6f839467664 щоб запобігти тому, щоб фішингові сайти викликали запити на підписання гаманця.

Tronscan

Контракти на обслуговування дренажних систем «Flag» TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 та TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.

Google Ads

Повідомити про обліковий запис AW-17287232508 за рекламу фішингу та фінансового шахрайства. Відстеження конверсій підтверджує зловмисний намір.

Докази та вихідні дані

Повний розбір інфраструктури

Повний технічний аналіз: домени, API, контракти та атрибуція.

Список доменів та детальна інформація

Понад 55 доменів із даними про хостинг, інформацією про реєстрацію та поточним статусом.

Дамп необроблених даних про жертв API

Невідредаговані відповіді API з неавтентифікованого серверного модуля. 30 записів.

Tronscan: Контракт SwapTRX

Діючий контракт «drainer» на TRON. Перегляньте транзакції та затвердження в ланцюжку.

Перевірити. Скасувати. Повідомити.

Мережа фішингових доменів [REDACTED] — детальна карта кластерів
Мережа фішингових доменів [REDACTED] — детальна карта кластерів
Огляд мережі доменів [REDACTED] — взаємопов’язана фішингова інфраструктура
Огляд мережі доменів [REDACTED] — взаємопов’язана фішингова інфраструктура
Грошові потоки [REDACTED] — як викрадені TRX проходять через ланцюжок відмивання коштів
Грошові потоки [REDACTED] — як викрадені TRX проходять через ланцюжок відмивання коштів

Якщо ви взаємодіяли з будь-яким доменом [REDACTED], негайно перевірте свої дозволи на використання токенів TRON. Скасуйте всі підозрілі дозволи та повідомте про ці домени.

Скасувати затвердження токенів Повідомити про домен Інструменти DestroyList
#CryptoDrainer#[REDACTED]#OSINT#PhishingInfrastructure#TronScam

Пов’язані розслідування

ГЛИБОКЕ РОЗСЛІДУВАННЯ
Набір інструментів «Crypto Drainer»: викрито реселерів «Angel Drainer»
Панель з фішингових атак на [REDACTED]: викрадено 239 тис. доларів, 6 зловмисників
ГЛИБОКЕ РОЗСЛІДУВАННЯ
Панель з фішингових атак на [REDACTED]: викрадено 239 тис. доларів, 6 зловмисників
РОЗСЛІДУВАННЯ
Викриття шахраїв: детальний аналіз 4 шахрайських сервісів

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings