كشف النقاب عن BUYTRX: 55 نطاقًا، وغياب واجهات برمجة التطبيقات (API) المصادق عليها، وتحليل أداة استنزاف الموافقات على شبكة TRON
عملية تصيد احتيالي تحت مسمى «TRON USDT approval» · الكشف عن البنية الخلفية · أدلة على السلسلة · التمويل عبر إعلانات Google

ما هو BUYTRX؟
BUYTRX هي عملية استنزاف أموال USDT تعتمد على شبكة TRON، وتتخفى في شكل خدمة تبادل عملات مشفرة شرعية. وتتميز المواقع بواجهات ذات مظهر احترافي، وتعد بتحويل USDT إلى TRX بأسعار مغرية. لكن عملية «التبادل» هذه لا تتم أبدًا.
بدلاً من ذلك، يُطلب من الضحية التوقيع على approve(MAX_UINT256) معاملة على العقد الذكي لـ USDT (TRC-20). هذا التوقيع الفردي يمنح عقد «drainer» التابع للمهاجم إذن غير محدود لتحويل رصيد الضحية بالكامل من USDT — الآن وإلى الأبد — إلى أن يتم إلغاء الموافقة يدويًّا.
بمجرد تأكيد الموافقة على السلسلة، يقوم المشغل بالاتصال بـ transferFrom() لسرقة المحفظة. لا ترى الضحية شيئًا. لا تبادل. لا TRX. مجرد رصيد فارغ.
لا تؤدي عملية استدعاء الدالة approve() إلى تحويل الرموز الرقمية — بل تمنح الإذن فقط. أما السرقة الفعلية فتحدث بصمت عبر الدالة transferFrom() بعد ثوانٍ أو ساعات. ولا يربط معظم الضحايا أبدًا بين هاتين المعاملتين.
هذه العملية نشطة منذ ما لا يقل عن يوليو 2025، حيث تتنقل بين عشرات النطاقات كلما تم الإبلاغ عن النطاقات القديمة وإزالتها. وتتكيف البنية التحتية بسرعة تفوق قدرة معظم جهات التسجيل ومزودي خدمات الاستضافة على الاستجابة.
أكثر من 55 نطاقًا — عملية واحدة
كشفت تحقيقاتنا عن شبكة واسعة النطاق من نطاقات التصيد الاحتيالي، تقدم جميعها واجهات تداول «BUYTRX» متطابقة أو شبه متطابقة. وتمتد هذه النطاقات لتشمل خدمات «Cloudflare Workers» و«Cloudflare Pages» وخوادم المنشأ المادية.
النطاقات النشطة حاليًا
| المجال | النوع | الاستضافة |
|---|---|---|
trxev.com | الابتدائي | Cloudflare |
trxmo.com | المرحلة الابتدائية + API | Cloudflare |
buytrx.mov | نشط | Cloudflare |
buytrx.cx | نشط | Cloudflare |
trxdc.org | نشط | Cloudflare |
buytrx.bet | نشط | Cloudflare |
buytrx.store | نشط | Cloudflare |
buytrx.click | نشط | Cloudflare |
trxfx.com | نشط | Cloudflare |
trxsw.org | نشط | Cloudflare |
Cloudflare Workers و Pages
| النطاق الفرعي | المنصة |
|---|---|
shrill-haze-5ff7.buytrx.workers.dev | العمال |
exchange.swap-trx.workers.dev | العمال |
buytrx.pages.dev | الصفحات |
swap-trx.pages.dev | الصفحات |
خوادم Origin
| عنوان IP | المزود | الغرض |
|---|---|---|
107.155.88.198 | HIVELOCITY (AS29802) | المصدر الأساسي |
46.21.151.194 | HVC-AS | الأصل الثانوي |
إضافة إلى ذلك أكثر من 50 نطاقًا معاد تدويره تم تحديدها، ومن بينها:
buytrx.net buytrx.org buytrx.io buytrx.co buytrx.exchange buytrx.app buytrx.pro buytrx.cc buytrx.xyz buytrx.site buytrx.online buytrx.live buytrx.fun buytrx.top buytrx.vip trxswap.org trxswap.net trxswap.io trxswap.com trxflip.com trxev.org trxmo.org trxnw.com trxfn.com trxwb.com swaptrx.org swaptrx.net swaptrx.io وغيرها الكثير.
تم حذف واستبدال أكثر من 50 نطاقًا. تتكيف البنية التحتية بسرعة أكبر من سرعة استجابة معظم جهات التسجيل.
واجهات برمجة التطبيقات (API) التي لا تتطلب مصادقة — الخلفية مفتوحة على مصراعيها
تعمل عملية BUYTRX على 6 نقاط نهاية لAPI Express.js التي تشترك في قاعدة بيانات واحدة. وتُستضاف واجهة برمجة التطبيقات (API) الرئيسية على api.trxmo.com. كل نقطة نهاية على حدة تعرض بيانات الضحية كاملةً دون أي مصادقة.
نقاط النهاية غير المصادق عليها
| نقطة النهاية | المرتجعات |
|---|---|
GET /api/records | جميع سجلات الضحايا |
GET /api/records/:id | تفاصيل الضحية الفردية |
GET /api/stats | إحصاءات العمليات |
POST /api/records | إنشاء سجل جديد |
PUT /api/records/:id | تحديث السجل |
DELETE /api/records/:id | حذف السجل |
لوحة تحكم المسؤول غير المصادق عليها
يمكن الوصول إلى لوحة الإدارة على الرابط التالي: /8fb198a6e9b7af32 — مسار تجزئة يعتمد على مبدأ «الأمان عن طريق الغموض» مع المصادقة الصفرية. ويوفر هذا النظام موجزًا في الوقت الفعلي عن الضحايا يعرض ما يلي:
- عناوين محافظ كل ضحية
- معرّفات المعاملات (تجزئات الموافقة)
- عناوين IP للضحايا
- الطوابع الزمنية لكل تفاعل
- مبالغ الموافقة (عادةً ما تكون MAX_UINT256)
{
"records": [
{
"id": 1,
"wallet": "TKjdnS...redacted",
"txHash": "a8f3e2...redacted",
"ip": "185.xxx.xxx.xxx",
"amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
"status": "approved",
"createdAt": "2026-02-14T09:23:41.000Z"
}
]
} تم اكتشاف ثغرات أمنية إضافية:
- العامل المحدد الضعيف: 6 طلبات لكل نافذة، يمكن تجاوزها بسهولة باستخدام تدوير عناوين IP
- تسرب رأس الصفحة في Express.js:
X-Powered-By: Expressتكشف عن تقنية الخوادم - ثغرة XSS مخزنة محتملة: تعرض لوحة الإدارة سلاسل «user-agent» غير معقمة
يمكن الحصول على عنوان محفظة كل ضحية، وعنوان IP الخاص به، وهاش المعاملة، ومبلغ الموافقة بمجرد إرسال طلب GET واحد غير مصدق. لا توجد مفاتيح API. لا توجد توكنات. لا يوجد أمان.
الأدلة الموجودة على السلسلة
يتم نشر عقود «الدرينر» على شبكة «ترون»، وقد استُخدمت بشكل نشط لمعالجة معاملات الموافقة المقدمة من الضحايا.
| العقد | التسمية | تم نشرها | المعاملات |
|---|---|---|---|
TRnruCYe2k...UPJ8
|
SwapTRX (حاليًا) | 13 ديسمبر 2025 | نشط |
TXwXfz8Bp9...uHnS
|
العقد القديم | في وقت سابق | 323 حالة مسجلة |
4 معاملات موافقة مؤكدة على السلسلة تم مطابقتها مع سجلات الضحايا في قاعدة البيانات التي تم الكشف عنها (السجلات 1–10). ويبدو أن السجلات من 11 إلى 30 هي بيانات اختبار المشغل — اختبار المحافظ باستخدام مبالغ صغيرة، وأنماط توقيت متتالية، ونطاقات عناوين IP متطابقة.
تكامل WalletConnect
تستخدم مواقع التصيد الاحتيالي خدمة WalletConnect لإظهار نافذة طلب التوقيع للموافقة في المحافظ الرقمية على الهواتف المحمولة. وتستخدم هذه العملية معرّف مشروع WalletConnect:
31eee2e7b3ff1dc4ebdfa6f839467664
يجب الإبلاغ عن معرّف المشروع هذا إلى WalletConnect من أجل إدراجه فوراً في القائمة السوداء.
تتبع مسار الأموال — إعلانات Google ونظام إسناد الفضل
ولعل النتيجة الأكثر إثارة للقلق هي: يدفع مشغلو BUYTRX أموالاً لشركة جوجل للإعلان عن برنامج الاستنزاف الخاص بهم.
| المؤشر | القيمة |
|---|---|
| حساب Google Ads |
AW-17287232508
|
| تتبع التحويلات | يتتبع عمليات الموافقة الناجحة باعتبارها تحويلات |
| جهة الاتصال على Telegram | @buytrx9 ("بايترون") |
| لغة لوحة الإدارة | الصينية المبسطة |
تتبع حساب Google Ads عمليات الموافقة الناجحة على المحافظ كأحداث تحويل. وهذا يعني أن منصة الإعلانات التابعة لـ«جوجل» تعمل فعليًّا على تحسين عملية عرض الإعلانات بهدف العثور على المزيد من الضحايا لبرنامج استنزاف العملات المشفرة — وتقوم بتحصيل رسوم مقابل هذه الخدمة.
لوحة تحكم المسؤول مكتوبة بالكامل بلغة الصينية المبسطة، مع عناصر واجهة المستخدم مثل 日間 / 夜間 (أزرار التبديل بين الوضع النهاري والليلي) وتعليقات شفرة المصدر باللغة الصينية. اسم المستخدم على Telegram @buytrx9 تُعدّ قناة الاتصال الرئيسية مع المشغل.
تتلقى «جوجل» أموالاً مقابل تحسين عرض الإعلانات لصالح عملية تصيد احتيالي. والمعلنون لا يخفون أمرهم — فهم يدفعون مقابل الحصول على زيارات مستهدفة، ويقيسون «النجاح» بعدد المحافظ التي يتم استنزافها.
توصيات بشأن عمليات إزالة المحتوى
تتعلق هذه العملية بعدد من مقدمي الخدمات. ومن الضروري التنسيق في تقديم التقارير عبر جميع القنوات:
Cloudflare
الإبلاغ عن حالات إساءة استخدام العمال، وحالات إساءة استخدام الصفحات، وسجلات DNS لجميع النطاقات التي يزيد عددها عن 55 نطاقًا. تقرير جماعي عن حالات إساءة الاستخدام مع قائمة كاملة بالنطاقات.
شركات تسجيل النطاقات
أكثر من 55 نطاقًا موزعة على عدة جهات تسجيل. ويتطلب كل منها تقديم بلاغات منفصلة عن إساءة الاستخدام تشير إلى عمليات التصيد الاحتيالي والاحتيال المالي.
HIVELOCITY
خادم Origin على العنوان 107.155.88.198 الذي يستضيف واجهة برمجة التطبيقات (API) الخلفية. تقرير بشأن استضافة بنية تحتية لعمليات التصيد الاحتيالي.
WalletConnect
رقم تعريف مشروع القائمة السوداء 31eee2e7b3ff1dc4ebdfa6f839467664 لمنع مواقع التصيد الاحتيالي من إظهار مطالبات التوقيع الخاصة بالمحفظة.
ترونسكان
عقود تصريف الأعلام TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 و TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.
إعلانات Google
الإبلاغ عن الحساب AW-17287232508 للترويج لعمليات التصيد الاحتيالي والاحتيال المالي. ويُثبت تتبع التحويل وجود نية خبيثة.
الأدلة والبيانات المصدرية
تحليل تقني شامل: النطاقات، وواجهات برمجة التطبيقات (API)، والعقود، وتحديد المصدر.
أكثر من 55 نطاقًا مع تفاصيل الاستضافة ومعلومات التسجيل والحالة الحالية.
ردود واجهة برمجة التطبيقات (API) غير المحجوبة من الخادم الخلفي غير المصادق عليه. 30 سجلًا.
عقد «Active Drainer» على شبكة TRON. اطلع على المعاملات والموافقات على السلسلة.
التحقق. الإلغاء. الإبلاغ.
إذا كنت قد تفاعلت مع أي نطاق تابع لـ BUYTRX، فافحص على الفور أذونات توكنات TRON الخاصة بك. قم بإلغاء أي أذونات مشبوهة وأبلغ عن هذه النطاقات.





