الانتقال إلى المحتوى الرئيسي
العودة إلى الأخبار
هدم البنية التحتية لشركة «دراينر»

كشف النقاب عن BUYTRX: 55 نطاقًا، وغياب واجهات برمجة التطبيقات (API) المصادق عليها، وتحليل أداة استنزاف الموافقات على شبكة TRON

عملية تصيد احتيالي تحت مسمى «TRON USDT approval» · الكشف عن البنية الخلفية · أدلة على السلسلة · التمويل عبر إعلانات Google

الكشف عن برنامج «BuyTRX Drainer»
0+
نطاقات التصيد الاحتيالي
0
سجلات الضحايا التي تم الكشف عنها
0
مصادقة واجهة برمجة التطبيقات (API)
$0
تكلفة الوصول إلى جميع البيانات

ما هو BUYTRX؟

BUYTRX هي عملية استنزاف أموال USDT تعتمد على شبكة TRON، وتتخفى في شكل خدمة تبادل عملات مشفرة شرعية. وتتميز المواقع بواجهات ذات مظهر احترافي، وتعد بتحويل USDT إلى TRX بأسعار مغرية. لكن عملية «التبادل» هذه لا تتم أبدًا.

بدلاً من ذلك، يُطلب من الضحية التوقيع على approve(MAX_UINT256) معاملة على العقد الذكي لـ USDT (TRC-20). هذا التوقيع الفردي يمنح عقد «drainer» التابع للمهاجم إذن غير محدود لتحويل رصيد الضحية بالكامل من USDT — الآن وإلى الأبد — إلى أن يتم إلغاء الموافقة يدويًّا.

بمجرد تأكيد الموافقة على السلسلة، يقوم المشغل بالاتصال بـ transferFrom() لسرقة المحفظة. لا ترى الضحية شيئًا. لا تبادل. لا TRX. مجرد رصيد فارغ.

توقيع واحد. وصول غير محدود. قدرة تصريف دائمة.

لا تؤدي عملية استدعاء الدالة approve() إلى تحويل الرموز الرقمية — بل تمنح الإذن فقط. أما السرقة الفعلية فتحدث بصمت عبر الدالة transferFrom() بعد ثوانٍ أو ساعات. ولا يربط معظم الضحايا أبدًا بين هاتين المعاملتين.

هذه العملية نشطة منذ ما لا يقل عن يوليو 2025، حيث تتنقل بين عشرات النطاقات كلما تم الإبلاغ عن النطاقات القديمة وإزالتها. وتتكيف البنية التحتية بسرعة تفوق قدرة معظم جهات التسجيل ومزودي خدمات الاستضافة على الاستجابة.

أكثر من 55 نطاقًا — عملية واحدة

كشفت تحقيقاتنا عن شبكة واسعة النطاق من نطاقات التصيد الاحتيالي، تقدم جميعها واجهات تداول «BUYTRX» متطابقة أو شبه متطابقة. وتمتد هذه النطاقات لتشمل خدمات «Cloudflare Workers» و«Cloudflare Pages» وخوادم المنشأ المادية.

النطاقات النشطة حاليًا

المجالالنوعالاستضافة
trxev.comالابتدائيCloudflare
trxmo.comالمرحلة الابتدائية + APICloudflare
buytrx.movنشطCloudflare
buytrx.cxنشطCloudflare
trxdc.orgنشطCloudflare
buytrx.betنشطCloudflare
buytrx.storeنشطCloudflare
buytrx.clickنشطCloudflare
trxfx.comنشطCloudflare
trxsw.orgنشطCloudflare

Cloudflare Workers و Pages

النطاق الفرعيالمنصة
shrill-haze-5ff7.buytrx.workers.devالعمال
exchange.swap-trx.workers.devالعمال
buytrx.pages.devالصفحات
swap-trx.pages.devالصفحات

خوادم Origin

عنوان IPالمزودالغرض
107.155.88.198HIVELOCITY (AS29802)المصدر الأساسي
46.21.151.194HVC-ASالأصل الثانوي

إضافة إلى ذلك أكثر من 50 نطاقًا معاد تدويره تم تحديدها، ومن بينها:

buytrx.net buytrx.org buytrx.io buytrx.co buytrx.exchange buytrx.app buytrx.pro buytrx.cc buytrx.xyz buytrx.site buytrx.online buytrx.live buytrx.fun buytrx.top buytrx.vip trxswap.org trxswap.net trxswap.io trxswap.com trxflip.com trxev.org trxmo.org trxnw.com trxfn.com trxwb.com swaptrx.org swaptrx.net swaptrx.io وغيرها الكثير.

تم حذف واستبدال أكثر من 50 نطاقًا. تتكيف البنية التحتية بسرعة أكبر من سرعة استجابة معظم جهات التسجيل.

واجهات برمجة التطبيقات (API) التي لا تتطلب مصادقة — الخلفية مفتوحة على مصراعيها

تعمل عملية BUYTRX على 6 نقاط نهاية لAPI Express.js التي تشترك في قاعدة بيانات واحدة. وتُستضاف واجهة برمجة التطبيقات (API) الرئيسية على api.trxmo.com. كل نقطة نهاية على حدة تعرض بيانات الضحية كاملةً دون أي مصادقة.

نقاط النهاية غير المصادق عليها

نقطة النهايةالمرتجعات
GET /api/recordsجميع سجلات الضحايا
GET /api/records/:idتفاصيل الضحية الفردية
GET /api/statsإحصاءات العمليات
POST /api/recordsإنشاء سجل جديد
PUT /api/records/:idتحديث السجل
DELETE /api/records/:idحذف السجل

لوحة تحكم المسؤول غير المصادق عليها

يمكن الوصول إلى لوحة الإدارة على الرابط التالي: /8fb198a6e9b7af32 — مسار تجزئة يعتمد على مبدأ «الأمان عن طريق الغموض» مع المصادقة الصفرية. ويوفر هذا النظام موجزًا في الوقت الفعلي عن الضحايا يعرض ما يلي:

  • عناوين محافظ كل ضحية
  • معرّفات المعاملات (تجزئات الموافقة)
  • عناوين IP للضحايا
  • الطوابع الزمنية لكل تفاعل
  • مبالغ الموافقة (عادةً ما تكون MAX_UINT256)
استجابة API غير مصدقة — api.trxmo.com
{
  "records": [
    {
      "id": 1,
      "wallet": "TKjdnS...redacted",
      "txHash": "a8f3e2...redacted",
      "ip": "185.xxx.xxx.xxx",
      "amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
      "status": "approved",
      "createdAt": "2026-02-14T09:23:41.000Z"
    }
  ]
}

تم اكتشاف ثغرات أمنية إضافية:

  • العامل المحدد الضعيف: 6 طلبات لكل نافذة، يمكن تجاوزها بسهولة باستخدام تدوير عناوين IP
  • تسرب رأس الصفحة في Express.js: X-Powered-By: Express تكشف عن تقنية الخوادم
  • ثغرة XSS مخزنة محتملة: تعرض لوحة الإدارة سلاسل «user-agent» غير معقمة
قام المشغلون بإنشاء نظام تصريف، لكنهم نسوا تأمين نظامهم الخلفي.

يمكن الحصول على عنوان محفظة كل ضحية، وعنوان IP الخاص به، وهاش المعاملة، ومبلغ الموافقة بمجرد إرسال طلب GET واحد غير مصدق. لا توجد مفاتيح API. لا توجد توكنات. لا يوجد أمان.

الأدلة الموجودة على السلسلة

يتم نشر عقود «الدرينر» على شبكة «ترون»، وقد استُخدمت بشكل نشط لمعالجة معاملات الموافقة المقدمة من الضحايا.

العقدالتسميةتم نشرهاالمعاملات
TRnruCYe2k...UPJ8 SwapTRX (حاليًا) 13 ديسمبر 2025 نشط
TXwXfz8Bp9...uHnS العقد القديم في وقت سابق 323 حالة مسجلة

4 معاملات موافقة مؤكدة على السلسلة تم مطابقتها مع سجلات الضحايا في قاعدة البيانات التي تم الكشف عنها (السجلات 1–10). ويبدو أن السجلات من 11 إلى 30 هي بيانات اختبار المشغل — اختبار المحافظ باستخدام مبالغ صغيرة، وأنماط توقيت متتالية، ونطاقات عناوين IP متطابقة.

تكامل WalletConnect

تستخدم مواقع التصيد الاحتيالي خدمة WalletConnect لإظهار نافذة طلب التوقيع للموافقة في المحافظ الرقمية على الهواتف المحمولة. وتستخدم هذه العملية معرّف مشروع WalletConnect:

31eee2e7b3ff1dc4ebdfa6f839467664

يجب الإبلاغ عن معرّف المشروع هذا إلى WalletConnect من أجل إدراجه فوراً في القائمة السوداء.

تتبع مسار الأموال — إعلانات Google ونظام إسناد الفضل

ولعل النتيجة الأكثر إثارة للقلق هي: يدفع مشغلو BUYTRX أموالاً لشركة جوجل للإعلان عن برنامج الاستنزاف الخاص بهم.

المؤشر القيمة
حساب Google Ads AW-17287232508
تتبع التحويلات يتتبع عمليات الموافقة الناجحة باعتبارها تحويلات
جهة الاتصال على Telegram @buytrx9 ("بايترون")
لغة لوحة الإدارةالصينية المبسطة

تتبع حساب Google Ads عمليات الموافقة الناجحة على المحافظ كأحداث تحويل. وهذا يعني أن منصة الإعلانات التابعة لـ«جوجل» تعمل فعليًّا على تحسين عملية عرض الإعلانات بهدف العثور على المزيد من الضحايا لبرنامج استنزاف العملات المشفرة — وتقوم بتحصيل رسوم مقابل هذه الخدمة.

لوحة تحكم المسؤول مكتوبة بالكامل بلغة الصينية المبسطة، مع عناصر واجهة المستخدم مثل 日間 / 夜間 (أزرار التبديل بين الوضع النهاري والليلي) وتعليقات شفرة المصدر باللغة الصينية. اسم المستخدم على Telegram @buytrx9 تُعدّ قناة الاتصال الرئيسية مع المشغل.

إنهم يديرون حملات إعلانية عبر Google Ads تتعقب عمليات سحب الأموال الناجحة من المحفظة باعتبارها أحداث تحويل.

تتلقى «جوجل» أموالاً مقابل تحسين عرض الإعلانات لصالح عملية تصيد احتيالي. والمعلنون لا يخفون أمرهم — فهم يدفعون مقابل الحصول على زيارات مستهدفة، ويقيسون «النجاح» بعدد المحافظ التي يتم استنزافها.

توصيات بشأن عمليات إزالة المحتوى

تتعلق هذه العملية بعدد من مقدمي الخدمات. ومن الضروري التنسيق في تقديم التقارير عبر جميع القنوات:

Cloudflare

الإبلاغ عن حالات إساءة استخدام العمال، وحالات إساءة استخدام الصفحات، وسجلات DNS لجميع النطاقات التي يزيد عددها عن 55 نطاقًا. تقرير جماعي عن حالات إساءة الاستخدام مع قائمة كاملة بالنطاقات.

شركات تسجيل النطاقات

أكثر من 55 نطاقًا موزعة على عدة جهات تسجيل. ويتطلب كل منها تقديم بلاغات منفصلة عن إساءة الاستخدام تشير إلى عمليات التصيد الاحتيالي والاحتيال المالي.

HIVELOCITY

خادم Origin على العنوان 107.155.88.198 الذي يستضيف واجهة برمجة التطبيقات (API) الخلفية. تقرير بشأن استضافة بنية تحتية لعمليات التصيد الاحتيالي.

WalletConnect

رقم تعريف مشروع القائمة السوداء 31eee2e7b3ff1dc4ebdfa6f839467664 لمنع مواقع التصيد الاحتيالي من إظهار مطالبات التوقيع الخاصة بالمحفظة.

ترونسكان

عقود تصريف الأعلام TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 و TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.

إعلانات Google

الإبلاغ عن الحساب AW-17287232508 للترويج لعمليات التصيد الاحتيالي والاحتيال المالي. ويُثبت تتبع التحويل وجود نية خبيثة.

الأدلة والبيانات المصدرية

إزالة البنية التحتية بالكامل

تحليل تقني شامل: النطاقات، وواجهات برمجة التطبيقات (API)، والعقود، وتحديد المصدر.

قائمة النطاقات وتفاصيلها

أكثر من 55 نطاقًا مع تفاصيل الاستضافة ومعلومات التسجيل والحالة الحالية.

مجموعة بيانات ضحايا واجهة برمجة التطبيقات (API) في صيغتها الأولية

ردود واجهة برمجة التطبيقات (API) غير المحجوبة من الخادم الخلفي غير المصادق عليه. 30 سجلًا.

Tronscan: عقد SwapTRX

عقد «Active Drainer» على شبكة TRON. اطلع على المعاملات والموافقات على السلسلة.

التحقق. الإلغاء. الإبلاغ.

شبكة نطاقات التصيد الاحتيالي «BuyTRX» — خريطة مفصلة للمجموعات
شبكة نطاقات التصيد الاحتيالي «BuyTRX» — خريطة مفصلة للمجموعات
نظرة عامة على شبكة نطاقات BuyTRX — بنية تحتية مترابطة لعمليات التصيد الاحتيالي
نظرة عامة على شبكة نطاقات BuyTRX — بنية تحتية مترابطة لعمليات التصيد الاحتيالي
تدفق أموال BuyTRX — كيف تنتقل عملات TRX المسروقة عبر سلسلة غسل الأموال
تدفق أموال BuyTRX — كيف تنتقل عملات TRX المسروقة عبر سلسلة غسل الأموال

إذا كنت قد تفاعلت مع أي نطاق تابع لـ BUYTRX، فافحص على الفور أذونات توكنات TRON الخاصة بك. قم بإلغاء أي أذونات مشبوهة وأبلغ عن هذه النطاقات.

إلغاء الموافقات على الرموز المميزة الإبلاغ عن نطاق أدوات DestroyList
#CryptoDrainer#BuyTRX#OSINT#PhishingInfrastructure#TronScam

التحقيقات ذات الصلة

مجموعة أدوات «Crypto Drainer»: الكشف عن موزعي «Angel Drainer»
تحقيق معمق
مجموعة أدوات «Crypto Drainer»: الكشف عن موزعي «Angel Drainer»
لوحة التصيد الاحتيالي الخاصة بـ «Trust Wallet»: سرقة 239 ألف دولار، و6 مشغلين
تحقيق معمق
لوحة التصيد الاحتيالي الخاصة بـ «Trust Wallet»: سرقة 239 ألف دولار، و6 مشغلين
الكشف عن المحتالين: تحليل 4 أنظمة خلفية لعمليات الاحتيال
التحقيق
الكشف عن المحتالين: تحليل 4 أنظمة خلفية لعمليات الاحتيال
إشعار بشأن الشفافية. PhishDestroy هو مشروع مستقل وغير تجاري. قد تعكس أبحاثنا تحيزًا متأصلًا ضد البنية التحتية للاحتيال والخدمات التي تتيحها. ونشجع القراء على تقييم جميع المواد تقييمًا نقديًا ومستقلًا. اقرأ بيان الشفافية الكامل الخاص بنا →