BUYTRX entlarvt: 55 Domains, keine Auth-APIs und ein TRON-Approval-Drainer unter der Lupe
Phishing-Angriff im Zusammenhang mit der TRON-USDT-Genehmigung · Aufgedecktes Backend · On-Chain-Beweise · Finanzierung über Google Ads
Was ist BUYTRX?
BUYTRX ist ein auf TRON basierender Betrug, der unter dem Deckmantel eines seriösen Kryptowährungs-Swap-Dienstes USDT-Guthaben abzieht. Die Websites präsentieren sich mit professionell gestalteten Benutzeroberflächen und versprechen, USDT zu attraktiven Kursen in TRX umzuwandeln. Doch der „Swap“ findet nie statt.
Stattdessen wird das Opfer aufgefordert, eine approve(MAX_UINT256) Transaktion auf dem USDT (TRC-20)-Smart-Contract. Diese einzelne Signatur gewährt dem Drainer-Contract des Angreifers uneingeschränkte Berechtigung das gesamte USDT-Guthaben des Opfers zu überweisen – ab sofort und auf Dauer –, bis die Genehmigung manuell widerrufen wird.
Sobald die Genehmigung in der Blockchain bestätigt ist, ruft der Betreiber transferFrom() um das Wallet zu leeren. Das Opfer bemerkt nichts. Kein Austausch. Kein TRX. Nur ein leerer Kontostand.
Der Aufruf von `approve()` überträgt keine Token – er erteilt lediglich die Berechtigung. Der eigentliche Diebstahl erfolgt unbemerkt über `transferFrom()` einige Sekunden oder Stunden später. Die meisten Opfer bringen diese beiden Transaktionen nie miteinander in Verbindung.
Die Operation ist seit mindestens Juli 2025… und wechselt dabei ständig zwischen Dutzenden von Domains hin und her, sobald alte Domains gemeldet und gesperrt werden. Die Infrastruktur passt sich schneller an, als die meisten Registrare und Hosting-Anbieter reagieren können.
Über 55 Domains – alles aus einer Hand
Unsere Untersuchung deckte ein weitverzweigtes Netzwerk von Phishing-Domains auf, die alle identische oder nahezu identische BUYTRX-Swap-Oberflächen bereitstellen. Die Domains erstrecken sich über Cloudflare Workers, Cloudflare Pages und Bare-Metal-Origin-Server.
Derzeit aktive Domains
| Domain | Typ | Hosting |
|---|---|---|
trxev.com | Grundschule | Cloudflare |
trxmo.com | Grundschule + API | Cloudflare |
buytrx.mov | Aktiv | Cloudflare |
buytrx.cx | Aktiv | Cloudflare |
trxdc.org | Aktiv | Cloudflare |
buytrx.bet | Aktiv | Cloudflare |
buytrx.store | Aktiv | Cloudflare |
buytrx.click | Aktiv | Cloudflare |
trxfx.com | Aktiv | Cloudflare |
trxsw.org | Aktiv | Cloudflare |
Cloudflare Workers & Pages
| Subdomain | Plattform |
|---|---|
shrill-haze-5ff7.buytrx.workers.dev | Arbeitnehmer |
exchange.swap-trx.workers.dev | Arbeitnehmer |
buytrx.pages.dev | Seiten |
swap-trx.pages.dev | Seiten |
Origin-Server
| IP-Adresse | Anbieter | Zweck |
|---|---|---|
107.155.88.198 | HIVELOCITY (AS29802) | Ursprünglicher Ursprung |
46.21.151.194 | HVC-AS | Sekundäre Herkunft |
Ein weiterer Über 50 wiederverwertete Domains wurden ermittelt, darunter:
buytrx.net, buytrx.org, buytrx.io, buytrx.co, buytrx.exchange, buytrx.app, buytrx.pro, buytrx.cc, buytrx.xyz, buytrx.site, buytrx.online, buytrx.live, buytrx.fun, buytrx.top, buytrx.vip, trxswap.org, trxswap.net, trxswap.io, trxswap.com, trxflip.com, trxev.org, trxmo.org, trxnw.com, trxfn.com, trxwb.com, swaptrx.org, swaptrx.net, swaptrx.io, und viele mehr.
Über 50 Domains wurden gelöscht und ersetzt. Die Infrastruktur passt sich schneller an, als die meisten Registrare reagieren können.
Zero-Auth-APIs – Das Backend steht weit offen
Die Operation BUYTRX läuft auf 6 Express.js-API-Endpunkte die eine gemeinsame Datenbank nutzen. Die primäre API wird gehostet unter api.trxmo.com. Jeder einzelne Endpunkt liefert die vollständigen Opferdaten ohne jegliche Authentifizierung.
Nicht authentifizierte Endpunkte
| Endpunkt | Rücksendungen |
|---|---|
GET /api/records | Alle Opferdaten |
GET /api/records/:id | Einzelheiten zum Opfer |
GET /api/stats | Betriebsstatistiken |
POST /api/records | Neuen Datensatz anlegen |
PUT /api/records/:id | Datensatz aktualisieren |
DELETE /api/records/:id | Datensatz löschen |
Admin-Dashboard ohne Authentifizierung
Ein Admin-Bereich ist erreichbar unter /8fb198a6e9b7af32 — ein Hash-Pfad nach dem Prinzip „Sicherheit durch Verschleierung“ mit keine Authentifizierung. Es bietet einen Echtzeit-Feed zu den Opfern, der Folgendes anzeigt:
- Wallet-Adressen aller Opfer
- Transaktions-IDs (Bestätigungs-Hashes)
- IP-Adressen der Opfer
- Zeitstempel jeder Interaktion
- Genehmigungsbeträge (in der Regel MAX_UINT256)
{
"records": [
{
"id": 1,
"wallet": "TKjdnS...redacted",
"txHash": "a8f3e2...redacted",
"ip": "185.xxx.xxx.xxx",
"amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
"status": "approved",
"createdAt": "2026-02-14T09:23:41.000Z"
}
]
}Weitere Sicherheitslücken entdeckt:
- Schwache Geschwindigkeitsbegrenzung: 6 Anfragen pro Fenster, die durch IP-Rotation mühelos umgangen werden können
- Express.js-Header-Leck:
X-Powered-By: Expressenthüllt Servertechnologie - Potentielles gespeichertes XSS: Das Admin-Panel gibt nicht bereinigte User-Agent-Strings aus
Die Wallet-Adresse, die IP-Adresse, der Transaktions-Hash und der genehmigte Betrag jedes Opfers sind nur eine einzige, nicht authentifizierte GET-Anfrage entfernt. Keine API-Schlüssel. Keine Token. Keine Sicherheit.
On-Chain-Beweise
Die Drainer-Verträge wurden im TRON-Netzwerk bereitgestellt und wurden aktiv zur Verarbeitung von Genehmigungstransaktionen der Opfer genutzt.
| Vertrag | Etikett | Eingesetzt | Transaktionen |
|---|---|---|---|
Dreh dich um, dann wirst du sehen... | SwapTRX (aktuell) | 13. Dezember 2025 | Aktiv |
Die Röntgenaufnahme des Gehirns. | Alter Vertrag | Zuvor | 323 erfasst |
4 bestätigte On-Chain-Genehmigungstransaktionen wurden mit den Opfereinträgen in der offengelegten Datenbank abgeglichen (Einträge 1–10). Die Einträge 11–30 scheinen Betreiber-Testdaten — Test-Wallets mit kleinen Beträgen, aufeinanderfolgenden Zeitmustern und identischen IP-Bereichen.
WalletConnect-Integration
Die Phishing-Seiten nutzen WalletConnect, um in mobilen Wallets die Aufforderung zur Bestätigungssignatur auszulösen. Bei dieser Vorgehensweise wird ein einziges WalletConnect-Projekt-ID:
31eee2e7b3ff1dc4ebdfa6f839467664
Diese Projekt-ID sollte an WalletConnect gemeldet werden, damit sie umgehend auf die Sperrliste gesetzt wird.
Dem Geld auf der Spur – Google Ads & Attribution
Die vielleicht beunruhigendste Erkenntnis: Die Betreiber von BUYTRX bezahlen Google dafür, für ihren Drainer zu werben.
| Indikator | Wert |
|---|---|
| Google Ads-Konto | AW-17287232508 |
| Conversion-Tracking | Erfasst erfolgreiche Genehmigungen als Konversionen |
| Telegram-Kontakt | @buytrx9 („Buytron“) |
| Sprache des Admin-Panels | Vereinfachtes Chinesisch |
Das Google Ads-Konto erfasst erfolgreiche Wallet-Genehmigungen als Konversionsereignisse. Das bedeutet, dass Googles Werbeplattform die Anzeigenauslieferung buchstäblich so optimiert, dass mehr Opfer für einen Krypto-Drainer gefunden werden – und dafür auch noch Geld verlangt.
Das Admin-Dashboard ist vollständig in Vereinfachtes Chinesisch, mit UI-Elementen wie 日間 / 夜間 (Umschaltung zwischen Tag- und Nachtmodus) sowie Quellcode-Kommentare auf Chinesisch. Der Telegram-Nutzername @buytrx9 dient als primeller Kontaktkanal für den Betreiber.
Google wird dafür bezahlt, die Anzeigenauslieferung für eine Phishing-Aktion zu optimieren. Die Werbetreibenden machen keinen Hehl daraus – sie zahlen für gezielten Traffic und messen den „Erfolg“ daran, wie viele Geldbörsen leergeräumt werden.
Empfehlungen zur Entfernung
Diese Maßnahme betrifft mehrere Dienstleister. Eine koordinierte Berichterstattung über alle Kanäle hinweg ist erforderlich:
Cloudflare
Meldung von Missbrauch durch Mitarbeiter, Seitenmissbrauch und DNS-Einträge für alle über 55 Domains. Sammelmeldung von Missbrauch mit vollständiger Domainliste.
Domain-Registrare
Über 55 Domains bei verschiedenen Registraren. Für jede davon sind separate Missbrauchsmeldungen unter Angabe von Phishing und Finanzbetrug erforderlich.
Hohe Geschwindigkeit
Der Origin-Server unter der Adresse 107.155.88.198 hostet die Backend-API. Meldung wegen des Betriebs einer Phishing-Infrastruktur.
WalletConnect
Blacklist-Projekt-ID 31eee2e7b3ff1dc4ebdfa6f839467664 um zu verhindern, dass Phishing-Seiten Aufforderungen zum Signieren der Wallet auslösen.
Tronscan
Verträge über die Entwässerung von Flaggen TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 und TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.
Google Ads
Konto melden AW-17287232508 für Werbung, Phishing und Finanzbetrug. Das Conversion-Tracking belegt die böswillige Absicht.
Nachweise und Quelldaten
Umfassende technische Analyse: Domains, APIs, Verträge und Zuordnung.
Über 55 Domains mit Angaben zu Hosting, Registrierung und aktuellem Status.
Unbearbeitete API-Antworten vom nicht authentifizierten Backend. 30 Datensätze.
Aktiver Drainer-Vertrag auf TRON. Transaktionen und Genehmigungen in der Blockchain anzeigen.
Überprüfen. Widerrufen. Melden.
Falls Sie mit einer BUYTRX-Domain in Kontakt gekommen sind, überprüfen Sie bitte umgehend Ihre TRON-Token-Berechtigungen. Widerrufen Sie alle verdächtigen Berechtigungen und melden Sie die Domains.
