BUYTRX al descubierto: 55 dominios, cero API de autenticación y análisis de un drenador de autorizaciones de TRON
Operación de phishing relacionada con la aprobación de TRON USDT · Backend expuesto · Pruebas en cadena · Financiación a través de Google Ads
¿Qué es BUYTRX?
BUYTRX es una operación de drenaje de fondos de USDT basada en TRON que se hace pasar por un servicio legítimo de intercambio de criptomonedas. Los sitios web presentan interfaces de aspecto profesional que prometen convertir USDT a TRX a tipos de cambio atractivos. Pero el «intercambio» nunca se lleva a cabo.
En cambio, se insta a la víctima a firmar un approve(MAX_UINT256) transacción en el contrato inteligente USDT (TRC-20). Esta única firma otorga al contrato de drenaje del atacante permiso ilimitado transferir la totalidad del saldo en USDT de la víctima —ahora y para siempre— hasta que se revoque manualmente la autorización.
Una vez que se confirma la aprobación en la cadena de bloques, el operador llama transferFrom() para vaciar la cartera. La víctima no ve nada. Ni intercambio, ni TRX. Solo un saldo a cero.
La llamada a `approve()` no transfiere tokens, sino que otorga permiso. El robo propiamente dicho se produce de forma silenciosa a través de `transferFrom()` segundos u horas más tarde. La mayoría de las víctimas nunca relacionan ambas transacciones.
La operación lleva en marcha al menos desde Julio de 2025, pasando por docenas de dominios a medida que los antiguos son denunciados y retirados. La infraestructura se adapta más rápido de lo que la mayoría de los registradores y proveedores de alojamiento pueden reaccionar.
Más de 55 dominios: una sola operación
Nuestra investigación ha sacado a la luz una extensa red de dominios de phishing, todos ellos con interfaces de intercambio de BUYTRX idénticas o casi idénticas. Los dominios se alojan en Cloudflare Workers, Cloudflare Pages y servidores de origen físicos.
Dominios actualmente activos
| Dominio | Tipo | Alojamiento web |
|---|---|---|
trxev.com | Primaria | Cloudflare |
trxmo.com | Primaria + API | Cloudflare |
buytrx.mov | Activo | Cloudflare |
buytrx.cx | Activo | Cloudflare |
trxdc.org | Activo | Cloudflare |
buytrx.bet | Activo | Cloudflare |
buytrx.store | Activo | Cloudflare |
buytrx.click | Activo | Cloudflare |
trxfx.com | Activo | Cloudflare |
trxsw.org | Activo | Cloudflare |
Cloudflare Workers y Pages
| Subdominio | Plataforma |
|---|---|
shrill-haze-5ff7.buytrx.workers.dev | Trabajadores |
exchange.swap-trx.workers.dev | Trabajadores |
buytrx.pages.dev | Páginas |
swap-trx.pages.dev | Páginas |
Servidores de Origin
| Dirección IP | Proveedor | Objetivo |
|---|---|---|
107.155.88.198 | HIVELOCITY (AS29802) | Origen principal |
46.21.151.194 | HVC-AS | Origen secundario |
Además, Más de 50 dominios reciclados se identificaron, entre ellos:
buytrx.net, buytrx.org, buytrx.io, buytrx.co, buytrx.exchange, buytrx.app, buytrx.pro, buytrx.cc, buytrx.xyz, buytrx.site, buytrx.online, buytrx.live, buytrx.fun, buytrx.top, buytrx.vip, trxswap.org, trxswap.net, trxswap.io, trxswap.com, trxflip.com, trxev.org, trxmo.org, trxnw.com, trxfn.com, trxwb.com, swaptrx.org, swaptrx.net, swaptrx.io, y muchos más.
Más de 50 dominios eliminados y sustituidos. La infraestructura se adapta más rápido de lo que tardan en reaccionar la mayoría de los registradores.
API sin autenticación: el backend a las puertas de cualquiera
La operación BUYTRX se ejecuta en 6 Puntos de conexión de la API de Express.js compartiendo una única base de datos. La API principal se encuentra en api.trxmo.com. Cada punto final devuelve todos los datos de la víctima sin necesidad de autenticación.
Puntos finales sin autenticar
| Punto final | Devoluciones |
|---|---|
GET /api/records | Todos los expedientes de las víctimas |
GET /api/records/:id | Datos de la víctima |
GET /api/stats | Estadísticas de funcionamiento |
POST /api/records | Crear nuevo registro |
PUT /api/records/:id | Actualizar registro |
DELETE /api/records/:id | Eliminar registro |
Panel de administración sin autenticación
Se puede acceder al panel de administración en /8fb198a6e9b7af32 — una ruta de hash basada en la «seguridad por oscuridad» con sin autenticación. Ofrece un feed en tiempo real sobre las víctimas que muestra:
- Direcciones de monedero de cada víctima
- Identificadores de transacción (hash de aprobación)
- Direcciones IP de las víctimas
- Marcas de tiempo de cada interacción
- Importes de autorización (normalmente MAX_UINT256)
{
"records": [
{
"id": 1,
"wallet": "TKjdnS...redacted",
"txHash": "a8f3e2...redacted",
"ip": "185.xxx.xxx.xxx",
"amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
"status": "approved",
"createdAt": "2026-02-14T09:23:41.000Z"
}
]
}Se han descubierto nuevas vulnerabilidades:
- Límite de velocidad débil: 6 solicitudes por ventana, lo cual se elude fácilmente mediante la rotación de direcciones IP
- Fuga de encabezados en Express.js:
X-Powered-By: Expresspresenta la tecnología de servidores - Posible XSS almacenado: El panel de administración muestra cadenas de agente de usuario sin depurar
La dirección de monedero, la IP, el hash de la transacción y el importe de la autorización de cada víctima están a solo una solicitud GET sin autenticar de distancia. Cero claves API. Cero tokens. Cero seguridad.
Pruebas en la cadena de bloques
Los contratos «drainer» se han implementado en la red TRON y se han utilizado activamente para procesar las transacciones de aprobación de las víctimas.
| Contrato | Etiqueta | Implementado | Transacciones |
|---|---|---|---|
Date la vuelta y verás... | SwapTRX (actual) | 13 de diciembre de 2025 | Activo |
Radiografía del cerebro. | Contrato heredado | Anteriormente | 323 registrados |
4 transacciones de aprobación confirmadas en la cadena se cotejaron con los registros de las víctimas de la base de datos filtrada (registros 1-10). Los registros 11-30 parecen ser datos de prueba del operador — Carteras de prueba con pequeñas cantidades, patrones temporales secuenciales y rangos de IP idénticos.
Integración con WalletConnect
Los sitios de phishing utilizan WalletConnect para activar la solicitud de firma de aprobación en los monederos móviles. La operación utiliza un único ID del proyecto WalletConnect:
31eee2e7b3ff1dc4ebdfa6f839467664
Este ID de proyecto debe comunicarse a WalletConnect para que sea incluido inmediatamente en la lista negra.
Siguiendo el rastro del dinero: Google Ads y la atribución
Quizás el hallazgo más inquietante: Los operadores de BUYTRX están pagando a Google para anunciar su drainer.
| Indicador | Valor |
|---|---|
| Cuenta de Google Ads | AW-17287232508 |
| Seguimiento de conversiones | Registra las aprobaciones aceptadas como conversiones |
| Contacto por Telegram | @buytrx9 («Buytron») |
| Idioma del panel de administración | Chino simplificado |
La cuenta de Google Ads realiza un seguimiento de aprobaciones de monederos completadas con éxito como eventos de conversión. Esto significa que la plataforma publicitaria de Google está, literalmente, optimizando la publicación de anuncios para encontrar más víctimas de un programa de robo de criptomonedas —y cobrando por el servicio.
El panel de administración está totalmente en Chino simplificado, con elementos de la interfaz de usuario como 日間 / 夜間 (botones para cambiar entre el modo diurno y nocturno) y comentarios en el código fuente en chino. El nombre de usuario de Telegram @buytrx9 sirve como principal canal de contacto con el operador.
A Google le pagan por optimizar la publicación de anuncios para una operación de phishing. Los anunciantes no se esconden: pagan por tráfico dirigido y miden el «éxito» por el número de carteras que consiguen vaciar.
Recomendaciones para la retirada
Esta operación afecta a varios proveedores de servicios. Es necesario que la comunicación sea coordinada en todos los ámbitos:
Cloudflare
Denuncia de abusos de Workers, de Pages y de registros DNS para más de 55 dominios. Denuncia masiva de abusos con la lista completa de dominios.
Registradores de dominios
Más de 55 dominios repartidos entre varios registradores. Cada uno de ellos requiere un informe de abuso específico en el que se mencionen el phishing y el fraude financiero.
Alta velocidad
Servidor de origen en la dirección 107.155.88.198 que aloja la API de fondo. Denuncia por albergar una infraestructura de phishing.
WalletConnect
ID del proyecto «Lista negra» 31eee2e7b3ff1dc4ebdfa6f839467664 para evitar que los sitios de phishing activen las solicitudes de firma de la cartera.
Tronscan
Contratos de desagüe de bandera TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 y TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.
Google Ads
Denunciar cuenta AW-17287232508 por publicidad relacionada con el phishing y el fraude financiero. El seguimiento de conversiones demuestra la intención maliciosa.
Datos probatorios y de origen
Análisis técnico completo: dominios, API, contratos y atribución.
Más de 55 dominios con detalles sobre el alojamiento, información de registro y estado actual.
Respuestas de la API sin censurar procedentes del backend sin autenticar. 30 registros.
Contrato de Active Drainer en TRON. Ver transacciones y aprobaciones en la cadena.
Comprobar. Revocar. Informar.
Si has interactuado con algún dominio de BUYTRX, comprueba inmediatamente tus autorizaciones de tokens TRON. Revoca cualquier autorización sospechosa y denuncia los dominios.
