BUYTRX à la loupe : 55 domaines, aucune API d'authentification et analyse d'un programme de détournement d'approbations TRON
Opération de phishing visant l'approbation TRON USDT · Backend exposé · Preuves sur la blockchain · Financement via Google Ads
Qu'est-ce que BUYTRX ?
BUYTRX est une opération de détournement d'USDT basée sur TRON, déguisée en service légitime d'échange de cryptomonnaies. Les sites présentent des interfaces d'aspect professionnel qui promettent de convertir des USDT en TRX à des taux attractifs. Mais l'« échange » n'a jamais lieu.
Au lieu de cela, on demande à la victime de signer un approve(MAX_UINT256) transaction sur le contrat intelligent USDT (TRC-20). Cette signature unique autorise le contrat de vidage de l'attaquant autorisation illimitée transférer l'intégralité du solde en USDT de la victime — dès maintenant et pour toujours — jusqu'à ce que l'autorisation soit révoquée manuellement.
Une fois l'approbation confirmée sur la blockchain, l'opérateur appelle transferFrom() pour vider le portefeuille. La victime ne remarque rien. Pas d'échange. Pas de TRX. Juste un solde vide.
L'appel à la fonction `approve()` ne transfère pas de jetons : il accorde simplement une autorisation. Le vol proprement dit s'effectue en toute discrétion via la fonction `transferFrom()`, quelques secondes ou quelques heures plus tard. La plupart des victimes ne font jamais le lien entre ces deux transactions.
Cette opération est en cours depuis au moins Juillet 2025, en passant par des dizaines de domaines à mesure que les anciens sont signalés et supprimés. L'infrastructure s'adapte plus rapidement que la plupart des bureaux d'enregistrement et des hébergeurs ne peuvent réagir.
Plus de 55 domaines — Une seule opération
Notre enquête a mis au jour un vaste réseau de domaines de phishing, qui hébergent tous des interfaces d'échange BUYTRX identiques ou quasi identiques. Ces domaines sont hébergés sur Cloudflare Workers, Cloudflare Pages et des serveurs d'origine bare-metal.
Domaines actuellement actifs
| Domaine | Type | Hébergement |
|---|---|---|
trxev.com | Primaire | Cloudflare |
trxmo.com | Primaire + API | Cloudflare |
buytrx.mov | Actif | Cloudflare |
buytrx.cx | Actif | Cloudflare |
trxdc.org | Actif | Cloudflare |
buytrx.bet | Actif | Cloudflare |
buytrx.store | Actif | Cloudflare |
buytrx.click | Actif | Cloudflare |
trxfx.com | Actif | Cloudflare |
trxsw.org | Actif | Cloudflare |
Cloudflare Workers et Pages
| Sous-domaine | Plateforme |
|---|---|
shrill-haze-5ff7.buytrx.workers.dev | Travailleurs |
exchange.swap-trx.workers.dev | Travailleurs |
buytrx.pages.dev | Pages |
swap-trx.pages.dev | Pages |
Serveurs d'origine
| Adresse IP | Fournisseur | Objectif |
|---|---|---|
107.155.88.198 | HIVELOCITY (AS29802) | Origine première |
46.21.151.194 | HVC-AS | Origine secondaire |
En outre, Plus de 50 domaines recyclés ont été identifiés, notamment :
buytrx.net, buytrx.org, buytrx.io, buytrx.co, buytrx.exchange, buytrx.app, buytrx.pro, buytrx.cc, buytrx.xyz, buytrx.site, buytrx.online, buytrx.live, buytrx.fun, buytrx.top, buytrx.vip, trxswap.org, trxswap.net, trxswap.io, trxswap.com, trxflip.com, trxev.org, trxmo.org, trxnw.com, trxfn.com, trxwb.com, swaptrx.org, swaptrx.net, swaptrx.io, et bien d'autres encore.
Plus de 50 domaines supprimés et remplacés. L'infrastructure s'adapte plus rapidement que la plupart des bureaux d'enregistrement ne réagissent.
API sans authentification — Un backend totalement ouvert
L'opération BUYTRX s'exécute sur 6 points de terminaison de l'API Express.js partageant une seule base de données. L'API principale est hébergée à l'adresse api.trxmo.com. Chaque point de terminaison renvoie l'intégralité des données de la victime sans aucune authentification.
Points de terminaison non authentifiés
| Terminal | Retours |
|---|---|
GET /api/records | Toutes les fiches des victimes |
GET /api/records/:id | Détails sur la victime |
GET /api/stats | Statistiques d'exploitation |
POST /api/records | Créer un nouvel enregistrement |
PUT /api/records/:id | Mettre à jour l'enregistrement |
DELETE /api/records/:id | Supprimer l'enregistrement |
Tableau de bord administrateur sans authentification
Un panneau d'administration est accessible à l'adresse /8fb198a6e9b7af32 — un chemin de hachage de type « sécurité par obscurité » avec aucune authentification. Il propose un flux d'informations en temps réel sur les victimes, qui présente :
- Les adresses de portefeuille de chaque victime
- Identifiants de transaction (hachages d'approbation)
- Adresses IP des victimes
- Horodatage de chaque interaction
- Montants autorisés (généralement MAX_UINT256)
{
"records": [
{
"id": 1,
"wallet": "TKjdnS...redacted",
"txHash": "a8f3e2...redacted",
"ip": "185.xxx.xxx.xxx",
"amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
"status": "approved",
"createdAt": "2026-02-14T09:23:41.000Z"
}
]
}Autres vulnérabilités découvertes :
- Limitation de vitesse faible : 6 requêtes par fenêtre, facilement contournées grâce à la rotation des adresses IP
- Fuite d'en-tête dans Express.js :
X-Powered-By: Expressprésente la technologie des serveurs - Risque de XSS différé : Le panneau d'administration affiche des chaînes d'agent utilisateur non validées
Il suffit d'une simple requête GET non authentifiée pour accéder à l'adresse du portefeuille, à l'adresse IP, au hachage de la transaction et au montant de l'autorisation de chaque victime. Aucune clé API. Aucun jeton. Aucune sécurité.
Preuves sur la blockchain
Les contrats « drainer » ont été déployés sur le réseau TRON et ont été activement utilisés pour traiter les transactions d'approbation des victimes.
| Contrat | Étiquette | Déployé | Transactions |
|---|---|---|---|
Tourne-toi, tu verras… | SwapTRX (actuel) | 13 décembre 2025 | Actif |
Radiographie du cerveau. | Contrat historique | Auparavant | 323 enregistrés |
4 transactions d'approbation confirmées sur la blockchain ont été mis en correspondance avec les fiches des victimes figurant dans la base de données compromise (fiches 1 à 10). Les fiches 11 à 30 semblent être données de test de l'opérateur — Tester des portefeuilles avec de petits montants, des séquences temporelles régulières et des plages d'adresses IP identiques.
Intégration de WalletConnect
Les sites de phishing utilisent WalletConnect pour déclencher la demande de signature d'approbation dans les portefeuilles mobiles. L'opération utilise un seul Identifiant du projet WalletConnect:
31eee2e7b3ff1dc4ebdfa6f839467664
Cet identifiant de projet doit être signalé à WalletConnect afin qu'il soit immédiatement ajouté à la liste noire.
Sur les traces de l'argent — Google Ads et l'attribution
Peut-être la conclusion la plus troublante : Les exploitants de BUYTRX paient Google pour faire la promotion de leur plateforme de retrait.
| Indicateur | Valeur |
|---|---|
| Compte Google Ads | AW-17287232508 |
| Suivi des conversions | Enregistre les validations réussies sous forme de conversions |
| Contact sur Telegram | @buytrx9 (« Buytron ») |
| Langue du panneau d'administration | Chinois simplifié |
Le compte Google Ads effectue un suivi les validations de portefeuille réussies en tant qu'événements de conversion. Cela signifie que la plateforme publicitaire de Google optimise littéralement la diffusion des publicités afin de trouver davantage de victimes pour un logiciel de vol de cryptomonnaie — et perçoit une rémunération pour ce service.
Le tableau de bord d'administration est entièrement en Chinois simplifié, avec des éléments d'interface utilisateur tels que 日間 / 夜間 (boutons de basculement entre le mode jour et le mode nuit) et des commentaires en chinois dans le code source. Le pseudo Telegram @buytrx9 constitue le principal canal de communication avec l'opérateur.
Google est rémunéré pour optimiser la diffusion de publicités au service d'une opération de hameçonnage. Les annonceurs ne se cachent pas : ils paient pour générer du trafic ciblé et mesurent leur « succès » au nombre de comptes bancaires vidés.
Recommandations de retrait
Cette opération concerne plusieurs prestataires de services. Une coordination des rapports sur tous les fronts est nécessaire :
Cloudflare
Signalez les abus liés aux utilisateurs, aux pages et aux enregistrements DNS pour l'ensemble des plus de 55 domaines. Signalement groupé des abus avec la liste complète des domaines.
Bureaux d'enregistrement de noms de domaine
Plus de 55 domaines répartis entre plusieurs bureaux d'enregistrement. Chacun nécessite un signalement d'abus distinct faisant état de hameçonnage et de fraude financière.
Grande vitesse
Serveur d'origine à l'adresse 107.155.88.198 hébergeant l'API backend. Signalement pour hébergement d'une infrastructure de phishing.
WalletConnect
Identifiant du projet « Blacklist » 31eee2e7b3ff1dc4ebdfa6f839467664 pour empêcher les sites de phishing de déclencher des invites de signature du portefeuille.
Tronscan
Contrats de vidange des drains TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 et TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.
Google Ads
Signaler un compte AW-17287232508 pour la publicité liée au phishing et à la fraude financière. Le suivi des conversions permet de prouver l'intention malveillante.
Données probantes et sources
Analyse technique complète : domaines, API, contrats et attribution.
Plus de 55 domaines avec les détails de l'hébergement, les informations d'enregistrement et le statut actuel.
Réponses API non expurgées provenant du backend non authentifié. 30 enregistrements.
Contrat « Active Drainer » sur TRON. Consultez les transactions et les validations sur la blockchain.
Vérifier. Révoquer. Signaler.
Si vous avez interagi avec un domaine BUYTRX, vérifiez immédiatement vos autorisations de transaction pour les jetons TRON. Révociez toute autorisation suspecte et signalez ces domaines.
