BUYTRX बेनकाब: 55 डोमेन, शून्य ऑथ एपीआई, और एक ट्रॉन अप्रूवल ड्रेनर का विश्लेषण
ट्रॉन USDT अनुमोदन फ़िशिंग अभियान · बेकएंड उजागर · ऑन-चेन साक्ष्य · गूगल विज्ञापनों के लिए वित्त पोषण

BUYTRX क्या है?
BUYTRX एक TRON-आधारित USDT अप्रूवल ड्रेनर ऑपरेशन है, जो एक वैध क्रिप्टोकरेंसी स्वैप सेवा के रूप में छिपा हुआ है। ये साइटें पेशेवर दिखने वाले इंटरफेस पेश करती हैं जो आकर्षक दरों पर USDT को TRX में बदलने का वादा करती हैं। लेकिन "स्वैप" कभी नहीं होता।
इसके बजाय, पीड़ित को एक पर हस्ताक्षर करने के लिए कहा जाता है। approve(MAX_UINT256) USDT (TRC-20) स्मार्ट कॉन्ट्रैक्ट पर लेनदेन। यह एकल हस्ताक्षर हमलावर के ड्रेनर कॉन्ट्रैक्ट को अनुमति देता है। असीमित अनुमति पीड़ित की संपूर्ण USDT शेष राशि को स्थानांतरित करना — अब और हमेशा — जब तक कि अनुमोदन को मैन्युअल रूप से रद्द नहीं किया जाता।
एक बार ऑन-चेन पर अनुमोदन की पुष्टि हो जाने के बाद, ऑपरेटर कॉल करता है। transferFrom() वॉलेट को साफ कर देना। पीड़ित को कुछ भी नहीं दिखता। कोई स्वैप नहीं। कोई TRX नहीं। सिर्फ एक खाली बैलेंस।
approve() कॉल टोकन स्थानांतरित नहीं करता — यह अनुमति प्रदान करता है। असली चोरी transferFrom() के माध्यम से कुछ सेकंड या घंटों बाद चुपचाप होती है। अधिकांश पीड़ित दोनों लेनदेन को कभी नहीं जोड़ पाते।
यह ऑपरेशन कम से कम से सक्रिय है। जुलाई २०२५पुराने डोमेन रिपोर्ट किए जाने और हटाए जाने पर दर्जनों नए डोमेन में साइकल करते हुए। यह बुनियादी ढांचा अधिकांश रजिस्ट्रारों और होस्टिंग प्रदाताओं की प्रतिक्रिया देने की गति से भी तेज़ी से अनुकूलित होता है।
55+ डोमेन — एक संचालन
हमारी जांच में फिशिंग डोमेनों का एक विशाल नेटवर्क उजागर हुआ, जो सभी समान या लगभग समान BUYTRX स्वैप इंटरफेस प्रदान कर रहे थे। ये डोमेन Cloudflare Workers, Cloudflare Pages और बेयर-मेटल ओरिजिन सर्वरों पर फैले हुए हैं।
वर्तमान में सक्रिय डोमेन
| डोमेन | प्रकार | होस्टिंग |
|---|---|---|
trxev.com | प्राथमिक | क्लाउडफ्लेयर |
trxmo.com | प्राथमिक + एपीआई | क्लाउडफ्लेयर |
buytrx.mov | सक्रिय | क्लाउडफ्लेयर |
buytrx.cx | सक्रिय | क्लाउडफ्लेयर |
trxdc.org | सक्रिय | क्लाउडफ्लेयर |
buytrx.bet | सक्रिय | क्लाउडफ्लेयर |
buytrx.store | सक्रिय | क्लाउडफ्लेयर |
buytrx.click | सक्रिय | क्लाउडफ्लेयर |
trxfx.com | सक्रिय | क्लाउडफ्लेयर |
trxsw.org | सक्रिय | क्लाउडफ्लेयर |
क्लाउडफ्लेयर वर्कर्स और पेजेस
| उप-डोमेन | मंच |
|---|---|
shrill-haze-5ff7.buytrx.workers.dev | मजदूर |
exchange.swap-trx.workers.dev | मजदूर |
buytrx.pages.dev | पृष्ठ |
swap-trx.pages.dev | पृष्ठ |
मूल सर्वर
| आईपी पता | प्रदाता | उद्देश्य |
|---|---|---|
107.155.88.198 | एचआईवीएलॉसिटी (AS29802) | प्राथमिक उत्पत्ति |
46.21.151.194 | एचवीसी-एएस | द्वितीयक उत्पत्ति |
एक अतिरिक्त 50+ पुनर्नवीनीकृत डोमेन की पहचान की गई, जिनमें शामिल हैं:
buytrx.net buytrx.org buytrx.io buytrx.co buytrx.exchange buytrx.app buytrx.pro buytrx.cc buytrx.xyz buytrx.site buytrx.online buytrx.live buytrx.fun buytrx.top buytrx.vip trxswap.org trxswap.net trxswap.io trxswap.com trxflip.com trxev.org trxmo.org trxnw.com trxfn.com trxwb.com swaptrx.org swaptrx.net swaptrx.io और भी बहुत कुछ।
50 से अधिक डोमेन जलाए और प्रतिस्थापित किए गए। यह बुनियादी ढांचा अधिकांश रजिस्ट्रारों की प्रतिक्रिया देने से भी तेज़ी से अनुकूलित होता है।
ज़ीरो ऑथ एपीआई — बैकएंड वाइड ओपन
BUYTRX ऑपरेशन पर चलता है 6 Express.js एपीआई एंडपॉइंट्स एक ही डेटाबेस साझा करना। प्राथमिक एपीआई यहाँ होस्ट की गई है api.trxmo.comप्रत्येक एंडपॉइंट पूर्ण पीड़ित डेटा लौटाता है। बिना किसी प्रमाणीकरण के.
अप्रमाणित एंडपॉइंट्स
| अंतिम बिंदु | वापसी |
|---|---|
GET /api/records | सभी पीड़ित रिकॉर्ड |
GET /api/records/:id | व्यक्तिगत पीड़ित का विवरण |
GET /api/stats | संचालन सांख्यिकी |
POST /api/records | नया रिकॉर्ड बनाएँ |
PUT /api/records/:id | रिकॉर्ड अपडेट करें |
DELETE /api/records/:id | रिकॉर्ड हटाएँ |
अप्रमाणित एडमिन डैशबोर्ड
एक एडमिन पैनल पर सुलभ है /8fb198a6e9b7af32 — एक "अस्पष्टता द्वारा सुरक्षा" हैश पथ के साथ शून्य प्रमाणीकरणयह एक रीयल-टाइम पीड़ित फ़ीड प्रदान करता है जो दिखाता है:
- प्रत्येक पीड़ित का वॉलेट पता
- लेनदेन आईडी (अनुमोदन हैश)
- पीड़ितों के आईपी पते
- हर बातचीत की टाइमस्टैम्प
- अनुमोदन राशि (आमतौर पर MAX_UINT256)
{
"records": [
{
"id": 1,
"wallet": "TKjdnS...redacted",
"txHash": "a8f3e2...redacted",
"ip": "185.xxx.xxx.xxx",
"amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
"status": "approved",
"createdAt": "2026-02-14T09:23:41.000Z"
}
]
} अतिरिक्त कमजोरियाँ पाई गईं:
- कमजोर दर सीमांकन: प्रति विंडो 6 अनुरोध, आईपी रोटेशन से आसानी से बाईपास हो जाते हैं
- Express.js हेडर लीक:
X-Powered-By: Expressसर्वर तकनीक का खुलासा करता है - संभावित संग्रहीत XSS: एडमिन पैनल असंसाधित यूज़र-एजेंट स्ट्रिंग्स प्रदर्शित करता है।
प्रत्येक पीड़ित का वॉलेट पता, आईपी, ट्रांजैक्शन हैश और अनुमोदन राशि केवल एक अनाधिकृत GET अनुरोध दूर है। शून्य API कुंजियाँ। शून्य टोकन। शून्य सुरक्षा।
ऑन-चेन साक्ष्य
ड्रेनर कॉन्ट्रैक्ट्स को TRON नेटवर्क पर तैनात किया गया है और इन्हें पीड़ितों से अनुमोदन लेनदेन संसाधित करने के लिए सक्रिय रूप से उपयोग किया गया है।
| अनुबंध | लेबल | तैनात | लेन-देन |
|---|---|---|---|
TRnruCYe2k...UPJ8
|
स्वैपटीआरएक्स (वर्तमान) | १३ दिसंबर, २०२५ | सक्रिय |
TXwXfz8Bp9...uHnS
|
वारिस अनुबंध | पहले | 323 दर्ज |
4 पुष्ट ऑन-चेन अनुमोदन लेनदेन प्रकट किए गए डेटाबेस (रिकॉर्ड 1–10) में पीड़ित रिकॉर्डों से मेल खाए थे। रिकॉर्ड 11–30 प्रतीत होते हैं ऑपरेटर परीक्षण डेटा — छोटी मात्राओं, क्रमिक समय पैटर्न, और समान आईपी रेंज के साथ परीक्षण वॉलेट।
WalletConnect एकीकरण
फ़िशिंग साइटें मोबाइल वॉलेट में अनुमोदन हस्ताक्षर प्रॉम्प्ट ट्रिगर करने के लिए वॉलेटकनेक्ट का उपयोग करती हैं। ऑपरेशन एक एकल का उपयोग करता है WalletConnect प्रोजेक्ट आईडी:
31eee2e7b3ff1dc4ebdfa6f839467664
इस प्रोजेक्ट आईडी को तत्काल ब्लैकलिस्टिंग के लिए वॉलेटकनेक्ट को रिपोर्ट किया जाना चाहिए।
पैसा का पीछा — गूगल विज्ञापन और एट्रिब्यूशन
शायद सबसे परेशान करने वाला निष्कर्ष: BUYTRX ऑपरेटर अपने ड्रेनर का विज्ञापन करने के लिए गूगल को भुगतान कर रहे हैं।.
| संकेतक | मूल्य |
|---|---|
| गूगल विज्ञापन खाता |
AW-17287232508
|
| परिवर्तन ट्रैकिंग | सफल स्वीकृतियों को परिवर्तनों के रूप में ट्रैक करता है। |
| टेलीग्राम संपर्क | @buytrx9 ("बायट्रॉन") |
| प्रशासन पैनल भाषा | सरलीकृत चीनी |
गूगल विज्ञापन खाता ट्रैक करता है सफल वॉलेट अनुमोदन रूपांतरण घटनाओं के रूप में. इसका मतलब है कि गूगल का विज्ञापन प्लेटफ़ॉर्म सचमुच विज्ञापन वितरण को अनुकूलित कर रहा है ताकि क्रिप्टो ड्रेनर के लिए और अधिक शिकार ढूंढे जा सकें — और इस सेवा के लिए भुगतान भी वसूल रहा है।
प्रशासक डैशबोर्ड पूरी तरह से सरलीकृत चीनी, यूआई तत्वों जैसे 日間 / 夜間 (दिन/रात मोड स्विच) और स्रोत कोड में चीनी में टिप्पणियाँ। टेलीग्राम हैंडल @buytrx9 मुख्य ऑपरेटर संपर्क चैनल के रूप में कार्य करता है।
Google को एक फ़िशिंग अभियान के लिए विज्ञापन वितरण को अनुकूलित करने के लिए भुगतान किया जा रहा है। विज्ञापनदाता छिपे नहीं हैं — वे लक्षित ट्रैफ़िक के लिए भुगतान कर रहे हैं और "सफलता" को इस आधार पर माप रहे हैं कि कितने वॉलेट खाली हो जाते हैं।
हटाने की सिफारिशें
यह ऑपरेशन कई सेवा प्रदाताओं को प्रभावित करता है। सभी वेक्टर्स में समन्वित रिपोर्टिंग आवश्यक है:
क्लाउडफ्लेयर
55+ डोमेन के लिए वर्कर्स दुरुपयोग, पेजेस दुरुपयोग और DNS रिकॉर्ड्स की रिपोर्ट करें। पूर्ण डोमेन सूची के साथ थोक दुरुपयोग रिपोर्ट।
डोमेन रजिस्ट्रार
कई रजिस्ट्रारों में 55+ डोमेन। प्रत्येक के लिए फिशिंग और वित्तीय धोखाधड़ी का हवाला देते हुए व्यक्तिगत दुरुपयोग रिपोर्ट की आवश्यकता है।
एचआईवीएलॉसिटी
107.155.88.198 पर स्थित ओरिजिन सर्वर बैकएंड API होस्ट कर रहा है। फ़िशिंग इंफ्रास्ट्रक्चर होस्ट करने की रिपोर्ट।
वॉलेटकनेक्ट
ब्लैकलिस्ट प्रोजेक्ट आईडी 31eee2e7b3ff1dc4ebdfa6f839467664 फ़िशिंग साइटों को वॉलेट साइनिंग प्रॉम्प्ट्स ट्रिगर करने से रोकने के लिए।
ट्रॉनस्कैन
फ़्लैग ड्रेनर अनुबंध TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 और TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.
गूगल विज्ञापन
खाते की रिपोर्ट करें AW-17287232508 विज्ञापन के माध्यम से फ़िशिंग और वित्तीय धोखाधड़ी के लिए। कन्वर्ज़न ट्रैकिंग दुर्भावनापूर्ण इरादे को साबित करती है।
साक्ष्य और स्रोत डेटा
पूर्ण तकनीकी विश्लेषण: डोमेन, एपीआई, अनुबंध और श्रेय।
होस्टिंग विवरण, पंजीकरण जानकारी और वर्तमान स्थिति सहित 55+ डोमेन।
अनधिकृत बैकएंड से अनरेडक्टेड API प्रतिक्रियाएँ। 30 रिकॉर्ड।
TRON पर सक्रिय ड्रेनर अनुबंध। ऑन-चेन लेनदेन और अनुमोदन देखें।
जाँचें। रद्द करें। रिपोर्ट करें।
यदि आपने किसी भी BUYTRX डोमेन के साथ इंटरैक्शन किया है, तो तुरंत अपनी TRON टोकन अनुमोदनों की जाँच करें। किसी भी संदिग्ध अनुमोदन को रद्द करें और उन डोमेनों की रिपोर्ट करें।





