मुख्य सामग्री पर जाएँ
समाचार पर वापस
ड्रेनर अवसंरचना का विखंडन

BUYTRX बेनकाब: 55 डोमेन, शून्य ऑथ एपीआई, और एक ट्रॉन अप्रूवल ड्रेनर का विश्लेषण

ट्रॉन USDT अनुमोदन फ़िशिंग अभियान · बेकएंड उजागर · ऑन-चेन साक्ष्य · गूगल विज्ञापनों के लिए वित्त पोषण

बायटीआरएक्स ड्रेनर बेनकाब
0+
फ़िशिंग डोमेन
0
प्रकट पीड़ित अभिलेख
0
एपीआई प्रमाणीकरण
$0
सभी डेटा तक पहुँचने की लागत

BUYTRX क्या है?

BUYTRX एक TRON-आधारित USDT अप्रूवल ड्रेनर ऑपरेशन है, जो एक वैध क्रिप्टोकरेंसी स्वैप सेवा के रूप में छिपा हुआ है। ये साइटें पेशेवर दिखने वाले इंटरफेस पेश करती हैं जो आकर्षक दरों पर USDT को TRX में बदलने का वादा करती हैं। लेकिन "स्वैप" कभी नहीं होता।

इसके बजाय, पीड़ित को एक पर हस्ताक्षर करने के लिए कहा जाता है। approve(MAX_UINT256) USDT (TRC-20) स्मार्ट कॉन्ट्रैक्ट पर लेनदेन। यह एकल हस्ताक्षर हमलावर के ड्रेनर कॉन्ट्रैक्ट को अनुमति देता है। असीमित अनुमति पीड़ित की संपूर्ण USDT शेष राशि को स्थानांतरित करना — अब और हमेशा — जब तक कि अनुमोदन को मैन्युअल रूप से रद्द नहीं किया जाता।

एक बार ऑन-चेन पर अनुमोदन की पुष्टि हो जाने के बाद, ऑपरेटर कॉल करता है। transferFrom() वॉलेट को साफ कर देना। पीड़ित को कुछ भी नहीं दिखता। कोई स्वैप नहीं। कोई TRX नहीं। सिर्फ एक खाली बैलेंस।

एक हस्ताक्षर। असीमित पहुँच। स्थायी निकासी क्षमता।

approve() कॉल टोकन स्थानांतरित नहीं करता — यह अनुमति प्रदान करता है। असली चोरी transferFrom() के माध्यम से कुछ सेकंड या घंटों बाद चुपचाप होती है। अधिकांश पीड़ित दोनों लेनदेन को कभी नहीं जोड़ पाते।

यह ऑपरेशन कम से कम से सक्रिय है। जुलाई २०२५पुराने डोमेन रिपोर्ट किए जाने और हटाए जाने पर दर्जनों नए डोमेन में साइकल करते हुए। यह बुनियादी ढांचा अधिकांश रजिस्ट्रारों और होस्टिंग प्रदाताओं की प्रतिक्रिया देने की गति से भी तेज़ी से अनुकूलित होता है।

55+ डोमेन — एक संचालन

हमारी जांच में फिशिंग डोमेनों का एक विशाल नेटवर्क उजागर हुआ, जो सभी समान या लगभग समान BUYTRX स्वैप इंटरफेस प्रदान कर रहे थे। ये डोमेन Cloudflare Workers, Cloudflare Pages और बेयर-मेटल ओरिजिन सर्वरों पर फैले हुए हैं।

वर्तमान में सक्रिय डोमेन

डोमेनप्रकारहोस्टिंग
trxev.comप्राथमिकक्लाउडफ्लेयर
trxmo.comप्राथमिक + एपीआईक्लाउडफ्लेयर
buytrx.movसक्रियक्लाउडफ्लेयर
buytrx.cxसक्रियक्लाउडफ्लेयर
trxdc.orgसक्रियक्लाउडफ्लेयर
buytrx.betसक्रियक्लाउडफ्लेयर
buytrx.storeसक्रियक्लाउडफ्लेयर
buytrx.clickसक्रियक्लाउडफ्लेयर
trxfx.comसक्रियक्लाउडफ्लेयर
trxsw.orgसक्रियक्लाउडफ्लेयर

क्लाउडफ्लेयर वर्कर्स और पेजेस

उप-डोमेनमंच
shrill-haze-5ff7.buytrx.workers.devमजदूर
exchange.swap-trx.workers.devमजदूर
buytrx.pages.devपृष्ठ
swap-trx.pages.devपृष्ठ

मूल सर्वर

आईपी पताप्रदाताउद्देश्य
107.155.88.198एचआईवीएलॉसिटी (AS29802)प्राथमिक उत्पत्ति
46.21.151.194एचवीसी-एएसद्वितीयक उत्पत्ति

एक अतिरिक्त 50+ पुनर्नवीनीकृत डोमेन की पहचान की गई, जिनमें शामिल हैं:

buytrx.net buytrx.org buytrx.io buytrx.co buytrx.exchange buytrx.app buytrx.pro buytrx.cc buytrx.xyz buytrx.site buytrx.online buytrx.live buytrx.fun buytrx.top buytrx.vip trxswap.org trxswap.net trxswap.io trxswap.com trxflip.com trxev.org trxmo.org trxnw.com trxfn.com trxwb.com swaptrx.org swaptrx.net swaptrx.io और भी बहुत कुछ।

50 से अधिक डोमेन जलाए और प्रतिस्थापित किए गए। यह बुनियादी ढांचा अधिकांश रजिस्ट्रारों की प्रतिक्रिया देने से भी तेज़ी से अनुकूलित होता है।

ज़ीरो ऑथ एपीआई — बैकएंड वाइड ओपन

BUYTRX ऑपरेशन पर चलता है 6 Express.js एपीआई एंडपॉइंट्स एक ही डेटाबेस साझा करना। प्राथमिक एपीआई यहाँ होस्ट की गई है api.trxmo.comप्रत्येक एंडपॉइंट पूर्ण पीड़ित डेटा लौटाता है। बिना किसी प्रमाणीकरण के.

अप्रमाणित एंडपॉइंट्स

अंतिम बिंदुवापसी
GET /api/recordsसभी पीड़ित रिकॉर्ड
GET /api/records/:idव्यक्तिगत पीड़ित का विवरण
GET /api/statsसंचालन सांख्यिकी
POST /api/recordsनया रिकॉर्ड बनाएँ
PUT /api/records/:idरिकॉर्ड अपडेट करें
DELETE /api/records/:idरिकॉर्ड हटाएँ

अप्रमाणित एडमिन डैशबोर्ड

एक एडमिन पैनल पर सुलभ है /8fb198a6e9b7af32 — एक "अस्पष्टता द्वारा सुरक्षा" हैश पथ के साथ शून्य प्रमाणीकरणयह एक रीयल-टाइम पीड़ित फ़ीड प्रदान करता है जो दिखाता है:

  • प्रत्येक पीड़ित का वॉलेट पता
  • लेनदेन आईडी (अनुमोदन हैश)
  • पीड़ितों के आईपी पते
  • हर बातचीत की टाइमस्टैम्प
  • अनुमोदन राशि (आमतौर पर MAX_UINT256)
अप्रमाणित एपीआई प्रतिक्रिया — api.trxmo.com
{
  "records": [
    {
      "id": 1,
      "wallet": "TKjdnS...redacted",
      "txHash": "a8f3e2...redacted",
      "ip": "185.xxx.xxx.xxx",
      "amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
      "status": "approved",
      "createdAt": "2026-02-14T09:23:41.000Z"
    }
  ]
}

अतिरिक्त कमजोरियाँ पाई गईं:

  • कमजोर दर सीमांकन: प्रति विंडो 6 अनुरोध, आईपी रोटेशन से आसानी से बाईपास हो जाते हैं
  • Express.js हेडर लीक: X-Powered-By: Express सर्वर तकनीक का खुलासा करता है
  • संभावित संग्रहीत XSS: एडमिन पैनल असंसाधित यूज़र-एजेंट स्ट्रिंग्स प्रदर्शित करता है।
ऑपरेटरों ने एक ड्रेनर बनाया लेकिन अपना बैकएंड सुरक्षित करना भूल गए।

प्रत्येक पीड़ित का वॉलेट पता, आईपी, ट्रांजैक्शन हैश और अनुमोदन राशि केवल एक अनाधिकृत GET अनुरोध दूर है। शून्य API कुंजियाँ। शून्य टोकन। शून्य सुरक्षा।

ऑन-चेन साक्ष्य

ड्रेनर कॉन्ट्रैक्ट्स को TRON नेटवर्क पर तैनात किया गया है और इन्हें पीड़ितों से अनुमोदन लेनदेन संसाधित करने के लिए सक्रिय रूप से उपयोग किया गया है।

अनुबंधलेबलतैनातलेन-देन
TRnruCYe2k...UPJ8 स्वैपटीआरएक्स (वर्तमान) १३ दिसंबर, २०२५ सक्रिय
TXwXfz8Bp9...uHnS वारिस अनुबंध पहले 323 दर्ज

4 पुष्ट ऑन-चेन अनुमोदन लेनदेन प्रकट किए गए डेटाबेस (रिकॉर्ड 1–10) में पीड़ित रिकॉर्डों से मेल खाए थे। रिकॉर्ड 11–30 प्रतीत होते हैं ऑपरेटर परीक्षण डेटा — छोटी मात्राओं, क्रमिक समय पैटर्न, और समान आईपी रेंज के साथ परीक्षण वॉलेट।

WalletConnect एकीकरण

फ़िशिंग साइटें मोबाइल वॉलेट में अनुमोदन हस्ताक्षर प्रॉम्प्ट ट्रिगर करने के लिए वॉलेटकनेक्ट का उपयोग करती हैं। ऑपरेशन एक एकल का उपयोग करता है WalletConnect प्रोजेक्ट आईडी:

31eee2e7b3ff1dc4ebdfa6f839467664

इस प्रोजेक्ट आईडी को तत्काल ब्लैकलिस्टिंग के लिए वॉलेटकनेक्ट को रिपोर्ट किया जाना चाहिए।

पैसा का पीछा — गूगल विज्ञापन और एट्रिब्यूशन

शायद सबसे परेशान करने वाला निष्कर्ष: BUYTRX ऑपरेटर अपने ड्रेनर का विज्ञापन करने के लिए गूगल को भुगतान कर रहे हैं।.

संकेतक मूल्य
गूगल विज्ञापन खाता AW-17287232508
परिवर्तन ट्रैकिंग सफल स्वीकृतियों को परिवर्तनों के रूप में ट्रैक करता है।
टेलीग्राम संपर्क @buytrx9 ("बायट्रॉन")
प्रशासन पैनल भाषासरलीकृत चीनी

गूगल विज्ञापन खाता ट्रैक करता है सफल वॉलेट अनुमोदन रूपांतरण घटनाओं के रूप में. इसका मतलब है कि गूगल का विज्ञापन प्लेटफ़ॉर्म सचमुच विज्ञापन वितरण को अनुकूलित कर रहा है ताकि क्रिप्टो ड्रेनर के लिए और अधिक शिकार ढूंढे जा सकें — और इस सेवा के लिए भुगतान भी वसूल रहा है।

प्रशासक डैशबोर्ड पूरी तरह से सरलीकृत चीनी, यूआई तत्वों जैसे 日間 / 夜間 (दिन/रात मोड स्विच) और स्रोत कोड में चीनी में टिप्पणियाँ। टेलीग्राम हैंडल @buytrx9 मुख्य ऑपरेटर संपर्क चैनल के रूप में कार्य करता है।

वे Google Ads अभियान चला रहे हैं जो सफल वॉलेट खाली होने को रूपांतरण घटनाओं के रूप में ट्रैक करते हैं।

Google को एक फ़िशिंग अभियान के लिए विज्ञापन वितरण को अनुकूलित करने के लिए भुगतान किया जा रहा है। विज्ञापनदाता छिपे नहीं हैं — वे लक्षित ट्रैफ़िक के लिए भुगतान कर रहे हैं और "सफलता" को इस आधार पर माप रहे हैं कि कितने वॉलेट खाली हो जाते हैं।

हटाने की सिफारिशें

यह ऑपरेशन कई सेवा प्रदाताओं को प्रभावित करता है। सभी वेक्टर्स में समन्वित रिपोर्टिंग आवश्यक है:

क्लाउडफ्लेयर

55+ डोमेन के लिए वर्कर्स दुरुपयोग, पेजेस दुरुपयोग और DNS रिकॉर्ड्स की रिपोर्ट करें। पूर्ण डोमेन सूची के साथ थोक दुरुपयोग रिपोर्ट।

डोमेन रजिस्ट्रार

कई रजिस्ट्रारों में 55+ डोमेन। प्रत्येक के लिए फिशिंग और वित्तीय धोखाधड़ी का हवाला देते हुए व्यक्तिगत दुरुपयोग रिपोर्ट की आवश्यकता है।

एचआईवीएलॉसिटी

107.155.88.198 पर स्थित ओरिजिन सर्वर बैकएंड API होस्ट कर रहा है। फ़िशिंग इंफ्रास्ट्रक्चर होस्ट करने की रिपोर्ट।

वॉलेटकनेक्ट

ब्लैकलिस्ट प्रोजेक्ट आईडी 31eee2e7b3ff1dc4ebdfa6f839467664 फ़िशिंग साइटों को वॉलेट साइनिंग प्रॉम्प्ट्स ट्रिगर करने से रोकने के लिए।

ट्रॉनस्कैन

फ़्लैग ड्रेनर अनुबंध TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 और TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.

गूगल विज्ञापन

खाते की रिपोर्ट करें AW-17287232508 विज्ञापन के माध्यम से फ़िशिंग और वित्तीय धोखाधड़ी के लिए। कन्वर्ज़न ट्रैकिंग दुर्भावनापूर्ण इरादे को साबित करती है।

साक्ष्य और स्रोत डेटा

पूर्ण अवसंरचना विखंडन

पूर्ण तकनीकी विश्लेषण: डोमेन, एपीआई, अनुबंध और श्रेय।

डोमेन सूची और विवरण

होस्टिंग विवरण, पंजीकरण जानकारी और वर्तमान स्थिति सहित 55+ डोमेन।

कच्चा एपीआई पीड़ित डेटा डंप

अनधिकृत बैकएंड से अनरेडक्टेड API प्रतिक्रियाएँ। 30 रिकॉर्ड।

ट्रॉनस्कैन: SwapTRX कॉन्ट्रैक्ट

TRON पर सक्रिय ड्रेनर अनुबंध। ऑन-चेन लेनदेन और अनुमोदन देखें।

जाँचें। रद्द करें। रिपोर्ट करें।

BuyTRX फ़िशिंग डोमेन नेटवर्क — विस्तृत क्लस्टर मानचित्र
BuyTRX फ़िशिंग डोमेन नेटवर्क — विस्तृत क्लस्टर मानचित्र
BuyTRX डोमेन नेटवर्क अवलोकन — परस्पर जुड़ा फ़िशिंग बुनियादी ढांचा
BuyTRX डोमेन नेटवर्क अवलोकन — परस्पर जुड़ा फ़िशिंग बुनियादी ढांचा
BuyTRX धन प्रवाह — चोरी किया गया TRX लॉन्ड्रिंग श्रृंखला के माध्यम से कैसे चलता है
BuyTRX धन प्रवाह — चोरी किया गया TRX लॉन्ड्रिंग श्रृंखला के माध्यम से कैसे चलता है

यदि आपने किसी भी BUYTRX डोमेन के साथ इंटरैक्शन किया है, तो तुरंत अपनी TRON टोकन अनुमोदनों की जाँच करें। किसी भी संदिग्ध अनुमोदन को रद्द करें और उन डोमेनों की रिपोर्ट करें।

टोकन अनुमोदन रद्द करें डोमेन की रिपोर्ट करें डिस्ट्रॉयलিস্ট टूल्स
#CryptoDrainer#BuyTRX#OSINT#PhishingInfrastructure#TronScam

संबंधित जांचें

क्रिप्टो ड्रेनर टूलकिट: एंजेल ड्रेनर पुनर्विक्रेता बेनकाब
गहन जांच
क्रिप्टो ड्रेनर टूलकिट: एंजेल ड्रेनर पुनर्विक्रेता बेनकाब
ट्रस्ट वॉलेट फ़िशिंग पैनल: $239K चोरी, 6 ऑपरेटर
गहन जांच
ट्रस्ट वॉलेट फ़िशिंग पैनल: $239K चोरी, 6 ऑपरेटर
ठग बेनकाब: 4 घोटाला बैकएंड्स का विश्लेषण
जांच
ठग बेनकाब: 4 घोटाला बैकएंड्स का विश्लेषण
पारदर्शिता सूचना। PhishDestroy एक गैर-व्यावसायिक, स्वतंत्र परियोजना है। हमारा शोध घोटाले के बुनियादी ढांचे और इसे सक्षम करने वाली सेवाओं के प्रति अंतर्निहित पक्षपात को प्रतिबिंबित कर सकता है। हम पाठकों को सभी सामग्री का आलोचनात्मक और स्वतंत्र मूल्यांकन करने के लिए प्रोत्साहित करते हैं। हमारा पूरा पारदर्शिता विवरण पढ़ें →