Langsung ke konten utama
Kembali ke Berita
PEMBONGKARAN INFRASTRUKTUR DRAINER

BUYTRX Terbongkar: 55 Domain, Nol API Otorisasi, dan Analisis Mendalam atas Penipuan Penguras Izin TRON

Operasi phishing persetujuan TRON USDT · Backend yang terungkap · Bukti on-chain · Pendanaan melalui Google Ads

BuyTRX Drainer Terungkap
0+
Domain Phishing
0
Catatan Korban yang Terungkap
0
Otentikasi API
$0
Biaya untuk Mengakses Seluruh Data

Apa Itu BUYTRX?

BUYTRX adalah operasi penipuan penguras dana USDT berbasis TRON yang menyamar sebagai layanan pertukaran mata uang kripto yang sah. Situs-situs tersebut menampilkan antarmuka yang tampak profesional dan menjanjikan konversi USDT ke TRX dengan kurs yang menggiurkan. Namun, "pertukaran" tersebut tidak pernah terjadi.

Sebaliknya, korban diminta untuk menandatangani sebuah approve(MAX_UINT256) transaksi pada kontrak pintar USDT (TRC-20). Tanda tangan tunggal ini memberikan wewenang kepada kontrak drainer milik penyerang izin tanpa batas untuk mentransfer seluruh saldo USDT korban — mulai sekarang dan selamanya — hingga persetujuan tersebut dicabut secara manual.

Setelah persetujuan dikonfirmasi di dalam blockchain, operator memanggil transferFrom() untuk menguras dompet tersebut. Korban tidak melihat apa-apa. Tidak ada pertukaran. Tidak ada TRX. Hanya saldo yang kosong.

Satu tanda tangan. Akses tanpa batas. Kemampuan pembuangan permanen.

Panggilan fungsi `approve()` tidak mentransfer token — melainkan memberikan izin. Pencurian yang sebenarnya terjadi secara diam-diam melalui fungsi `transferFrom()` beberapa detik atau jam kemudian. Sebagian besar korban tidak pernah menyadari adanya hubungan antara kedua transaksi tersebut.

Operasi tersebut telah berjalan setidaknya sejak Juli 2025, berpindah-pindah di antara puluhan domain seiring domain-domain lama dilaporkan dan ditutup. Infrastruktur tersebut beradaptasi lebih cepat daripada kemampuan sebagian besar penyedia pendaftaran domain dan penyedia layanan hosting untuk merespons.

55+ Domain — Satu Proses

Penyelidikan kami mengungkap jaringan domain phishing yang sangat luas, yang semuanya menampilkan antarmuka swap BUYTRX yang identik atau hampir identik. Domain-domain tersebut tersebar di Cloudflare Workers, Cloudflare Pages, dan server asal bare-metal.

Domain yang Saat Ini Aktif

DomainJenisLayanan Hosting
trxev.comSekolah DasarCloudflare
trxmo.comSekolah Dasar + APICloudflare
buytrx.movAktifCloudflare
buytrx.cxAktifCloudflare
trxdc.orgAktifCloudflare
buytrx.betAktifCloudflare
buytrx.storeAktifCloudflare
buytrx.clickAktifCloudflare
trxfx.comAktifCloudflare
trxsw.orgAktifCloudflare

Cloudflare Workers & Pages

SubdomainPlatform
shrill-haze-5ff7.buytrx.workers.devPekerja
exchange.swap-trx.workers.devPekerja
buytrx.pages.devHalaman
swap-trx.pages.devHalaman

Server Asal

Alamat IPPenyediaTujuan
107.155.88.198HIVELOCITY (AS29802)Asal utama
46.21.151.194HVC-ASAsal sekunder

Selain itu, Lebih dari 50 domain daur ulang telah diidentifikasi, antara lain:

buytrx.net buytrx.org buytrx.io buytrx.co buytrx.exchange buytrx.app buytrx.pro buytrx.cc buytrx.xyz buytrx.site buytrx.online buytrx.live buytrx.fun buytrx.top buytrx.vip trxswap.org trxswap.net trxswap.io trxswap.com trxflip.com trxev.org trxmo.org trxnw.com trxfn.com trxwb.com swaptrx.org swaptrx.net swaptrx.io dan masih banyak lagi.

Lebih dari 50 domain telah dinonaktifkan dan diganti. Infrastruktur ini beradaptasi lebih cepat daripada respons kebanyakan penyedia layanan pendaftaran domain.

API Tanpa Otentikasi — Bagian Belakang yang Terbuka Lebar

Operasi BUYTRX berjalan di 6 Titik akhir API Express.js berbagi satu basis data. API utamanya dihosting di api.trxmo.com. Setiap titik akhir mengembalikan data lengkap korban tanpa otentikasi apa pun.

Titik Akhir yang Belum Terotentikasi

Titik akhirPengembalian Barang
GET /api/recordsSemua catatan korban
GET /api/records/:idRincian korban per orang
GET /api/statsStatistik operasi
POST /api/recordsBuat catatan baru
PUT /api/records/:idPerbarui catatan
DELETE /api/records/:idHapus catatan

Dasbor Admin Tanpa Otentikasi

Panel admin dapat diakses di /8fb198a6e9b7af32 — jalur hash "keamanan melalui kerahasiaan" dengan tanpa otentikasi. Fitur ini menampilkan umpan informasi korban secara real-time yang mencakup:

  • Alamat dompet setiap korban
  • ID Transaksi (hash persetujuan)
  • Alamat IP para korban
  • Cap waktu setiap interaksi
  • Jumlah persetujuan (biasanya MAX_UINT256)
RESPON API YANG TIDAK TEROTENTIKASI — api.trxmo.com
{
  "records": [
    {
      "id": 1,
      "wallet": "TKjdnS...redacted",
      "txHash": "a8f3e2...redacted",
      "ip": "185.xxx.xxx.xxx",
      "amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
      "status": "approved",
      "createdAt": "2026-02-14T09:23:41.000Z"
    }
  ]
}

Kerentanan tambahan yang ditemukan:

  • Faktor pembatas yang lemah: 6 permintaan per jendela, dapat dengan mudah dilewati dengan rotasi IP
  • Kebocoran header Express.js: X-Powered-By: Express mengungkap teknologi server
  • Potensi XSS tersembunyi: Panel admin menampilkan string user-agent yang belum disterilkan
Para operator membangun sebuah sistem pembuangan, tetapi lupa mengamankan bagian belakang sistem mereka sendiri.

Alamat dompet, alamat IP, hash transaksi, dan jumlah persetujuan setiap korban dapat diakses hanya dengan satu permintaan GET yang tidak terotentikasi. Tanpa kunci API. Tanpa token. Tanpa keamanan.

Bukti dalam Rantai Blok

Kontrak drainer tersebut telah diluncurkan di jaringan TRON dan telah secara aktif digunakan untuk memproses transaksi persetujuan dari para korban.

KontrakLabelTelah diterapkanTransaksi
TRnruCYe2k...UPJ8 SwapTRX (Saat Ini) 13 Desember 2025 Aktif
TXwXfz8Bp9...uHnS Kontrak Lama Sebelumnya 323 tercatat

4 transaksi persetujuan on-chain yang telah dikonfirmasi telah dicocokkan dengan catatan korban dalam basis data yang bocor (catatan 1–10). Catatan 11–30 tampaknya merupakan data uji operator — dompet uji dengan jumlah kecil, pola waktu berurutan, dan rentang IP yang sama.

Integrasi WalletConnect

Situs-situs phishing tersebut menggunakan WalletConnect untuk memicu munculnya permintaan persetujuan penandatanganan di dompet seluler. Operasi ini menggunakan satu ID Proyek WalletConnect:

31eee2e7b3ff1dc4ebdfa6f839467664

ID Proyek ini harus dilaporkan ke WalletConnect agar segera dimasukkan ke dalam daftar hitam.

Menelusuri Jejak Uang — Google Ads & Atribusi

Mungkin temuan yang paling mengkhawatirkan: Operator BUYTRX membayar Google untuk mengiklankan drainer mereka.

Indikator Nilai
Akun Google Ads AW-17287232508
Pelacakan Konversi Melacak persetujuan yang berhasil sebagai konversi
Kontak Telegram @buytrx9 ("Buytron")
Bahasa Panel AdminBahasa Mandarin Sederhana

Akun Google Ads melacak persetujuan dompet yang berhasil sebagai peristiwa konversi. Artinya, platform periklanan Google secara harfiah mengoptimalkan penayangan iklan untuk mencari lebih banyak korban bagi program penguras kripto — dan menerima bayaran atas layanan tersebut.

Dasbor admin sepenuhnya tersedia dalam Bahasa Mandarin Sederhana, dengan elemen antarmuka pengguna seperti 日間 / 夜間 (tombol pengalih mode siang/malam) dan komentar kode sumber dalam bahasa Mandarin. Nama pengguna Telegram @buytrx9 berfungsi sebagai saluran kontak utama bagi operator.

Mereka menjalankan kampanye Google Ads yang melacak pengosongan dompet yang berhasil sebagai peristiwa konversi.

Google menerima bayaran untuk mengoptimalkan penayangan iklan demi operasi phishing. Para pengiklan tidak berusaha menyembunyikan hal ini — mereka membayar untuk lalu lintas yang ditargetkan dan mengukur "kesuksesan" berdasarkan berapa banyak dompet yang berhasil dikuras.

Rekomendasi Penghapusan

Operasi ini melibatkan sejumlah penyedia layanan. Diperlukan pelaporan yang terkoordinasi di seluruh aspek:

Cloudflare

Laporkan penyalahgunaan oleh pekerja, penyalahgunaan halaman, dan catatan DNS untuk semua domain (lebih dari 55 domain). Laporan penyalahgunaan massal dengan daftar domain lengkap.

Penyedia Layanan Pendaftaran Nama Domain

Lebih dari 55 domain yang tersebar di berbagai penyedia layanan pendaftaran domain. Masing-masing memerlukan laporan penyalahgunaan tersendiri yang menyebutkan phishing dan penipuan keuangan.

HIVELOCITY

Server Origin di alamat 107.155.88.198 yang menghosting API backend. Laporan terkait penggunaan server tersebut untuk menghosting infrastruktur phishing.

WalletConnect

ID Proyek Daftar Hitam 31eee2e7b3ff1dc4ebdfa6f839467664 untuk mencegah situs phishing memicu munculnya permintaan penandatanganan dompet.

Tronscan

Kontrak penyedia jasa pengeringan bendera TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 dan TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.

Google Ads

Laporkan akun AW-17287232508 untuk mengiklankan phishing dan penipuan keuangan. Pelacakan konversi membuktikan adanya niat jahat.

Bukti & Data Sumber

Pembongkaran Infrastruktur Secara Menyeluruh

Analisis teknis menyeluruh: domain, API, kontrak, dan atribusi.

Daftar Domain & Rinciannya

Lebih dari 55 domain beserta rincian hosting, informasi pendaftaran, dan status terkini.

Kumpulan Data Korban API Mentah

API yang belum disensor dari backend yang tidak terotentikasi. 30 catatan.

Tronscan: Kontrak SwapTRX

Kontrak Active Drainer di TRON. Lihat transaksi dan persetujuan di blockchain.

Periksa. Cabut. Laporkan.

Jaringan domain phishing BuyTRX — peta klaster terperinci
Jaringan domain phishing BuyTRX — peta klaster terperinci
Gambaran umum jaringan domain BuyTRX — infrastruktur phishing yang saling terhubung
Gambaran umum jaringan domain BuyTRX — infrastruktur phishing yang saling terhubung
Aliran dana BuyTRX — bagaimana TRX yang dicuri berpindah melalui rantai pencucian uang
Aliran dana BuyTRX — bagaimana TRX yang dicuri berpindah melalui rantai pencucian uang

Jika Anda pernah berinteraksi dengan domain BUYTRX mana pun, segera periksa izin token TRON Anda. Cabut semua izin yang mencurigakan dan laporkan domain-domain tersebut.

Mencabut Persetujuan Token Laporkan Domain Alat DestroyList
#CryptoDrainer#BuyTRX#OSINT#PhishingInfrastructure#TronScam

Penyelidikan Terkait

Crypto Drainer Toolkit: Para Penjual Kembali Angel Drainer Terbongkar
PENELITIAN MENDALAM
Crypto Drainer Toolkit: Para Penjual Kembali Angel Drainer Terbongkar
Panel Phishing Trust Wallet: $239K Dicuri, 6 Pelaku
PENELITIAN MENDALAM
Panel Phishing Trust Wallet: $239K Dicuri, 6 Pelaku
Penipu Terbongkar: 4 Sistem Belakang Penipuan Dibedah
PENYELIDIKAN
Penipu Terbongkar: 4 Sistem Belakang Penipuan Dibedah
Pemberitahuan mengenai transparansi. PhishDestroy adalah proyek independen yang bersifat non-komersial. Penelitian kami mungkin mencerminkan bias bawaan terhadap infrastruktur penipuan dan layanan yang mendukungnya. Kami mendorong para pembaca untuk mengevaluasi semua materi secara kritis dan mandiri. Baca pernyataan transparansi lengkap kami →