BUYTRX smascherato: 55 domini, zero API di autenticazione e un attacco di drenaggio delle autorizzazioni su TRON analizzato nei dettagli
Operazione di phishing relativa all’approvazione di TRON USDT · Backend smascherato · Prove on-chain · Finanziamento tramite Google Ads

Che cos'è BUYTRX?
BUYTRX è un'operazione di sottrazione di USDT basata su TRON, mascherata da servizio legittimo di scambio di criptovalute. I siti presentano interfacce dall'aspetto professionale che promettono di convertire USDT in TRX a tassi vantaggiosi. Ma lo "scambio" non avviene mai.
Alla vittima viene invece chiesto di firmare un approve(MAX_UINT256) transazione sullo smart contract USDT (TRC-20). Questa singola firma autorizza il contratto di drenaggio dell'autore dell'attacco autorizzazione illimitata per trasferire l'intero saldo in USDT della vittima — ora e per sempre — fino a quando l'approvazione non venga revocata manualmente.
Una volta confermata l'approvazione sulla blockchain, l'operatore chiama transferFrom() per svuotare il portafoglio. La vittima non si accorge di nulla. Nessuno scambio. Nessun TRX. Solo un saldo a zero.
La chiamata a `approve()` non trasferisce token, ma concede l'autorizzazione. Il furto vero e proprio avviene in modo invisibile tramite `transferFrom()` pochi secondi o ore dopo. La maggior parte delle vittime non collega mai le due transazioni.
L'operazione è attiva almeno da Luglio 2025, passando da una dozzina di domini all’altro man mano che quelli vecchi vengono segnalati e rimossi. L’infrastruttura si adatta più rapidamente di quanto la maggior parte dei registrar e dei provider di hosting riesca a reagire.
Oltre 55 domini — Un'unica operazione
La nostra indagine ha portato alla luce una vasta rete di domini di phishing, che ospitano tutti interfacce di swap BUYTRX identiche o quasi identiche. I domini si estendono su Cloudflare Workers, Cloudflare Pages e server di origine bare-metal.
Domini attualmente attivi
| Dominio | Tipo | Hosting |
|---|---|---|
trxev.com | Primaria | Cloudflare |
trxmo.com | Primaria + API | Cloudflare |
buytrx.mov | Attivo | Cloudflare |
buytrx.cx | Attivo | Cloudflare |
trxdc.org | Attivo | Cloudflare |
buytrx.bet | Attivo | Cloudflare |
buytrx.store | Attivo | Cloudflare |
buytrx.click | Attivo | Cloudflare |
trxfx.com | Attivo | Cloudflare |
trxsw.org | Attivo | Cloudflare |
Cloudflare Workers e Pages
| Sottodominio | Piattaforma |
|---|---|
shrill-haze-5ff7.buytrx.workers.dev | Lavoratori |
exchange.swap-trx.workers.dev | Lavoratori |
buytrx.pages.dev | Pagine |
swap-trx.pages.dev | Pagine |
Server di origine
| Indirizzo IP | Fornitore | Scopo |
|---|---|---|
107.155.88.198 | HIVELOCITY (AS29802) | Origine primaria |
46.21.151.194 | HVC-AS | Origine secondaria |
Un ulteriore Oltre 50 domini riciclati sono stati individuati, tra cui:
buytrx.net buytrx.org buytrx.io buytrx.co buytrx.exchange buytrx.app buytrx.pro buytrx.cc buytrx.xyz buytrx.site buytrx.online buytrx.live buytrx.fun buytrx.top buytrx.vip trxswap.org trxswap.net trxswap.io trxswap.com trxflip.com trxev.org trxmo.org trxnw.com trxfn.com trxwb.com swaptrx.org swaptrx.net swaptrx.io e molti altri ancora.
Oltre 50 domini eliminati e sostituiti. L'infrastruttura si adatta più rapidamente di quanto la maggior parte dei registrar riesca a reagire.
API Zero Auth — Il backend completamente aperto
L'operazione BUYTRX viene eseguita su 6 endpoint dell'API di Express.js condividendo un unico database. L'API principale è ospitata su api.trxmo.com. Ogni singolo endpoint restituisce i dati completi della vittima senza alcuna autenticazione.
Endpoint non autenticati
| Endpoint | Resi |
|---|---|
GET /api/records | Tutti i dati relativi alle vittime |
GET /api/records/:id | Dettagli sulla singola vittima |
GET /api/stats | Statistiche operative |
POST /api/records | Crea un nuovo record |
PUT /api/records/:id | Aggiorna record |
DELETE /api/records/:id | Elimina record |
Pannello di controllo amministratore senza autenticazione
È possibile accedere al pannello di amministrazione all'indirizzo /8fb198a6e9b7af32 — un percorso di hash basato sulla “sicurezza per oscurità” con autenticazione zero. Fornisce un feed in tempo reale sulle vittime che mostra:
- Indirizzi dei portafogli di ciascuna vittima
- ID delle transazioni (hash di approvazione)
- Indirizzi IP delle vittime
- Data e ora di ogni interazione
- Importi approvati (in genere MAX_UINT256)
{
"records": [
{
"id": 1,
"wallet": "TKjdnS...redacted",
"txHash": "a8f3e2...redacted",
"ip": "185.xxx.xxx.xxx",
"amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
"status": "approved",
"createdAt": "2026-02-14T09:23:41.000Z"
}
]
} Sono state individuate ulteriori vulnerabilità:
- Limite di velocità debole: 6 richieste per finestra, facilmente aggirabili con la rotazione degli indirizzi IP
- Vulnerabilità nell'intestazione di Express.js:
X-Powered-By: Expresssvela la tecnologia dei server - Potenziale vulnerabilità XSS nascosta: Il pannello di amministrazione visualizza stringhe user-agent non sanificate
L'indirizzo del portafoglio, l'IP, l'hash della transazione e l'importo autorizzato di ogni vittima sono accessibili con una semplice richiesta GET non autenticata. Zero chiavi API. Zero token. Zero sicurezza.
Prove on-chain
I contratti “drainer” sono stati distribuiti sulla rete TRON e sono stati utilizzati attivamente per elaborare le transazioni di approvazione da parte delle vittime.
| Contratto | Etichetta | Implementato | Transazioni |
|---|---|---|---|
TRnruCYe2k...UPJ8
|
SwapTRX (attuale) | 13 dicembre 2025 | Attivo |
TXwXfz8Bp9...uHnS
|
Contratto pregresso | In precedenza | 323 registrati |
4 transazioni di approvazione confermate sulla blockchain sono stati abbinati ai record delle vittime presenti nel database violato (record da 1 a 10). I record da 11 a 30 sembrano essere dati di test dell'operatore — portafogli di prova con importi modesti, schemi temporali sequenziali e intervalli di indirizzi IP identici.
Integrazione con WalletConnect
I siti di phishing utilizzano WalletConnect per attivare la richiesta di approvazione nei portafogli mobili. L'operazione utilizza un unico ID del progetto WalletConnect:
31eee2e7b3ff1dc4ebdfa6f839467664
Questo ID progetto deve essere segnalato a WalletConnect affinché venga immediatamente inserito nella lista nera.
Seguire il flusso di denaro — Google Ads e attribuzione
Forse il dato più inquietante: Gli operatori di BUYTRX pagano Google per pubblicizzare il loro drainer.
| Indicatore | Valore |
|---|---|
| Account Google Ads |
AW-17287232508
|
| Monitoraggio delle conversioni | Registra le approvazioni andate a buon fine come conversioni |
| Contatto su Telegram | @buytrx9 ("Buytron") |
| Lingua del pannello di amministrazione | Cinese semplificato |
L'account Google Ads tiene traccia di approvazioni di portafogli andate a buon fine come eventi di conversione. Ciò significa che la piattaforma pubblicitaria di Google sta letteralmente ottimizzando la distribuzione degli annunci per trovare altre vittime di un programma di sottrazione di criptovalute — e incassando il compenso per il servizio.
La dashboard di amministrazione è interamente in Cinese semplificato, con elementi dell'interfaccia utente come 日間 / 夜間 (tasti di alternanza tra modalità giorno/notte) e commenti al codice sorgente in cinese. L'account Telegram @buytrx9 funge da canale di contatto principale con l'operatore.
Google viene pagata per ottimizzare la diffusione di annunci pubblicitari a favore di un'operazione di phishing. Gli inserzionisti non si nascondono: pagano per ottenere traffico mirato e misurano il "successo" in base al numero di conti svuotati.
Raccomandazioni per le rimozioni
Questa operazione coinvolge diversi fornitori di servizi. È necessario garantire una comunicazione coordinata su tutti i fronti:
Cloudflare
Segnala casi di abuso da parte degli utenti, abuso delle pagine e record DNS per tutti gli oltre 55 domini. Segnalazione di abusi in blocco con elenco completo dei domini.
Registrar di domini
Oltre 55 domini distribuiti su diversi registrar. Per ciascuno di essi è necessario presentare una segnalazione di abuso specifica, indicando come motivo il phishing e la frode finanziaria.
HIVELOCITY
Server Origin all'indirizzo 107.155.88.198 che ospita l'API di backend. Segnalazione relativa all'hosting di un'infrastruttura di phishing.
WalletConnect
ID del progetto "Blacklist" 31eee2e7b3ff1dc4ebdfa6f839467664 per impedire che i siti di phishing attivino le richieste di firma del portafoglio.
Tronscan
Contratti per impianti di drenaggio a bandiera TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 e TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.
Google Ads
Segnala account AW-17287232508 per la pubblicità finalizzata al phishing e alle frodi finanziarie. Il monitoraggio delle conversioni dimostra l'intenzione dolosa.
Prove e dati di riferimento
Analisi tecnica completa: domini, API, contratti e attribuzione.
Oltre 55 domini con dettagli sull'hosting, informazioni sulla registrazione e stato attuale.
Risposte API non censurate provenienti dal backend non autenticato. 30 record.
Contratto "Active Drainer" su TRON. Visualizza le transazioni e le approvazioni sulla blockchain.
Verifica. Revoca. Segnala.
Se hai interagito con uno qualsiasi dei domini BUYTRX, controlla immediatamente le tue autorizzazioni relative ai token TRON. Revoca eventuali autorizzazioni sospette e segnala i domini.





