Vai al contenuto principale
Torna alle notizie
SMANTELLAMENTO DELLE INFRASTRUTTURE DI DRAINER

BUYTRX smascherato: 55 domini, zero API di autenticazione e un attacco di drenaggio delle autorizzazioni su TRON analizzato nei dettagli

Operazione di phishing relativa all’approvazione di TRON USDT · Backend smascherato · Prove on-chain · Finanziamento tramite Google Ads

BuyTRX Drainer: la verità svelata
0+
Domini di phishing
0
Documentazione relativa alle vittime rese pubbliche
0
Autenticazione API
$0
Costo per l'accesso a tutti i dati

Che cos'è BUYTRX?

BUYTRX è un'operazione di sottrazione di USDT basata su TRON, mascherata da servizio legittimo di scambio di criptovalute. I siti presentano interfacce dall'aspetto professionale che promettono di convertire USDT in TRX a tassi vantaggiosi. Ma lo "scambio" non avviene mai.

Alla vittima viene invece chiesto di firmare un approve(MAX_UINT256) transazione sullo smart contract USDT (TRC-20). Questa singola firma autorizza il contratto di drenaggio dell'autore dell'attacco autorizzazione illimitata per trasferire l'intero saldo in USDT della vittima — ora e per sempre — fino a quando l'approvazione non venga revocata manualmente.

Una volta confermata l'approvazione sulla blockchain, l'operatore chiama transferFrom() per svuotare il portafoglio. La vittima non si accorge di nulla. Nessuno scambio. Nessun TRX. Solo un saldo a zero.

Una firma. Accesso illimitato. Capacità di scarico permanente.

La chiamata a `approve()` non trasferisce token, ma concede l'autorizzazione. Il furto vero e proprio avviene in modo invisibile tramite `transferFrom()` pochi secondi o ore dopo. La maggior parte delle vittime non collega mai le due transazioni.

L'operazione è attiva almeno da Luglio 2025, passando da una dozzina di domini all’altro man mano che quelli vecchi vengono segnalati e rimossi. L’infrastruttura si adatta più rapidamente di quanto la maggior parte dei registrar e dei provider di hosting riesca a reagire.

Oltre 55 domini — Un'unica operazione

La nostra indagine ha portato alla luce una vasta rete di domini di phishing, che ospitano tutti interfacce di swap BUYTRX identiche o quasi identiche. I domini si estendono su Cloudflare Workers, Cloudflare Pages e server di origine bare-metal.

Domini attualmente attivi

DominioTipoHosting
trxev.comPrimariaCloudflare
trxmo.comPrimaria + APICloudflare
buytrx.movAttivoCloudflare
buytrx.cxAttivoCloudflare
trxdc.orgAttivoCloudflare
buytrx.betAttivoCloudflare
buytrx.storeAttivoCloudflare
buytrx.clickAttivoCloudflare
trxfx.comAttivoCloudflare
trxsw.orgAttivoCloudflare

Cloudflare Workers e Pages

SottodominioPiattaforma
shrill-haze-5ff7.buytrx.workers.devLavoratori
exchange.swap-trx.workers.devLavoratori
buytrx.pages.devPagine
swap-trx.pages.devPagine

Server di origine

Indirizzo IPFornitoreScopo
107.155.88.198HIVELOCITY (AS29802)Origine primaria
46.21.151.194HVC-ASOrigine secondaria

Un ulteriore Oltre 50 domini riciclati sono stati individuati, tra cui:

buytrx.net buytrx.org buytrx.io buytrx.co buytrx.exchange buytrx.app buytrx.pro buytrx.cc buytrx.xyz buytrx.site buytrx.online buytrx.live buytrx.fun buytrx.top buytrx.vip trxswap.org trxswap.net trxswap.io trxswap.com trxflip.com trxev.org trxmo.org trxnw.com trxfn.com trxwb.com swaptrx.org swaptrx.net swaptrx.io e molti altri ancora.

Oltre 50 domini eliminati e sostituiti. L'infrastruttura si adatta più rapidamente di quanto la maggior parte dei registrar riesca a reagire.

API Zero Auth — Il backend completamente aperto

L'operazione BUYTRX viene eseguita su 6 endpoint dell'API di Express.js condividendo un unico database. L'API principale è ospitata su api.trxmo.com. Ogni singolo endpoint restituisce i dati completi della vittima senza alcuna autenticazione.

Endpoint non autenticati

EndpointResi
GET /api/recordsTutti i dati relativi alle vittime
GET /api/records/:idDettagli sulla singola vittima
GET /api/statsStatistiche operative
POST /api/recordsCrea un nuovo record
PUT /api/records/:idAggiorna record
DELETE /api/records/:idElimina record

Pannello di controllo amministratore senza autenticazione

È possibile accedere al pannello di amministrazione all'indirizzo /8fb198a6e9b7af32 — un percorso di hash basato sulla “sicurezza per oscurità” con autenticazione zero. Fornisce un feed in tempo reale sulle vittime che mostra:

  • Indirizzi dei portafogli di ciascuna vittima
  • ID delle transazioni (hash di approvazione)
  • Indirizzi IP delle vittime
  • Data e ora di ogni interazione
  • Importi approvati (in genere MAX_UINT256)
RISPOSTA API NON AUTENTICATA — api.trxmo.com
{
  "records": [
    {
      "id": 1,
      "wallet": "TKjdnS...redacted",
      "txHash": "a8f3e2...redacted",
      "ip": "185.xxx.xxx.xxx",
      "amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
      "status": "approved",
      "createdAt": "2026-02-14T09:23:41.000Z"
    }
  ]
}

Sono state individuate ulteriori vulnerabilità:

  • Limite di velocità debole: 6 richieste per finestra, facilmente aggirabili con la rotazione degli indirizzi IP
  • Vulnerabilità nell'intestazione di Express.js: X-Powered-By: Express svela la tecnologia dei server
  • Potenziale vulnerabilità XSS nascosta: Il pannello di amministrazione visualizza stringhe user-agent non sanificate
Gli operatori hanno creato uno strumento di drenaggio, ma hanno dimenticato di proteggere il proprio backend.

L'indirizzo del portafoglio, l'IP, l'hash della transazione e l'importo autorizzato di ogni vittima sono accessibili con una semplice richiesta GET non autenticata. Zero chiavi API. Zero token. Zero sicurezza.

Prove on-chain

I contratti “drainer” sono stati distribuiti sulla rete TRON e sono stati utilizzati attivamente per elaborare le transazioni di approvazione da parte delle vittime.

ContrattoEtichettaImplementatoTransazioni
TRnruCYe2k...UPJ8 SwapTRX (attuale) 13 dicembre 2025 Attivo
TXwXfz8Bp9...uHnS Contratto pregresso In precedenza 323 registrati

4 transazioni di approvazione confermate sulla blockchain sono stati abbinati ai record delle vittime presenti nel database violato (record da 1 a 10). I record da 11 a 30 sembrano essere dati di test dell'operatore — portafogli di prova con importi modesti, schemi temporali sequenziali e intervalli di indirizzi IP identici.

Integrazione con WalletConnect

I siti di phishing utilizzano WalletConnect per attivare la richiesta di approvazione nei portafogli mobili. L'operazione utilizza un unico ID del progetto WalletConnect:

31eee2e7b3ff1dc4ebdfa6f839467664

Questo ID progetto deve essere segnalato a WalletConnect affinché venga immediatamente inserito nella lista nera.

Seguire il flusso di denaro — Google Ads e attribuzione

Forse il dato più inquietante: Gli operatori di BUYTRX pagano Google per pubblicizzare il loro drainer.

Indicatore Valore
Account Google Ads AW-17287232508
Monitoraggio delle conversioni Registra le approvazioni andate a buon fine come conversioni
Contatto su Telegram @buytrx9 ("Buytron")
Lingua del pannello di amministrazioneCinese semplificato

L'account Google Ads tiene traccia di approvazioni di portafogli andate a buon fine come eventi di conversione. Ciò significa che la piattaforma pubblicitaria di Google sta letteralmente ottimizzando la distribuzione degli annunci per trovare altre vittime di un programma di sottrazione di criptovalute — e incassando il compenso per il servizio.

La dashboard di amministrazione è interamente in Cinese semplificato, con elementi dell'interfaccia utente come 日間 / 夜間 (tasti di alternanza tra modalità giorno/notte) e commenti al codice sorgente in cinese. L'account Telegram @buytrx9 funge da canale di contatto principale con l'operatore.

Stanno conducendo campagne Google Ads che registrano i casi in cui gli utenti svuotano il proprio portafoglio come eventi di conversione.

Google viene pagata per ottimizzare la diffusione di annunci pubblicitari a favore di un'operazione di phishing. Gli inserzionisti non si nascondono: pagano per ottenere traffico mirato e misurano il "successo" in base al numero di conti svuotati.

Raccomandazioni per le rimozioni

Questa operazione coinvolge diversi fornitori di servizi. È necessario garantire una comunicazione coordinata su tutti i fronti:

Cloudflare

Segnala casi di abuso da parte degli utenti, abuso delle pagine e record DNS per tutti gli oltre 55 domini. Segnalazione di abusi in blocco con elenco completo dei domini.

Registrar di domini

Oltre 55 domini distribuiti su diversi registrar. Per ciascuno di essi è necessario presentare una segnalazione di abuso specifica, indicando come motivo il phishing e la frode finanziaria.

HIVELOCITY

Server Origin all'indirizzo 107.155.88.198 che ospita l'API di backend. Segnalazione relativa all'hosting di un'infrastruttura di phishing.

WalletConnect

ID del progetto "Blacklist" 31eee2e7b3ff1dc4ebdfa6f839467664 per impedire che i siti di phishing attivino le richieste di firma del portafoglio.

Tronscan

Contratti per impianti di drenaggio a bandiera TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 e TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.

Google Ads

Segnala account AW-17287232508 per la pubblicità finalizzata al phishing e alle frodi finanziarie. Il monitoraggio delle conversioni dimostra l'intenzione dolosa.

Prove e dati di riferimento

Smantellamento completo dell'infrastruttura

Analisi tecnica completa: domini, API, contratti e attribuzione.

Elenco e dettagli dei domini

Oltre 55 domini con dettagli sull'hosting, informazioni sulla registrazione e stato attuale.

Dump dei dati grezzi delle vittime dell'API

Risposte API non censurate provenienti dal backend non autenticato. 30 record.

Tronscan: Contratto SwapTRX

Contratto "Active Drainer" su TRON. Visualizza le transazioni e le approvazioni sulla blockchain.

Verifica. Revoca. Segnala.

Rete di domini di phishing BuyTRX — mappa dettagliata dei cluster
Rete di domini di phishing BuyTRX — mappa dettagliata dei cluster
Panoramica sulla rete di domini BuyTRX — infrastruttura di phishing interconnessa
Panoramica sulla rete di domini BuyTRX — infrastruttura di phishing interconnessa
Flusso di denaro BuyTRX — come i TRX rubati si muovono lungo la catena di riciclaggio
Flusso di denaro BuyTRX — come i TRX rubati si muovono lungo la catena di riciclaggio

Se hai interagito con uno qualsiasi dei domini BUYTRX, controlla immediatamente le tue autorizzazioni relative ai token TRON. Revoca eventuali autorizzazioni sospette e segnala i domini.

Revoca delle autorizzazioni dei token Segnala un dominio Strumenti DestroyList
#CryptoDrainer#BuyTRX#OSINT#PhishingInfrastructure#TronScam

Indagini correlate

Crypto Drainer Toolkit: smascherati i rivenditori di Angel Drainer
INDAGINE APPROFONDITA
Crypto Drainer Toolkit: smascherati i rivenditori di Angel Drainer
Panel sul phishing di Trust Wallet: 239.000 dollari rubati, 6 operatori
INDAGINE APPROFONDITA
Panel sul phishing di Trust Wallet: 239.000 dollari rubati, 6 operatori
Truffatori smascherati: analisi approfondita di 4 sistemi di gestione delle truffe
INDAGINE
Truffatori smascherati: analisi approfondita di 4 sistemi di gestione delle truffe
Avviso sulla trasparenza. PhishDestroy è un progetto indipendente e senza fini di lucro. La nostra ricerca potrebbe riflettere un pregiudizio intrinseco nei confronti delle infrastrutture utilizzate per le truffe e dei servizi che le rendono possibili. Invitiamo i lettori a valutare tutto il materiale in modo critico e autonomo. Leggi la nostra dichiarazione completa sulla trasparenza →