メインコンテンツへスキップ
ニュースに戻る
ドレイナー・インフラストラクチャの解体

BUYTRXの全貌:55のドメイン、認証APIゼロ、そしてTRON承認機能を利用した資金流出事件を徹底分析

TRON USDT承認フィッシング攻撃・バックエンドの暴露・オンチェーンの証拠・Google Adsによる資金調達

「BuyTRX Drainer」の真相が明らかに
0+
フィッシングドメイン
0
被害者の個人情報が流出した
0
API認証
$0
すべてのデータにアクセスするための費用

BUYTRXとは?

BUYTRXは、正当な仮想通貨スワップサービスを装った、TRONベースのUSDT資金流出詐欺です。このサイトは、プロ仕様のインターフェースを備え、魅力的なレートでUSDTをTRXに交換すると謳っています。しかし、実際には「スワップ」は一切行われません。

その代わりに、被害者には次のような書類に署名するよう求められ、 approve(MAX_UINT256) USDT(TRC-20)スマートコントラクト上のトランザクション。この単一の署名により、攻撃者のドレイナーコントラクトに 無制限の権限 承認が手動で取り消されるまで、被害者のUSDT残高のすべてを——現在および将来にわたって——送金する。

オンチェーンで承認が確認されると、オペレーターは transferFrom() ウォレットを空にするためだ。被害者は何も気づかない。交換もなければ、TRXもない。ただ残高がゼロになっているだけだ。

1回の署名。無制限のアクセス権。恒久的な資金引き出し機能。

approve() の呼び出しではトークンは転送されず、単に許可を与えるだけです。実際の盗難は、数秒あるいは数時間後に transferFrom() を通じて、目立たない形で発生します。ほとんどの被害者は、この 2 つの取引を結びつけて考えません。

この作戦は、少なくとも 2025年7月、古いドメインが通報されて削除されるたびに、数十ものドメインを次々と切り替えていく。そのインフラは、ほとんどのレジストラやホスティングプロバイダーが対応できる速度よりも速く適応していく。

55以上のドメイン — 1回の操作で

調査の結果、フィッシングドメインからなる広範なネットワークが明らかになりました。これらのドメインはすべて、同一またはほぼ同一のBUYTRXスワップインターフェースを提供しています。これらのドメインは、Cloudflare Workers、Cloudflare Pages、およびベアメタルのオリジンサーバーにまたがっています。

現在有効なドメイン

ドメイン種類ホスティング
trxev.com初等Cloudflare
trxmo.comプライマリ + APICloudflare
buytrx.movアクティブCloudflare
buytrx.cxアクティブCloudflare
trxdc.orgアクティブCloudflare
buytrx.betアクティブCloudflare
buytrx.storeアクティブCloudflare
buytrx.clickアクティブCloudflare
trxfx.comアクティブCloudflare
trxsw.orgアクティブCloudflare

Cloudflare Workers および Pages

サブドメインプラットフォーム
shrill-haze-5ff7.buytrx.workers.dev労働者
exchange.swap-trx.workers.dev労働者
buytrx.pages.devページ
swap-trx.pages.devページ

オリジンサーバー

IPアドレスプロバイダー目的
107.155.88.198HIVELOCITY (AS29802)主な起源
46.21.151.194HVC-AS二次的な起源

さらに 50件以上の再生ドメイン 以下が特定された。具体的には:

buytrx.net buytrx.org buytrx.io buytrx.co buytrx.exchange buytrx.app buytrx.pro buytrx.cc buytrx.xyz buytrx.site buytrx.online buytrx.live buytrx.fun buytrx.top buytrx.vip trxswap.org trxswap.net trxswap.io trxswap.com trxflip.com trxev.org trxmo.org trxnw.com trxfn.com trxwb.com swaptrx.org swaptrx.net swaptrx.io その他にもたくさんあります。

50以上のドメインが削除され、置き換えられました。このインフラは、ほとんどのレジストラが対応するよりも速く適応します。

ゼロ認証API — バックエンドが丸見え

BUYTRX 操作は、 6. Express.js APIのエンドポイント 単一のデータベースを共有しています。主なAPIは、 api.trxmo.com. すべてのエンドポイントが被害者の完全なデータを返す 認証なし.

認証不要のエンドポイント

エンドポイント返品
GET /api/recordsすべての被害者記録
GET /api/records/:id被害者ごとの詳細
GET /api/stats運用統計
POST /api/records新しいレコードを作成する
PUT /api/records/:idレコードを更新する
DELETE /api/records/:idレコードを削除する

認証不要の管理ダッシュボード

管理パネルは以下のURLからアクセスできます。 /8fb198a6e9b7af32 — 「隠蔽によるセキュリティ」型のハッシュパスで、 認証なし. これには、以下の情報を表示するリアルタイムの被害者情報フィードが提供されています:

  • すべての被害者のウォレットアドレス
  • トランザクションID(承認ハッシュ)
  • 被害者のIPアドレス
  • すべてのやり取りのタイムスタンプ
  • 承認額(通常は MAX_UINT256)
認証されていないAPIレスポンス — api.trxmo.com
{
  "records": [
    {
      "id": 1,
      "wallet": "TKjdnS...redacted",
      "txHash": "a8f3e2...redacted",
      "ip": "185.xxx.xxx.xxx",
      "amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
      "status": "approved",
      "createdAt": "2026-02-14T09:23:41.000Z"
    }
  ]
}

新たに発見された脆弱性:

  • 弱い速度制限: 1つのウィンドウにつき6件のリクエスト。IPローテーションを使えば簡単に回避できる
  • Express.js のヘッダー情報漏洩: X-Powered-By: Express サーバー技術を明らかにする
  • 潜在的な保存型XSS: 管理パネルで、サニタイズされていないユーザーエージェント文字列が表示される
オペレーターたちはドレイナーを構築したが、自分たちのバックエンドのセキュリティ対策を怠ってしまった。

各被害者のウォレットアドレス、IPアドレス、トランザクションハッシュ、承認金額は、認証不要のGETリクエスト1回で入手できてしまう。APIキーも、トークンも、セキュリティも一切ない。

オンチェーンの証拠

これらのドレーナー契約はTRONネットワーク上に展開されており、被害者からの承認トランザクションを処理するために積極的に利用されてきた。

契約ラベル展開済み取引
TRnruCYe2k...UPJ8 SwapTRX(現在) 2025年12月13日 アクティブ
TXwXfz8Bp9...uHnS 旧契約 以前 323件記録済み

オンチェーンでの承認取引が4件確認されました は 流出したデータベース内の被害者記録と照合された(記録 1~10)。記録11~30は、どうやら 演算子のテストデータ — 少額の 残高、連続したタイミングパターン、および同一のIPアドレス範囲を持つテスト用ウォレット。

WalletConnectの連携

フィッシングサイトは、WalletConnect を利用して、モバイルウォレットに承認署名の プロンプトを表示させます。この操作では、単一の WalletConnect プロジェクト ID:

31eee2e7b3ff1dc4ebdfa6f839467664

このプロジェクトIDは、WalletConnectに報告し、直ちに ブラックリストに登録する必要があります。

資金の流れを追う — Google Ads とアトリビューション

おそらく最も不穏な調査結果は次の通りである: BUYTRXの運営者は、Googleに広告費を支払って、自社の ドレイナーを宣伝している.

指標
Google Ads アカウント AW-17287232508
コンバージョン追跡 承認された案件をコンバージョンとして追跡する
Telegramの連絡先 @buytrx9 (「バイトロン」)
管理パネルの言語簡体字中国語

Google Ads アカウントでは、以下の項目を追跡します コンバージョンイベントとしてのウォレット承認の成功。つまり、Googleの広告プラットフォームは、文字通り、暗号資産を搾取するマルウェアの新たな被害者を見つけるために広告配信を最適化しており、そのサービスに対して報酬を受け取っているということだ。

管理ダッシュボードはすべて 簡体字中国語、次のようなUI要素を備えており、 日間 / 夜間 (昼/夜モードの切り替え)や、中国語で書かれたソースコードのコメント。Telegramのユーザー名 @buytrx9 主要な事業者との連絡窓口としての役割を果たしています。

彼らは、ウォレットからの資金流出が成功したケースをコンバージョンイベントとして追跡するGoogle Adsキャンペーンを実施しています。

Googleは、フィッシング詐欺のための広告配信を最適化するために報酬を受け取っている。広告主たちはその事実を隠そうとはしていない――ターゲットを絞ったトラフィックに対して対価を支払い、どれだけ多くの財布から金が引き出されたかで「成功」を測っているのだ。

テイクダウンの推奨事項

この運用には複数のサービスプロバイダーが関与しています。あらゆる側面にわたる連携のとれた報告が必要です:

Cloudflare

55以上のすべてのドメインについて、ワーカーの不正利用、ページの不正利用、およびDNSレコードを報告します。ドメインの完全なリストを含む一括不正利用報告。

ドメイン登録業者

複数のレジストラにまたがる55以上のドメイン。それぞれについて、フィッシングや金融詐欺を理由とした個別の不正利用報告が必要です。

HIVELOCITY

107.155.88.198 の Origin サーバーは、バックエンド API をホストしています。フィッシングインフラストラクチャをホストしているとの報告があります。

WalletConnect

ブラックリスト・プロジェクトID 31eee2e7b3ff1dc4ebdfa6f839467664 フィッシングサイトによってウォレットの署名プロンプトが表示されるのを防ぐため。

トロンスキャン

フラッグ・ドレイナーとの契約 TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 そして TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.

Google Ads

アカウントを報告する AW-17287232508 フィッシングや金融詐欺の宣伝目的。コンバージョン追跡により、悪意のある意図が立証される。

証拠および出典データ

インフラストラクチャの完全な分解

包括的な技術分析:ドメイン、API、契約、および帰属。

ドメイン一覧と詳細

55以上のドメインについて、ホスティングの詳細、登録情報、および現在のステータスを掲載しています。

API被害者データの生データダンプ

認証されていないバックエンドからの、非編集済みのAPIレスポンス。30件。

Tronscan:SwapTRX コントラクト

TRON上のアクティブなドレイナー契約。オンチェーンでトランザクションと承認を確認できます。

確認。取り消し。報告。

BuyTRXフィッシングドメインネットワーク — 詳細なクラスターマップ
BuyTRXフィッシングドメインネットワーク — 詳細なクラスターマップ
BuyTRXドメインネットワークの概要 — 相互接続されたフィッシングインフラストラクチャ
BuyTRXドメインネットワークの概要 — 相互接続されたフィッシングインフラストラクチャ
BuyTRXの資金の流れ — 盗まれたTRXがマネーロンダリングの連鎖を通じてどのように移動するか
BuyTRXの資金の流れ — 盗まれたTRXがマネーロンダリングの連鎖を通じてどのように移動するか

BUYTRXのドメインと何らかのやり取りをしたことがある場合は、直ちにTRONトークンの承認設定を確認してください。不審な承認があれば取り消し、そのドメインを報告してください。

トークンの承認を取り消す ドメインを報告する DestroyList ツール
#CryptoDrainer#BuyTRX#OSINT#PhishingInfrastructure#TronScam

関連する調査

「Crypto Drainer」ツールキット:Angel Drainerの販売業者が暴露される
徹底調査
「Crypto Drainer」ツールキット:Angel Drainerの販売業者が暴露される
Trust Walletのフィッシング事件:23万9000ドルが盗まれ、6人の運営者が特定される
徹底調査
Trust Walletのフィッシング事件:23万9000ドルが盗まれ、6人の運営者が特定される
詐欺師の正体:4つの詐欺バックエンドを徹底解剖
調査
詐欺師の正体:4つの詐欺バックエンドを徹底解剖
透明性に関するお知らせ。 PhishDestroyは、非営利の独立プロジェクトです。私たちの調査には、詐欺インフラやそれを可能にするサービスに対する固有の偏見が反映されている可能性があります。読者の皆様には、すべての情報を批判的かつ独自に評価していただくようお願いいたします。 当社の透明性に関する声明全文はこちら →