BUYTRXの全貌:55のドメイン、認証APIゼロ、そしてTRON承認機能を利用した資金流出事件を徹底分析
TRON USDT承認フィッシング攻撃・バックエンドの暴露・オンチェーンの証拠・Google Adsによる資金調達

BUYTRXとは?
BUYTRXは、正当な仮想通貨スワップサービスを装った、TRONベースのUSDT資金流出詐欺です。このサイトは、プロ仕様のインターフェースを備え、魅力的なレートでUSDTをTRXに交換すると謳っています。しかし、実際には「スワップ」は一切行われません。
その代わりに、被害者には次のような書類に署名するよう求められ、 approve(MAX_UINT256) USDT(TRC-20)スマートコントラクト上のトランザクション。この単一の署名により、攻撃者のドレイナーコントラクトに 無制限の権限 承認が手動で取り消されるまで、被害者のUSDT残高のすべてを——現在および将来にわたって——送金する。
オンチェーンで承認が確認されると、オペレーターは transferFrom() ウォレットを空にするためだ。被害者は何も気づかない。交換もなければ、TRXもない。ただ残高がゼロになっているだけだ。
approve() の呼び出しではトークンは転送されず、単に許可を与えるだけです。実際の盗難は、数秒あるいは数時間後に transferFrom() を通じて、目立たない形で発生します。ほとんどの被害者は、この 2 つの取引を結びつけて考えません。
この作戦は、少なくとも 2025年7月、古いドメインが通報されて削除されるたびに、数十ものドメインを次々と切り替えていく。そのインフラは、ほとんどのレジストラやホスティングプロバイダーが対応できる速度よりも速く適応していく。
55以上のドメイン — 1回の操作で
調査の結果、フィッシングドメインからなる広範なネットワークが明らかになりました。これらのドメインはすべて、同一またはほぼ同一のBUYTRXスワップインターフェースを提供しています。これらのドメインは、Cloudflare Workers、Cloudflare Pages、およびベアメタルのオリジンサーバーにまたがっています。
現在有効なドメイン
| ドメイン | 種類 | ホスティング |
|---|---|---|
trxev.com | 初等 | Cloudflare |
trxmo.com | プライマリ + API | Cloudflare |
buytrx.mov | アクティブ | Cloudflare |
buytrx.cx | アクティブ | Cloudflare |
trxdc.org | アクティブ | Cloudflare |
buytrx.bet | アクティブ | Cloudflare |
buytrx.store | アクティブ | Cloudflare |
buytrx.click | アクティブ | Cloudflare |
trxfx.com | アクティブ | Cloudflare |
trxsw.org | アクティブ | Cloudflare |
Cloudflare Workers および Pages
| サブドメイン | プラットフォーム |
|---|---|
shrill-haze-5ff7.buytrx.workers.dev | 労働者 |
exchange.swap-trx.workers.dev | 労働者 |
buytrx.pages.dev | ページ |
swap-trx.pages.dev | ページ |
オリジンサーバー
| IPアドレス | プロバイダー | 目的 |
|---|---|---|
107.155.88.198 | HIVELOCITY (AS29802) | 主な起源 |
46.21.151.194 | HVC-AS | 二次的な起源 |
さらに 50件以上の再生ドメイン 以下が特定された。具体的には:
buytrx.net buytrx.org buytrx.io buytrx.co buytrx.exchange buytrx.app buytrx.pro buytrx.cc buytrx.xyz buytrx.site buytrx.online buytrx.live buytrx.fun buytrx.top buytrx.vip trxswap.org trxswap.net trxswap.io trxswap.com trxflip.com trxev.org trxmo.org trxnw.com trxfn.com trxwb.com swaptrx.org swaptrx.net swaptrx.io その他にもたくさんあります。
50以上のドメインが削除され、置き換えられました。このインフラは、ほとんどのレジストラが対応するよりも速く適応します。
ゼロ認証API — バックエンドが丸見え
BUYTRX 操作は、 6. Express.js APIのエンドポイント 単一のデータベースを共有しています。主なAPIは、 api.trxmo.com. すべてのエンドポイントが被害者の完全なデータを返す 認証なし.
認証不要のエンドポイント
| エンドポイント | 返品 |
|---|---|
GET /api/records | すべての被害者記録 |
GET /api/records/:id | 被害者ごとの詳細 |
GET /api/stats | 運用統計 |
POST /api/records | 新しいレコードを作成する |
PUT /api/records/:id | レコードを更新する |
DELETE /api/records/:id | レコードを削除する |
認証不要の管理ダッシュボード
管理パネルは以下のURLからアクセスできます。 /8fb198a6e9b7af32 — 「隠蔽によるセキュリティ」型のハッシュパスで、 認証なし. これには、以下の情報を表示するリアルタイムの被害者情報フィードが提供されています:
- すべての被害者のウォレットアドレス
- トランザクションID(承認ハッシュ)
- 被害者のIPアドレス
- すべてのやり取りのタイムスタンプ
- 承認額(通常は MAX_UINT256)
{
"records": [
{
"id": 1,
"wallet": "TKjdnS...redacted",
"txHash": "a8f3e2...redacted",
"ip": "185.xxx.xxx.xxx",
"amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
"status": "approved",
"createdAt": "2026-02-14T09:23:41.000Z"
}
]
} 新たに発見された脆弱性:
- 弱い速度制限: 1つのウィンドウにつき6件のリクエスト。IPローテーションを使えば簡単に回避できる
- Express.js のヘッダー情報漏洩:
X-Powered-By: Expressサーバー技術を明らかにする - 潜在的な保存型XSS: 管理パネルで、サニタイズされていないユーザーエージェント文字列が表示される
各被害者のウォレットアドレス、IPアドレス、トランザクションハッシュ、承認金額は、認証不要のGETリクエスト1回で入手できてしまう。APIキーも、トークンも、セキュリティも一切ない。
オンチェーンの証拠
これらのドレーナー契約はTRONネットワーク上に展開されており、被害者からの承認トランザクションを処理するために積極的に利用されてきた。
| 契約 | ラベル | 展開済み | 取引 |
|---|---|---|---|
TRnruCYe2k...UPJ8
|
SwapTRX(現在) | 2025年12月13日 | アクティブ |
TXwXfz8Bp9...uHnS
|
旧契約 | 以前 | 323件記録済み |
オンチェーンでの承認取引が4件確認されました は 流出したデータベース内の被害者記録と照合された(記録 1~10)。記録11~30は、どうやら 演算子のテストデータ — 少額の 残高、連続したタイミングパターン、および同一のIPアドレス範囲を持つテスト用ウォレット。
WalletConnectの連携
フィッシングサイトは、WalletConnect を利用して、モバイルウォレットに承認署名の プロンプトを表示させます。この操作では、単一の WalletConnect プロジェクト ID:
31eee2e7b3ff1dc4ebdfa6f839467664
このプロジェクトIDは、WalletConnectに報告し、直ちに ブラックリストに登録する必要があります。
資金の流れを追う — Google Ads とアトリビューション
おそらく最も不穏な調査結果は次の通りである: BUYTRXの運営者は、Googleに広告費を支払って、自社の ドレイナーを宣伝している.
| 指標 | 値 |
|---|---|
| Google Ads アカウント |
AW-17287232508
|
| コンバージョン追跡 | 承認された案件をコンバージョンとして追跡する |
| Telegramの連絡先 | @buytrx9 (「バイトロン」) |
| 管理パネルの言語 | 簡体字中国語 |
Google Ads アカウントでは、以下の項目を追跡します コンバージョンイベントとしてのウォレット承認の成功。つまり、Googleの広告プラットフォームは、文字通り、暗号資産を搾取するマルウェアの新たな被害者を見つけるために広告配信を最適化しており、そのサービスに対して報酬を受け取っているということだ。
管理ダッシュボードはすべて 簡体字中国語、次のようなUI要素を備えており、 日間 / 夜間 (昼/夜モードの切り替え)や、中国語で書かれたソースコードのコメント。Telegramのユーザー名 @buytrx9 主要な事業者との連絡窓口としての役割を果たしています。
Googleは、フィッシング詐欺のための広告配信を最適化するために報酬を受け取っている。広告主たちはその事実を隠そうとはしていない――ターゲットを絞ったトラフィックに対して対価を支払い、どれだけ多くの財布から金が引き出されたかで「成功」を測っているのだ。
テイクダウンの推奨事項
この運用には複数のサービスプロバイダーが関与しています。あらゆる側面にわたる連携のとれた報告が必要です:
Cloudflare
55以上のすべてのドメインについて、ワーカーの不正利用、ページの不正利用、およびDNSレコードを報告します。ドメインの完全なリストを含む一括不正利用報告。
ドメイン登録業者
複数のレジストラにまたがる55以上のドメイン。それぞれについて、フィッシングや金融詐欺を理由とした個別の不正利用報告が必要です。
HIVELOCITY
107.155.88.198 の Origin サーバーは、バックエンド API をホストしています。フィッシングインフラストラクチャをホストしているとの報告があります。
WalletConnect
ブラックリスト・プロジェクトID 31eee2e7b3ff1dc4ebdfa6f839467664 フィッシングサイトによってウォレットの署名プロンプトが表示されるのを防ぐため。
トロンスキャン
フラッグ・ドレイナーとの契約 TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 そして TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.
Google Ads
アカウントを報告する AW-17287232508 フィッシングや金融詐欺の宣伝目的。コンバージョン追跡により、悪意のある意図が立証される。
証拠および出典データ
確認。取り消し。報告。
BUYTRXのドメインと何らかのやり取りをしたことがある場合は、直ちにTRONトークンの承認設定を確認してください。不審な承認があれば取り消し、そのドメインを報告してください。





