BUYTRX의 실체: 55개의 도메인, 인증 API 부재, 그리고 TRON 승인 권한 탈취 공격 심층 분석
TRON USDT 승인 피싱 공격 · 노출된 백엔드 · 온체인 증거 · Google Ads 자금 조달

BUYTRX란 무엇인가요?
BUYTRX는 합법적인 암호화폐 스왑 서비스로 위장한, TRON 기반의 USDT 승인 정보 탈취 사기입니다. 해당 사이트들은 전문적으로 보이는 인터페이스를 통해 매력적인 환율로 USDT를 TRX로 전환해 주겠다고 약속합니다. 하지만 실제로는 “스왑”이 이루어지지 않습니다.
대신, 피해자에게는 다음 문서에 서명하라는 요청이 나오는데, approve(MAX_UINT256) USDT (TRC-20) 스마트 계약상의 거래. 이 단일 서명을 통해 공격자의 자금 유출 계약은 무제한 권한 승인이 수동으로 취소될 때까지, 현재 및 향후 영구적으로 피해자의 전체 USDT 잔액을 이체하도록 합니다.
온체인에서 승인이 확인되면, 운영자는 다음을 호출합니다. transferFrom() 지갑을 털기 위해서다. 피해자는 아무것도 눈치채지 못한다. 스왑도 없고, TRX도 없다. 그저 잔고가 텅 비어 있을 뿐이다.
approve() 호출은 토큰을 전송하는 것이 아니라 권한을 부여하는 것입니다. 실제 도난은 몇 초 또는 몇 시간 뒤에 transferFrom()을 통해 은밀하게 이루어집니다. 대부분의 피해자는 이 두 거래를 서로 연관 짓지 못합니다.
이 작전은 적어도 그 때부터 계속되어 왔습니다. 2025년 7월, 기존 도메인이 신고되어 삭제될 때마다 수십 개의 도메인을 번갈아 가며 사용합니다. 이 인프라는 대부분의 도메인 등록 기관과 호스팅 업체가 대응할 수 있는 속도보다 더 빠르게 적응합니다.
55개 이상의 도메인 — 한 번의 작업
저희 조사 결과, 모두 동일하거나 거의 동일한 BUYTRX 스왑 인터페이스를 제공하는 방대한 피싱 도메인 네트워크가 드러났습니다. 해당 도메인들은 Cloudflare Workers, Cloudflare Pages 및 베어메탈 오리진 서버에 걸쳐 있습니다.
현재 활성화된 도메인
| 도메인 | 유형 | 호스팅 |
|---|---|---|
trxev.com | 초등 | Cloudflare |
trxmo.com | Primary + API | Cloudflare |
buytrx.mov | 활성 | Cloudflare |
buytrx.cx | 활성 | Cloudflare |
trxdc.org | 활성 | Cloudflare |
buytrx.bet | 활성 | Cloudflare |
buytrx.store | 활성 | Cloudflare |
buytrx.click | 활성 | Cloudflare |
trxfx.com | 활성 | Cloudflare |
trxsw.org | 활성 | Cloudflare |
Cloudflare Workers 및 Pages
| 하위 도메인 | 플랫폼 |
|---|---|
shrill-haze-5ff7.buytrx.workers.dev | 근로자 |
exchange.swap-trx.workers.dev | 근로자 |
buytrx.pages.dev | 페이지 |
swap-trx.pages.dev | 페이지 |
오리진 서버
| IP 주소 | 제공자 | 목적 |
|---|---|---|
107.155.88.198 | HIVELOCITY (AS29802) | 주요 기원 |
46.21.151.194 | HVC-AS | 이차 기원 |
추가로 50개 이상의 재활용 도메인 다음과 같은 사항들이 확인되었습니다:
buytrx.net buytrx.org buytrx.io buytrx.co buytrx.exchange buytrx.app buytrx.pro buytrx.cc buytrx.xyz buytrx.site buytrx.online buytrx.live buytrx.fun buytrx.top buytrx.vip trxswap.org trxswap.net trxswap.io trxswap.com trxflip.com trxev.org trxmo.org trxnw.com trxfn.com trxwb.com swaptrx.org swaptrx.net swaptrx.io 그 밖에도 더 많이 있습니다.
50개 이상의 도메인이 소멸되고 교체되었습니다. 이 인프라는 대부분의 등록 기관이 대응하는 속도보다 더 빠르게 적응합니다.
인증 없는 API — 완전히 개방된 백엔드
BUYTRX 작업은 다음에서 실행됩니다. 6. Express.js API 엔드포인트 단일 데이터베이스를 공유합니다. 주요 API는 다음 주소에서 호스팅됩니다. api.trxmo.com. 모든 엔드포인트가 피해자에 대한 전체 데이터를 반환합니다 인증 절차 없이.
인증되지 않은 엔드포인트
| 엔드포인트 | 반품 |
|---|---|
GET /api/records | 모든 피해자 기록 |
GET /api/records/:id | 피해자 개별 상세 정보 |
GET /api/stats | 운영 통계 |
POST /api/records | 새 레코드 생성 |
PUT /api/records/:id | 기록 업데이트 |
DELETE /api/records/:id | 기록 삭제 |
인증되지 않은 관리자 대시보드
관리자 패널은 다음 주소에서 이용할 수 있습니다. /8fb198a6e9b7af32 — 다음과 같은 “은폐에 의한 보안(security by obscurity)” 해시 경로 인증 없음. 이 서비스는 다음과 같은 내용을 보여주는 실시간 피해자 정보를 제공합니다:
- 모든 피해자의 지갑 주소
- 거래 ID(승인 해시)
- 피해자들의 IP 주소
- 모든 상호작용의 타임스탬프
- 승인 금액 (일반적으로 MAX_UINT256)
{
"records": [
{
"id": 1,
"wallet": "TKjdnS...redacted",
"txHash": "a8f3e2...redacted",
"ip": "185.xxx.xxx.xxx",
"amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
"status": "approved",
"createdAt": "2026-02-14T09:23:41.000Z"
}
]
} 추가로 발견된 취약점:
- 약한 속도 제한: 창당 6건의 요청으로, IP 로테이션을 통해 쉽게 우회 가능
- Express.js 헤더 유출:
X-Powered-By: Express서버 기술을 소개합니다 - 잠재적 저장형 XSS: 관리자 패널에서 보안 처리가 되지 않은 사용자 에이전트 문자열이 표시됩니다.
모든 피해자의 지갑 주소, IP, 거래 해시, 승인 금액은 인증되지 않은 GET 요청 한 번만으로도 노출될 수 있습니다. API 키도, 토큰도, 보안도 전혀 없습니다.
온체인 증거
이 드레이너 계약들은 TRON 네트워크에 배포되었으며, 피해자들의 승인 거래를 처리하는 데 적극적으로 활용되어 왔습니다.
| 계약 | 라벨 | 배포됨 | 거래 내역 |
|---|---|---|---|
TRnruCYe2k...UPJ8
|
SwapTRX (현재) | 2025년 12월 13일 | 활성 |
TXwXfz8Bp9...uHnS
|
기존 계약 | 앞서 | 323건 기록됨 |
온체인 승인 거래 4건이 확인됨 는 유출된 데이터베이스의 피해자 기록(기록 1–10)과 일치했습니다. 기록 11–30은 연산자 테스트 데이터 — 소액의 금액, 일정한 시간 간격 패턴, 동일한 IP 범위를 가진 테스트 지갑.
WalletConnect 연동
피싱 사이트들은 WalletConnect를 이용해 모바일 지갑에서 승인 서명 요청 창을 표시합니다. 이 작업은 단일 WalletConnect 프로젝트 ID:
31eee2e7b3ff1dc4ebdfa6f839467664
이 프로젝트 ID는 WalletConnect에 신고하여 즉시 차단 목록에 등재되어야 합니다.
자금 흐름 추적 — Google Ads 및 어트리뷰션
아마도 가장 우려스러운 점은 다음과 같다: BUYTRX 운영자들은 구글에 비용을 지불하며 자신들의 드레이너를 광고하고 있다.
| 지표 | 값 |
|---|---|
| Google Ads 계정 |
AW-17287232508
|
| 전환 추적 | 승인 건을 전환율로 추적합니다 |
| Telegram 연락처 | @buytrx9 ("바이트론") |
| 관리자 패널 언어 | 간체 중국어 |
Google Ads 계정은 다음을 추적합니다. 성공적인 지갑 승인 건을 전환 이벤트로 기록. 즉, 구글의 광고 플랫폼은 암호화폐 탈취 프로그램을 위한 더 많은 피해자를 찾아내기 위해 말 그대로 광고 노출을 최적화하고 있으며, 이 서비스에 대한 대가를 받고 있는 셈이다.
관리자 대시보드는 전적으로 간체 중국어, 다음과 같은 UI 요소와 함께 日間 / 夜間 (주간/야간 모드 전환) 및 중국어로 작성된 소스 코드 주석. Telegram 아이디 @buytrx9 주요 운영 담당자와의 연락 창구 역할을 합니다.
구글은 피싱 사기를 위해 광고 노출을 최적화하는 대가로 돈을 받고 있다. 광고주들은 이를 숨기지도 않는다. 그들은 타겟팅된 트래픽에 비용을 지불하며, 얼마나 많은 사람의 지갑이 털리는지로 ‘성공’ 여부를 측정하고 있다.
제거 권고 사항
이 작업은 여러 서비스 제공업체와 관련이 있습니다. 모든 경로를 아우르는 체계적인 보고가 필요합니다:
Cloudflare
55개 이상의 모든 도메인에 대한 워커스 악용, 페이지 악용 및 DNS 레코드를 신고하세요. 전체 도메인 목록이 포함된 일괄 악용 신고입니다.
도메인 등록 기관
여러 등록 기관에 걸쳐 55개 이상의 도메인이 있습니다. 각 도메인에 대해 피싱 및 금융 사기를 사유로 한 개별 악용 신고가 필요합니다.
HIVELOCITY
백엔드 API를 호스팅하는 107.155.88.198 주소의 오리진 서버. 피싱 인프라를 호스팅하고 있다는 신고가 접수되었습니다.
WalletConnect
블랙리스트 프로젝트 ID 31eee2e7b3ff1dc4ebdfa6f839467664 피싱 사이트가 지갑 서명 요청을 표시하지 못하도록 하기 위해.
트론스캔
깃발형 배수기 계약 TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 그리고 TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.
Google Ads
계정 신고 AW-17287232508 피싱 및 금융 사기를 광고한 혐의입니다. 전환 추적 데이터를 통해 악의적인 의도가 입증되었습니다.
증거 및 원자료
확인. 취소. 신고.
BUYTRX 도메인과 어떤 형태로든 상호작용한 적이 있다면, 즉시 TRON 토큰 승인 내역을 확인하시기 바랍니다. 의심스러운 승인은 모두 취소하고 해당 도메인을 신고해 주십시오.





