BUYTRX ao vivo: 55 domínios, zero APIs de autenticação e uma análise detalhada do drainer de aprovações da TRON
Operação de phishing envolvendo a aprovação de TRON USDT · Back-end exposto · Evidências na cadeia de blocos · Financiamento pelo Google Ads

O que é o BUYTRX?
O BUYTRX é uma operação de drenagem de aprovações de USDT baseada na rede TRON, disfarçada de serviço legítimo de troca de criptomoedas. Os sites apresentam interfaces com aparência profissional que prometem converter USDT em TRX a taxas atraentes. Mas a “troca” nunca ocorre.
Em vez disso, a vítima é instada a assinar um approve(MAX_UINT256) transação no contrato inteligente do USDT (TRC-20). Essa única assinatura concede ao contrato de drenagem do invasor permissão ilimitada transferir todo o saldo em USDT da vítima — agora e para sempre — até que a aprovação seja revogada manualmente.
Assim que a aprovação for confirmada na cadeia de blocos, o operador chama transferFrom() para roubar a carteira. A vítima não percebe nada. Sem troca. Sem TRX. Apenas um saldo zerado.
A chamada ao `approve()` não transfere tokens — ela apenas concede permissão. O roubo propriamente dito ocorre de forma silenciosa por meio do `transferFrom()`, segundos ou horas depois. A maioria das vítimas nunca associa as duas transações.
A operação está em andamento há pelo menos Julho de 2025, alternando entre dezenas de domínios à medida que os antigos são denunciados e retirados do ar. A infraestrutura se adapta mais rapidamente do que a maioria dos registradores e provedores de hospedagem consegue reagir.
Mais de 55 domínios — uma única operação
Nossa investigação revelou uma extensa rede de domínios de phishing, todos hospedando interfaces de swap do BUYTRX idênticas ou quase idênticas. Os domínios estão hospedados no Cloudflare Workers, no Cloudflare Pages e em servidores de origem bare-metal.
Domínios atualmente ativos
| Domínio | Tipo | Hospedagem |
|---|---|---|
trxev.com | Primário | Cloudflare |
trxmo.com | Primário + API | Cloudflare |
buytrx.mov | Ativo | Cloudflare |
buytrx.cx | Ativo | Cloudflare |
trxdc.org | Ativo | Cloudflare |
buytrx.bet | Ativo | Cloudflare |
buytrx.store | Ativo | Cloudflare |
buytrx.click | Ativo | Cloudflare |
trxfx.com | Ativo | Cloudflare |
trxsw.org | Ativo | Cloudflare |
Cloudflare Workers e Pages
| Subdomínio | Plataforma |
|---|---|
shrill-haze-5ff7.buytrx.workers.dev | Trabalhadores |
exchange.swap-trx.workers.dev | Trabalhadores |
buytrx.pages.dev | Páginas |
swap-trx.pages.dev | Páginas |
Servidores de origem
| Endereço IP | Provedor | Objetivo |
|---|---|---|
107.155.88.198 | HIVELOCITY (AS29802) | Origem primária |
46.21.151.194 | HVC-AS | Origem secundária |
Um adicional Mais de 50 domínios reciclados foram identificados, incluindo:
buytrx.net buytrx.org buytrx.io buytrx.co buytrx.exchange buytrx.app buytrx.pro buytrx.cc buytrx.xyz buytrx.site buytrx.online buytrx.live buytrx.fun buytrx.top buytrx.vip trxswap.org trxswap.net trxswap.io trxswap.com trxflip.com trxev.org trxmo.org trxnw.com trxfn.com trxwb.com swaptrx.org swaptrx.net swaptrx.io e muitos outros.
Mais de 50 domínios foram desativados e substituídos. A infraestrutura se adapta mais rapidamente do que a maioria dos registradores consegue responder.
APIs sem autenticação — O back-end totalmente aberto
A operação BUYTRX é executada em 6 pontos de extremidade da API do Express.js compartilhando um único banco de dados. A API principal está hospedada em api.trxmo.com. Cada endpoint retorna todos os dados da vítima sem qualquer autenticação.
Pontos de extremidade não autenticados
| Ponto final | Devoluções |
|---|---|
GET /api/records | Todos os registros das vítimas |
GET /api/records/:id | Detalhes individuais da vítima |
GET /api/stats | Estatísticas operacionais |
POST /api/records | Criar novo registro |
PUT /api/records/:id | Atualizar registro |
DELETE /api/records/:id | Excluir registro |
Painel de controle do administrador sem autenticação
É possível acessar o painel de administração em /8fb198a6e9b7af32 — um método de hash baseado na “segurança por obscuridade” com autenticação zero. Ele oferece um feed em tempo real sobre as vítimas, mostrando:
- Endereços de carteiras de cada vítima
- IDs de transação (hashes de aprovação)
- Endereços IP das vítimas
- Registros de data e hora de cada interação
- Valores de aprovação (normalmente MAX_UINT256)
{
"records": [
{
"id": 1,
"wallet": "TKjdnS...redacted",
"txHash": "a8f3e2...redacted",
"ip": "185.xxx.xxx.xxx",
"amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
"status": "approved",
"createdAt": "2026-02-14T09:23:41.000Z"
}
]
} Vulnerabilidades adicionais descobertas:
- Limitação de taxa fraca: 6 solicitações por janela, facilmente contornadas com a rotação de IPs
- Vazamento de cabeçalho no Express.js:
X-Powered-By: Expressrevela a tecnologia de servidores - Possível XSS armazenado: O painel de administração exibe strings de user-agent sem sanitização
O endereço da carteira, o IP, o hash da transação e o valor da aprovação de cada vítima estão a apenas uma solicitação GET não autenticada de distância. Zero chaves de API. Zero tokens. Zero segurança.
Evidências na cadeia de blocos
Os contratos “drainer” são implantados na rede TRON e têm sido utilizados ativamente para processar transações de aprovação das vítimas.
| Contrato | Etiqueta | Implantado | Transações |
|---|---|---|---|
TRnruCYe2k...UPJ8
|
SwapTRX (Atual) | 13 de dezembro de 2025 | Ativo |
TXwXfz8Bp9...uHnS
|
Contrato antigo | Antes | 323 registrados |
4 transações de aprovação confirmadas na cadeia de blocos foram correlacionados aos registros das vítimas no banco de dados exposto (registros 1–10). Os registros 11–30 parecem ser dados de teste da operadora — carteiras de teste com pequenos valores, padrões de tempo sequenciais e intervalos de IP idênticos.
Integração com o WalletConnect
Os sites de phishing utilizam o WalletConnect para acionar o aviso de aprovação nas carteiras digitais. A operação utiliza um único ID do projeto WalletConnect:
31eee2e7b3ff1dc4ebdfa6f839467664
Esse ID do projeto deve ser comunicado ao WalletConnect para que seja imediatamente incluído na lista negra.
Seguindo o dinheiro — Google Ads e atribuição
Talvez a constatação mais preocupante: Os operadores do BUYTRX estão pagando ao Google para anunciar seu drainer.
| Indicador | Valor |
|---|---|
| Conta do Google Ads |
AW-17287232508
|
| Acompanhamento de conversões | Acompanha as aprovações bem-sucedidas como conversões |
| Contato no Telegram | @buytrx9 ("Buytron") |
| Idioma do painel de administração | Chinês simplificado |
A conta do Google Ads rastreia aprovações bem-sucedidas de carteiras como eventos de conversão. Isso significa que a plataforma de publicidade do Google está, literalmente, otimizando a exibição de anúncios para encontrar mais vítimas para um programa de roubo de criptomoedas — e recebendo pagamento por esse serviço.
O painel de administração está inteiramente em Chinês simplificado, com elementos da interface do usuário como 日間 / 夜間 (botões para alternar entre os modos dia/noite) e comentários no código-fonte em chinês. O nome de usuário no Telegram @buytrx9 funciona como o principal canal de contato com a operadora.
O Google está sendo pago para otimizar a veiculação de anúncios para uma operação de phishing. Os anunciantes não estão se escondendo — eles estão pagando por tráfego direcionado e medindo o “sucesso” pelo número de carteiras que são esvaziadas.
Recomendações para remoções
Essa operação envolve vários prestadores de serviços. É necessário que haja um relato coordenado em todas as frentes:
Cloudflare
Denuncie abusos por parte de usuários, abusos em páginas e registros de DNS para todos os mais de 55 domínios. Denúncia em massa de abusos com a lista completa de domínios.
Registradores de domínios
Mais de 55 domínios em diversos registradores. Cada um deles requer denúncias individuais de abuso, citando phishing e fraude financeira.
HIVELOCITY
Servidor de origem em 107.155.88.198, que hospeda a API de back-end. Denúncia por hospedar infraestrutura de phishing.
WalletConnect
ID do Projeto da Lista Negra 31eee2e7b3ff1dc4ebdfa6f839467664 para impedir que sites de phishing acionem solicitações de assinatura na carteira.
Tronscan
Contratos de drenagem de bandeiras TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 e TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.
Google Ads
Denunciar conta AW-17287232508 por divulgar phishing e fraudes financeiras. O rastreamento de conversões comprova a intenção maliciosa.
Evidências e dados de origem
Análise técnica completa: domínios, APIs, contratos e atribuição.
Mais de 55 domínios com detalhes de hospedagem, informações de registro e status atual.
Respostas da API sem censura provenientes do backend não autenticado. 30 registros.
Contrato do Active Drainer na TRON. Visualize as transações e aprovações na cadeia de blocos.
Verificar. Revogar. Comunicar.
Se você já interagiu com algum domínio da BUYTRX, verifique imediatamente suas autorizações de tokens TRON. Revogue quaisquer autorizações suspeitas e denuncie os domínios.





