Ir direto para o conteúdo principal
Voltar às notícias
DESMANTELAMENTO DA INFRAESTRUTURA DA DRAINER

BUYTRX ao vivo: 55 domínios, zero APIs de autenticação e uma análise detalhada do drainer de aprovações da TRON

Operação de phishing envolvendo a aprovação de TRON USDT · Back-end exposto · Evidências na cadeia de blocos · Financiamento pelo Google Ads

BuyTRX Drainer: A Verdade Revelada
0+
Domínios de phishing
0
Registros de vítimas expostos
0
Autenticação da API
$0
Custo para acessar todos os dados

O que é o BUYTRX?

O BUYTRX é uma operação de drenagem de aprovações de USDT baseada na rede TRON, disfarçada de serviço legítimo de troca de criptomoedas. Os sites apresentam interfaces com aparência profissional que prometem converter USDT em TRX a taxas atraentes. Mas a “troca” nunca ocorre.

Em vez disso, a vítima é instada a assinar um approve(MAX_UINT256) transação no contrato inteligente do USDT (TRC-20). Essa única assinatura concede ao contrato de drenagem do invasor permissão ilimitada transferir todo o saldo em USDT da vítima — agora e para sempre — até que a aprovação seja revogada manualmente.

Assim que a aprovação for confirmada na cadeia de blocos, o operador chama transferFrom() para roubar a carteira. A vítima não percebe nada. Sem troca. Sem TRX. Apenas um saldo zerado.

Uma assinatura. Acesso ilimitado. Capacidade de drenagem permanente.

A chamada ao `approve()` não transfere tokens — ela apenas concede permissão. O roubo propriamente dito ocorre de forma silenciosa por meio do `transferFrom()`, segundos ou horas depois. A maioria das vítimas nunca associa as duas transações.

A operação está em andamento há pelo menos Julho de 2025, alternando entre dezenas de domínios à medida que os antigos são denunciados e retirados do ar. A infraestrutura se adapta mais rapidamente do que a maioria dos registradores e provedores de hospedagem consegue reagir.

Mais de 55 domínios — uma única operação

Nossa investigação revelou uma extensa rede de domínios de phishing, todos hospedando interfaces de swap do BUYTRX idênticas ou quase idênticas. Os domínios estão hospedados no Cloudflare Workers, no Cloudflare Pages e em servidores de origem bare-metal.

Domínios atualmente ativos

DomínioTipoHospedagem
trxev.comPrimárioCloudflare
trxmo.comPrimário + APICloudflare
buytrx.movAtivoCloudflare
buytrx.cxAtivoCloudflare
trxdc.orgAtivoCloudflare
buytrx.betAtivoCloudflare
buytrx.storeAtivoCloudflare
buytrx.clickAtivoCloudflare
trxfx.comAtivoCloudflare
trxsw.orgAtivoCloudflare

Cloudflare Workers e Pages

SubdomínioPlataforma
shrill-haze-5ff7.buytrx.workers.devTrabalhadores
exchange.swap-trx.workers.devTrabalhadores
buytrx.pages.devPáginas
swap-trx.pages.devPáginas

Servidores de origem

Endereço IPProvedorObjetivo
107.155.88.198HIVELOCITY (AS29802)Origem primária
46.21.151.194HVC-ASOrigem secundária

Um adicional Mais de 50 domínios reciclados foram identificados, incluindo:

buytrx.net buytrx.org buytrx.io buytrx.co buytrx.exchange buytrx.app buytrx.pro buytrx.cc buytrx.xyz buytrx.site buytrx.online buytrx.live buytrx.fun buytrx.top buytrx.vip trxswap.org trxswap.net trxswap.io trxswap.com trxflip.com trxev.org trxmo.org trxnw.com trxfn.com trxwb.com swaptrx.org swaptrx.net swaptrx.io e muitos outros.

Mais de 50 domínios foram desativados e substituídos. A infraestrutura se adapta mais rapidamente do que a maioria dos registradores consegue responder.

APIs sem autenticação — O back-end totalmente aberto

A operação BUYTRX é executada em 6 pontos de extremidade da API do Express.js compartilhando um único banco de dados. A API principal está hospedada em api.trxmo.com. Cada endpoint retorna todos os dados da vítima sem qualquer autenticação.

Pontos de extremidade não autenticados

Ponto finalDevoluções
GET /api/recordsTodos os registros das vítimas
GET /api/records/:idDetalhes individuais da vítima
GET /api/statsEstatísticas operacionais
POST /api/recordsCriar novo registro
PUT /api/records/:idAtualizar registro
DELETE /api/records/:idExcluir registro

Painel de controle do administrador sem autenticação

É possível acessar o painel de administração em /8fb198a6e9b7af32 — um método de hash baseado na “segurança por obscuridade” com autenticação zero. Ele oferece um feed em tempo real sobre as vítimas, mostrando:

  • Endereços de carteiras de cada vítima
  • IDs de transação (hashes de aprovação)
  • Endereços IP das vítimas
  • Registros de data e hora de cada interação
  • Valores de aprovação (normalmente MAX_UINT256)
RESPOSTA DA API NÃO AUTENTICADA — api.trxmo.com
{
  "records": [
    {
      "id": 1,
      "wallet": "TKjdnS...redacted",
      "txHash": "a8f3e2...redacted",
      "ip": "185.xxx.xxx.xxx",
      "amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
      "status": "approved",
      "createdAt": "2026-02-14T09:23:41.000Z"
    }
  ]
}

Vulnerabilidades adicionais descobertas:

  • Limitação de taxa fraca: 6 solicitações por janela, facilmente contornadas com a rotação de IPs
  • Vazamento de cabeçalho no Express.js: X-Powered-By: Express revela a tecnologia de servidores
  • Possível XSS armazenado: O painel de administração exibe strings de user-agent sem sanitização
Os operadores criaram um drainer, mas se esqueceram de proteger seu próprio backend.

O endereço da carteira, o IP, o hash da transação e o valor da aprovação de cada vítima estão a apenas uma solicitação GET não autenticada de distância. Zero chaves de API. Zero tokens. Zero segurança.

Evidências na cadeia de blocos

Os contratos “drainer” são implantados na rede TRON e têm sido utilizados ativamente para processar transações de aprovação das vítimas.

ContratoEtiquetaImplantadoTransações
TRnruCYe2k...UPJ8 SwapTRX (Atual) 13 de dezembro de 2025 Ativo
TXwXfz8Bp9...uHnS Contrato antigo Antes 323 registrados

4 transações de aprovação confirmadas na cadeia de blocos foram correlacionados aos registros das vítimas no banco de dados exposto (registros 1–10). Os registros 11–30 parecem ser dados de teste da operadora — carteiras de teste com pequenos valores, padrões de tempo sequenciais e intervalos de IP idênticos.

Integração com o WalletConnect

Os sites de phishing utilizam o WalletConnect para acionar o aviso de aprovação nas carteiras digitais. A operação utiliza um único ID do projeto WalletConnect:

31eee2e7b3ff1dc4ebdfa6f839467664

Esse ID do projeto deve ser comunicado ao WalletConnect para que seja imediatamente incluído na lista negra.

Seguindo o dinheiro — Google Ads e atribuição

Talvez a constatação mais preocupante: Os operadores do BUYTRX estão pagando ao Google para anunciar seu drainer.

Indicador Valor
Conta do Google Ads AW-17287232508
Acompanhamento de conversões Acompanha as aprovações bem-sucedidas como conversões
Contato no Telegram @buytrx9 ("Buytron")
Idioma do painel de administraçãoChinês simplificado

A conta do Google Ads rastreia aprovações bem-sucedidas de carteiras como eventos de conversão. Isso significa que a plataforma de publicidade do Google está, literalmente, otimizando a exibição de anúncios para encontrar mais vítimas para um programa de roubo de criptomoedas — e recebendo pagamento por esse serviço.

O painel de administração está inteiramente em Chinês simplificado, com elementos da interface do usuário como 日間 / 夜間 (botões para alternar entre os modos dia/noite) e comentários no código-fonte em chinês. O nome de usuário no Telegram @buytrx9 funciona como o principal canal de contato com a operadora.

Eles estão realizando campanhas no Google Ads que registram as transações bem-sucedidas de retirada de fundos como eventos de conversão.

O Google está sendo pago para otimizar a veiculação de anúncios para uma operação de phishing. Os anunciantes não estão se escondendo — eles estão pagando por tráfego direcionado e medindo o “sucesso” pelo número de carteiras que são esvaziadas.

Recomendações para remoções

Essa operação envolve vários prestadores de serviços. É necessário que haja um relato coordenado em todas as frentes:

Cloudflare

Denuncie abusos por parte de usuários, abusos em páginas e registros de DNS para todos os mais de 55 domínios. Denúncia em massa de abusos com a lista completa de domínios.

Registradores de domínios

Mais de 55 domínios em diversos registradores. Cada um deles requer denúncias individuais de abuso, citando phishing e fraude financeira.

HIVELOCITY

Servidor de origem em 107.155.88.198, que hospeda a API de back-end. Denúncia por hospedar infraestrutura de phishing.

WalletConnect

ID do Projeto da Lista Negra 31eee2e7b3ff1dc4ebdfa6f839467664 para impedir que sites de phishing acionem solicitações de assinatura na carteira.

Tronscan

Contratos de drenagem de bandeiras TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 e TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.

Google Ads

Denunciar conta AW-17287232508 por divulgar phishing e fraudes financeiras. O rastreamento de conversões comprova a intenção maliciosa.

Evidências e dados de origem

Desmontagem completa da infraestrutura

Análise técnica completa: domínios, APIs, contratos e atribuição.

Lista e detalhes de domínios

Mais de 55 domínios com detalhes de hospedagem, informações de registro e status atual.

Dump de dados brutos das vítimas da API

Respostas da API sem censura provenientes do backend não autenticado. 30 registros.

Tronscan: Contrato do SwapTRX

Contrato do Active Drainer na TRON. Visualize as transações e aprovações na cadeia de blocos.

Verificar. Revogar. Comunicar.

Rede de domínios de phishing BuyTRX — mapa detalhado do cluster
Rede de domínios de phishing BuyTRX — mapa detalhado do cluster
Visão geral da rede de domínios BuyTRX — infraestrutura de phishing interconectada
Visão geral da rede de domínios BuyTRX — infraestrutura de phishing interconectada
Fluxo de dinheiro do BuyTRX — como o TRX roubado circula pela cadeia de lavagem de dinheiro
Fluxo de dinheiro do BuyTRX — como o TRX roubado circula pela cadeia de lavagem de dinheiro

Se você já interagiu com algum domínio da BUYTRX, verifique imediatamente suas autorizações de tokens TRON. Revogue quaisquer autorizações suspeitas e denuncie os domínios.

Revogar aprovações de tokens Denunciar um domínio Ferramentas do DestroyList
#CryptoDrainer#BuyTRX#OSINT#PhishingInfrastructure#TronScam

Investigações relacionadas

Kit de ferramentas Crypto Drainer: revendedores do Angel Drainer são desmascarados
INVESTIGAÇÃO APROFUNDADA
Kit de ferramentas Crypto Drainer: revendedores do Angel Drainer são desmascarados
Painel sobre o caso de phishing da Trust Wallet: US$ 239 mil roubados, 6 operadores
INVESTIGAÇÃO APROFUNDADA
Painel sobre o caso de phishing da Trust Wallet: US$ 239 mil roubados, 6 operadores
Golpistas desmascarados: análise detalhada de quatro sistemas de back-end de golpes
INVESTIGAÇÃO
Golpistas desmascarados: análise detalhada de quatro sistemas de back-end de golpes
Aviso de transparência. O PhishDestroy é um projeto independente e sem fins lucrativos. Nossa pesquisa pode refletir um viés inerente contra a infraestrutura de golpes e os serviços que a possibilitam. Incentivamos os leitores a avaliarem todo o material de forma crítica e independente. Leia nossa declaração de transparência completa →