Разоблачение BUYTRX: 55 доменов, отсутствие аутентификации API и анализ схемы похищения средств через TRON Approval
Фишинговая атака, связанная с одобрением TRON USDT · Раскрытие внутренней инфраструктуры · Доказательства в блокчейне · Финансирование через Google Ads

Что такое BUYTRX?
BUYTRX — это схема по сбору средств под видом легального сервиса обмена криптовалют, работающая на базе сети TRON и использующая USDT. Сайты этой схемы имеют профессионально оформленный интерфейс и обещают конвертировать USDT в TRX по привлекательным курсам. Однако «обмен» так и не происходит.
Вместо этого жертве предлагается подписать approve(MAX_UINT256) транзакция в смарт-контракте USDT (TRC-20). Эта единственная подпись предоставляет контракту злоумышленника, предназначенному для слива средств, неограниченный доступ перечислять весь баланс жертвы в USDT — с настоящего момента и впредь — до тех пор, пока разрешение не будет отозвано вручную.
Как только подтверждение одобрения фиксируется в цепочке блоков, оператор вызывает transferFrom() чтобы опустошить кошелек. Жертва ничего не замечает. Никакого обмена. Никаких TRX. Просто пустой баланс.
Вызов approve() не предусматривает передачу токенов — он лишь предоставляет разрешение. Фактическое хищение происходит незаметно с помощью transferFrom() через несколько секунд или часов. Большинство жертв никогда не связывают эти две транзакции между собой.
Эта операция ведется уже как минимум с Июль 2025 года, переключаясь между десятками доменов по мере того, как старые домены попадают в черные списки и удаляются. Инфраструктура адаптируется быстрее, чем успевают отреагировать большинство регистраторов и хостинг-провайдеров.
Более 55 доменов — одна операция
В ходе нашего расследования была выявлена обширная сеть фишинговых доменов, на всех которых размещены идентичные или практически идентичные интерфейсы обменника BUYTRX. Эти домены размещены на платформах Cloudflare Workers, Cloudflare Pages, а также на физических серверах.
Активные домены
| Домен | Тип | Хостинг |
|---|---|---|
trxev.com | Начальная | Cloudflare |
trxmo.com | Начальная школа + API | Cloudflare |
buytrx.mov | Активный | Cloudflare |
buytrx.cx | Активный | Cloudflare |
trxdc.org | Активный | Cloudflare |
buytrx.bet | Активный | Cloudflare |
buytrx.store | Активный | Cloudflare |
buytrx.click | Активный | Cloudflare |
trxfx.com | Активный | Cloudflare |
trxsw.org | Активный | Cloudflare |
Cloudflare Workers и Pages
| Поддомен | Платформа |
|---|---|
shrill-haze-5ff7.buytrx.workers.dev | Рабочие |
exchange.swap-trx.workers.dev | Рабочие |
buytrx.pages.dev | Страницы |
swap-trx.pages.dev | Страницы |
Серверы Origin
| IP-адрес | Поставщик | Цель |
|---|---|---|
107.155.88.198 | HIVELOCITY (AS29802) | Первоначальное происхождение |
46.21.151.194 | HVC-AS | Вторичное происхождение |
Еще один Более 50 доменов из вторичного рынка были выявлены, в том числе:
buytrx.net buytrx.org buytrx.io buytrx.co buytrx.exchange buytrx.app buytrx.pro buytrx.cc buytrx.xyz buytrx.site buytrx.online buytrx.live buytrx.fun buytrx.top buytrx.vip trxswap.org trxswap.net trxswap.io trxswap.com trxflip.com trxev.org trxmo.org trxnw.com trxfn.com trxwb.com swaptrx.org swaptrx.net swaptrx.ioи многое другое.
Более 50 доменов были заблокированы и заменены. Инфраструктура адаптируется быстрее, чем успевают отреагировать большинство регистраторов.
API без аутентификации — полностью открытый бэкенд
Операция BUYTRX выполняется на 6 конечных точек API Express.js используют одну базу данных. Основной API размещен по адресу api.trxmo.com. Каждый конечный пункт возвращает полные данные о жертве без какой-либо аутентификации.
Неаутентифицированные конечные точки
| Конечная точка | Возврат |
|---|---|
GET /api/records | Все записи о пострадавших |
GET /api/records/:id | Подробная информация о конкретной жертве |
GET /api/stats | Статистика работы |
POST /api/records | Создать новую запись |
PUT /api/records/:id | Обновить запись |
DELETE /api/records/:id | Удалить запись |
Панель администратора без авторизации
Доступ к панели администратора можно получить по адресу /8fb198a6e9b7af32 — хеш-путь, основанный на принципе «безопасности за счет скрытности», с без аутентификации. Он предоставляет ленту новостей о жертвах в режиме реального времени, в которой отображаются:
- Адреса кошельков всех пострадавших
- Идентификаторы транзакций (хэши подтверждений)
- IP-адреса пострадавших
- Временные метки каждого взаимодействия
- Размер разрешенных сумм (обычно MAX_UINT256)
{
"records": [
{
"id": 1,
"wallet": "TKjdnS...redacted",
"txHash": "a8f3e2...redacted",
"ip": "185.xxx.xxx.xxx",
"amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
"status": "approved",
"createdAt": "2026-02-14T09:23:41.000Z"
}
]
} Обнаружены дополнительные уязвимости:
- Слабое ограничение скорости: 6 запросов на одно окно, что легко обойти с помощью ротации IP-адресов
- Утечка заголовков в Express.js:
X-Powered-By: Expressраскрывает секреты серверных технологий - Возможный XSS с отложенным выполнением: Административная панель отображает строки user-agent без предварительной очистки
Адрес кошелька, IP-адрес, хэш транзакции и сумма утверждения любой жертвы доступны всего за один неавторизованный запрос GET. Никаких API-ключей. Никаких токенов. Никакой безопасности.
Доказательства, содержащиеся в цепочке блоков
Контракты-дрейнеры развернуты в сети TRON и активно используются для обработки транзакций по утверждению от имени потерпевших.
| Договор | Этикетка | Развернуто | Транзакции |
|---|---|---|---|
Повернись, и ты увидишь... | SwapTRX (текущий) | 13 декабря 2025 года | Активный |
Рентгеновский снимок головного мозга. | Старый договор | Ранее | Зарегистрировано 323 |
4 подтвержденных транзакции с одобрением в цепочке были сопоставлены с записями о жертвах в утечке базы данных (записи 1–10). Записи 11–30, по-видимому, являются тестовые данные оператора — тестовые кошельки с небольшими суммами, последовательными временными интервалами и одинаковыми диапазонами IP-адресов.
Интеграция с WalletConnect
Фишинговые сайты используют WalletConnect для вызова запроса на подтверждение в мобильных кошельках. В этой схеме используется один Идентификатор проекта WalletConnect:
31eee2e7b3ff1dc4ebdfa6f839467664 Этот идентификатор проекта необходимо сообщить в WalletConnect для немедленного внесения в черный список.
По следам денег — Google Ads и атрибуция
Пожалуй, самый тревожный вывод: Операторы BUYTRX платят Google за рекламу своего сервиса по сбору средств.
| Показатель | Значение |
|---|---|
| Аккаунт Google Ads | AW-17287232508 |
| Отслеживание конверсий | Отслеживает успешные утверждения как конверсии |
| Контакт в Telegram | @buytrx9 («Buytron») |
| Язык панели администратора | Упрощённый китайский |
В аккаунте Google Ads отслеживаются успешные подтверждения кошельков в качестве событий конверсии. Это означает, что рекламная платформа Google буквально оптимизирует показ рекламы, чтобы найти больше жертв для программы, крадущей криптовалюту, — и при этом получает вознаграждение за эту услугу.
Панель администратора полностью выполнена на Упрощённый китайский, с такими элементами интерфейса, как 日間 / 夜間 (переключение между дневным и ночным режимами) и комментарии в исходном коде на китайском языке. Ник в Telegram @buytrx9 является основным каналом связи с оператором.
Google получает деньги за оптимизацию показа рекламы в рамках фишинговой операции. Рекламодатели не скрывают своих намерений — они платят за таргетированный трафик и оценивают «успех» по количеству опустошенных кошельков.
Рекомендации по удалению
Эта операция затрагивает интересы нескольких поставщиков услуг. Требуется скоординированная отчетность по всем направлениям:
Cloudflare
Сообщите о злоупотреблениях со стороны пользователей, злоупотреблениях со страницами и записях DNS для всех более чем 55 доменов. Массовая отправка сообщений о злоупотреблениях с полным списком доменов.
Регистраторы доменов
Более 55 доменов, зарегистрированных у различных регистраторов. По каждому из них необходимо подать отдельное заявление о злоупотреблении с указанием фактов фишинга и финансового мошенничества.
Высокая скорость
Сервер Origin с адресом 107.155.88.198, на котором размещен бэкэнд API. Сообщение о размещении фишинговой инфраструктуры.
WalletConnect
Идентификатор проекта «Черный список» 31eee2e7b3ff1dc4ebdfa6f839467664 чтобы фишинговые сайты не вызывали запросы на подпись кошелька.
Тронскан
Контракты на установку дренажных систем TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 и TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.
Google Ads
Сообщить об аккаунте AW-17287232508 для рекламы фишинга и финансового мошенничества. Отслеживание конверсий подтверждает злонамеренные намерения.
Доказательства и исходные данные
Полный технический анализ: домены, API, контракты и атрибуция.
Более 55 доменов с данными о хостинге, информацией о регистрации и текущим статусом.
Неотредактированные ответы API от неавторизованного бэкэнда. 30 записей.
Действующий контракт с дрейнером на TRON. Просмотр транзакций и утверждений в цепочке блоков.
Проверить. Отменить. Сообщить.
Если вы взаимодействовали с каким-либо доменом BUYTRX, немедленно проверьте свои разрешения на использование токенов TRON. Отмените все подозрительные разрешения и сообщите об этих доменах.





