Разоблачение BUYTRX: 55 доменов, отсутствие аутентификации API и анализ схемы похищения средств через TRON Approval
Фишинговая атака, связанная с одобрением TRON USDT · Раскрытие внутренней инфраструктуры · Доказательства в блокчейне · Финансирование через Google Ads
Что такое BUYTRX?
BUYTRX — это схема по сбору средств под видом легального сервиса обмена криптовалют, работающая на базе сети TRON и использующая USDT. Сайты этой схемы имеют профессионально оформленный интерфейс и обещают конвертировать USDT в TRX по привлекательным курсам. Однако «обмен» так и не происходит.
Вместо этого жертве предлагается подписать approve(MAX_UINT256) транзакция в смарт-контракте USDT (TRC-20). Эта единственная подпись предоставляет контракту злоумышленника, предназначенному для слива средств, неограниченный доступ перечислять весь баланс жертвы в USDT — с настоящего момента и впредь — до тех пор, пока разрешение не будет отозвано вручную.
Как только подтверждение одобрения фиксируется в цепочке блоков, оператор вызывает transferFrom() чтобы опустошить кошелек. Жертва ничего не замечает. Никакого обмена. Никаких TRX. Просто пустой баланс.
Вызов approve() не предусматривает передачу токенов — он лишь предоставляет разрешение. Фактическое хищение происходит незаметно с помощью transferFrom() через несколько секунд или часов. Большинство жертв никогда не связывают эти две транзакции между собой.
Эта операция ведется уже как минимум с Июль 2025 года, переключаясь между десятками доменов по мере того, как старые домены попадают в черные списки и удаляются. Инфраструктура адаптируется быстрее, чем успевают отреагировать большинство регистраторов и хостинг-провайдеров.
Более 55 доменов — одна операция
В ходе нашего расследования была выявлена обширная сеть фишинговых доменов, на всех которых размещены идентичные или практически идентичные интерфейсы обменника BUYTRX. Эти домены размещены на платформах Cloudflare Workers, Cloudflare Pages, а также на физических серверах.
Активные домены
| Домен | Тип | Хостинг |
|---|---|---|
trxev.com | Начальная | Cloudflare |
trxmo.com | Начальная школа + API | Cloudflare |
buytrx.mov | Активный | Cloudflare |
buytrx.cx | Активный | Cloudflare |
trxdc.org | Активный | Cloudflare |
buytrx.bet | Активный | Cloudflare |
buytrx.store | Активный | Cloudflare |
buytrx.click | Активный | Cloudflare |
trxfx.com | Активный | Cloudflare |
trxsw.org | Активный | Cloudflare |
Cloudflare Workers и Pages
| Поддомен | Платформа |
|---|---|
shrill-haze-5ff7.buytrx.workers.dev | Рабочие |
exchange.swap-trx.workers.dev | Рабочие |
buytrx.pages.dev | Страницы |
swap-trx.pages.dev | Страницы |
Серверы Origin
| IP-адрес | Поставщик | Цель |
|---|---|---|
107.155.88.198 | HIVELOCITY (AS29802) | Первоначальное происхождение |
46.21.151.194 | HVC-AS | Вторичное происхождение |
Еще один Более 50 доменов из вторичного рынка были выявлены, в том числе:
buytrx.net, buytrx.org, buytrx.io, buytrx.co, buytrx.exchange, buytrx.app, buytrx.pro, buytrx.cc, buytrx.xyz, buytrx.site, buytrx.online, buytrx.live, buytrx.fun, buytrx.top, buytrx.vip, trxswap.org, trxswap.net, trxswap.io, trxswap.com, trxflip.com, trxev.org, trxmo.org, trxnw.com, trxfn.com, trxwb.com, swaptrx.org, swaptrx.net, swaptrx.ioи многое другое.
Более 50 доменов были заблокированы и заменены. Инфраструктура адаптируется быстрее, чем успевают отреагировать большинство регистраторов.
API без аутентификации — полностью открытый бэкенд
Операция BUYTRX выполняется на 6 конечных точек API Express.js используют одну базу данных. Основной API размещен по адресу api.trxmo.com. Каждый конечный пункт возвращает полные данные о жертве без какой-либо аутентификации.
Неаутентифицированные конечные точки
| Конечная точка | Возврат |
|---|---|
GET /api/records | Все записи о пострадавших |
GET /api/records/:id | Подробная информация о конкретной жертве |
GET /api/stats | Статистика работы |
POST /api/records | Создать новую запись |
PUT /api/records/:id | Обновить запись |
DELETE /api/records/:id | Удалить запись |
Панель администратора без авторизации
Доступ к панели администратора можно получить по адресу /8fb198a6e9b7af32 — хеш-путь, основанный на принципе «безопасности за счет скрытности», с без аутентификации. Он предоставляет ленту новостей о жертвах в режиме реального времени, в которой отображаются:
- Адреса кошельков всех пострадавших
- Идентификаторы транзакций (хэши подтверждений)
- IP-адреса пострадавших
- Временные метки каждого взаимодействия
- Размер разрешенных сумм (обычно MAX_UINT256)
{
"records": [
{
"id": 1,
"wallet": "TKjdnS...redacted",
"txHash": "a8f3e2...redacted",
"ip": "185.xxx.xxx.xxx",
"amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
"status": "approved",
"createdAt": "2026-02-14T09:23:41.000Z"
}
]
}Обнаружены дополнительные уязвимости:
- Слабое ограничение скорости: 6 запросов на одно окно, что легко обойти с помощью ротации IP-адресов
- Утечка заголовков в Express.js:
X-Powered-By: Expressраскрывает секреты серверных технологий - Возможный XSS с отложенным выполнением: Административная панель отображает строки user-agent без предварительной очистки
Адрес кошелька, IP-адрес, хэш транзакции и сумма утверждения любой жертвы доступны всего за один неавторизованный запрос GET. Никаких API-ключей. Никаких токенов. Никакой безопасности.
Доказательства, содержащиеся в цепочке блоков
Контракты-дрейнеры развернуты в сети TRON и активно используются для обработки транзакций по утверждению от имени потерпевших.
| Договор | Этикетка | Развернуто | Транзакции |
|---|---|---|---|
Повернись, и ты увидишь... | SwapTRX (текущий) | 13 декабря 2025 года | Активный |
Рентгеновский снимок головного мозга. | Старый договор | Ранее | Зарегистрировано 323 |
4 подтвержденных транзакции с одобрением в цепочке были сопоставлены с записями о жертвах в утечке базы данных (записи 1–10). Записи 11–30, по-видимому, являются тестовые данные оператора — тестовые кошельки с небольшими суммами, последовательными временными интервалами и одинаковыми диапазонами IP-адресов.
Интеграция с WalletConnect
Фишинговые сайты используют WalletConnect для вызова запроса на подтверждение в мобильных кошельках. В этой схеме используется один Идентификатор проекта WalletConnect:
31eee2e7b3ff1dc4ebdfa6f839467664
Этот идентификатор проекта необходимо сообщить в WalletConnect для немедленного внесения в черный список.
По следам денег — Google Ads и атрибуция
Пожалуй, самый тревожный вывод: Операторы BUYTRX платят Google за рекламу своего сервиса по сбору средств.
| Показатель | Значение |
|---|---|
| Аккаунт Google Ads | AW-17287232508 |
| Отслеживание конверсий | Отслеживает успешные утверждения как конверсии |
| Контакт в Telegram | @buytrx9 («Buytron») |
| Язык панели администратора | Упрощённый китайский |
В аккаунте Google Ads отслеживаются успешные подтверждения кошельков в качестве событий конверсии. Это означает, что рекламная платформа Google буквально оптимизирует показ рекламы, чтобы найти больше жертв для программы, крадущей криптовалюту, — и при этом получает вознаграждение за эту услугу.
Панель администратора полностью выполнена на Упрощённый китайский, с такими элементами интерфейса, как 日間 / 夜間 (переключение между дневным и ночным режимами) и комментарии в исходном коде на китайском языке. Ник в Telegram @buytrx9 является основным каналом связи с оператором.
Google получает деньги за оптимизацию показа рекламы в рамках фишинговой операции. Рекламодатели не скрывают своих намерений — они платят за таргетированный трафик и оценивают «успех» по количеству опустошенных кошельков.
Рекомендации по удалению
Эта операция затрагивает интересы нескольких поставщиков услуг. Требуется скоординированная отчетность по всем направлениям:
Cloudflare
Сообщите о злоупотреблениях со стороны пользователей, злоупотреблениях со страницами и записях DNS для всех более чем 55 доменов. Массовая отправка сообщений о злоупотреблениях с полным списком доменов.
Регистраторы доменов
Более 55 доменов, зарегистрированных у различных регистраторов. По каждому из них необходимо подать отдельное заявление о злоупотреблении с указанием фактов фишинга и финансового мошенничества.
Высокая скорость
Сервер Origin с адресом 107.155.88.198, на котором размещен бэкэнд API. Сообщение о размещении фишинговой инфраструктуры.
WalletConnect
Идентификатор проекта «Черный список» 31eee2e7b3ff1dc4ebdfa6f839467664 чтобы фишинговые сайты не вызывали запросы на подпись кошелька.
Тронскан
Контракты на установку дренажных систем TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 и TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.
Google Ads
Сообщить об аккаунте AW-17287232508 для рекламы фишинга и финансового мошенничества. Отслеживание конверсий подтверждает злонамеренные намерения.
Доказательства и исходные данные
Полный технический анализ: домены, API, контракты и атрибуция.
Более 55 доменов с данными о хостинге, информацией о регистрации и текущим статусом.
Неотредактированные ответы API от неавторизованного бэкэнда. 30 записей.
Действующий контракт с дрейнером на TRON. Просмотр транзакций и утверждений в цепочке блоков.
Проверить. Отменить. Сообщить.
Если вы взаимодействовали с каким-либо доменом BUYTRX, немедленно проверьте свои разрешения на использование токенов TRON. Отмените все подозрительные разрешения и сообщите об этих доменах.
