Ana içeriğe atla
Haberlere Geri Dön
DRAINER ALTYAPI SÖKÜMÜ

BUYTRX Ortaya Çıktı: 55 Alan Adı, Sıfır Otorizasyon API’si ve Bir TRON Onay Hırsızlığı Olayının İncelenmesi

TRON USDT onay dolandırıcılığı operasyonu · Açığa çıkan arka uç · Zincir üstü kanıtlar · Google Ads kaynaklı finansman

BuyTRX Drainer Ortaya Çıktı
0+
Kimlik Avı Alan Adları
0
Açığa Çıkan Mağdur Kayıtları
0
API Kimlik Doğrulaması
$0
Tüm Verilere Erişim Maliyeti

BUYTRX Nedir?

BUYTRX, meşru bir kripto para takas hizmeti kılığına girmiş, TRON tabanlı bir USDT onay hırsızlığı operasyonudur. Bu siteler, USDT’yi cazip oranlarda TRX’e dönüştüreceğini vaat eden, profesyonel görünümlü arayüzler sunmaktadır. Ancak söz konusu “takas” hiçbir zaman gerçekleşmez.

Bunun yerine, mağdurdan bir belgeyi imzalaması istenir approve(MAX_UINT256) USDT (TRC-20) akıllı sözleşmesi üzerindeki işlem. Bu tek imza, saldırganın fon çekme sözleşmesine sınırsız izin onay manuel olarak iptal edilene kadar, mağdurun tüm USDT bakiyesini — şu andan itibaren ve sonsuza kadar — aktarmak.

Onay zincir üzerinde teyit edildiğinde, operatör şu çağrıyı yapar: transferFrom() cüzdanı boşaltmak için. Mağdur hiçbir şey fark etmez. Değişim yok. TRX yok. Sadece boş bir bakiye.

Tek bir imza. Sınırsız erişim. Sürekli veri aktarım imkanı.

approve() çağrısı token aktarımı yapmaz — sadece izin verir. Asıl hırsızlık, saniyeler ya da saatler sonra transferFrom() aracılığıyla fark edilmeden gerçekleşir. Kurbanların çoğu bu iki işlemi birbiriyle ilişkilendiremez.

Operasyon en azından şu tarihten beri devam ediyor: Temmuz 2025, eski alan adları ihbar edilip kaldırıldıkça düzinelerce alan adı arasında geçiş yapıyor. Bu altyapı, çoğu alan adı kayıt kuruluşu ve barındırma sağlayıcısının tepki verebileceğinden daha hızlı bir şekilde uyum sağlıyor.

55'ten fazla alan adı — Tek işlem

Yaptığımız araştırma, hepsi de aynı ya da neredeyse aynı BUYTRX takas arayüzlerini barındıran, geniş bir kimlik avı alan adı ağını ortaya çıkardı. Bu alan adları, Cloudflare Workers, Cloudflare Pages ve bare-metal kaynak sunucularını kapsamaktadır.

Şu Anda Etkin Olan Alan Adları

Etki AlanıTürBarındırma
trxev.comİlkokulCloudflare
trxmo.comBirincil + APICloudflare
buytrx.movEtkinCloudflare
buytrx.cxEtkinCloudflare
trxdc.orgEtkinCloudflare
buytrx.betEtkinCloudflare
buytrx.storeEtkinCloudflare
buytrx.clickEtkinCloudflare
trxfx.comEtkinCloudflare
trxsw.orgEtkinCloudflare

Cloudflare Workers ve Pages

Alt etki alanıPlatform
shrill-haze-5ff7.buytrx.workers.devİşçiler
exchange.swap-trx.workers.devİşçiler
buytrx.pages.devSayfalar
swap-trx.pages.devSayfalar

Origin Sunucuları

IP AdresiSağlayıcıAmaç
107.155.88.198HIVELOCITY (AS29802)Birincil kaynak
46.21.151.194HVC-ASİkincil köken

Bir başka 50'den fazla geri dönüştürülmüş alan adı aşağıdakiler de dahil olmak üzere tespit edildi:

buytrx.net buytrx.org buytrx.io buytrx.co buytrx.exchange buytrx.app buytrx.pro buytrx.cc buytrx.xyz buytrx.site buytrx.online buytrx.live buytrx.fun buytrx.top buytrx.vip trxswap.org trxswap.net trxswap.io trxswap.com trxflip.com trxev.org trxmo.org trxnw.com trxfn.com trxwb.com swaptrx.org swaptrx.net swaptrx.io ve daha niceleri.

50'den fazla alan adı silinip yenileriyle değiştirildi. Altyapı, çoğu kayıt kuruluşunun tepki vermesinden daha hızlı bir şekilde uyum sağlıyor.

Zero Auth API’leri — Tamamen Açık Arka Uç

BUYTRX işlemi şu platformda çalışır: 6 Express.js API uç noktası tek bir veritabanını paylaşarak. Ana API şu adreste barındırılmaktadır: api.trxmo.com. Her bir uç nokta, kurbanla ilgili tüm verileri döndürür herhangi bir kimlik doğrulama yapılmadan.

Kimlik Doğrulaması Yapılmamış Uç Noktalar

Uç noktaİadeler
GET /api/recordsTüm mağdur kayıtları
GET /api/records/:idMağdurun kişisel bilgileri
GET /api/statsİşlem istatistikleri
POST /api/recordsYeni kayıt oluştur
PUT /api/records/:idKaydı güncelle
DELETE /api/records/:idKayıdı sil

Kimlik Doğrulaması Yapılmamış Yönetici Paneli

Yönetici paneline şu adresten erişilebilir: /8fb198a6e9b7af32 — “gizlilik yoluyla güvenlik” yaklaşımına dayalı bir hash yöntemi ile kimlik doğrulama yok. Şu bilgileri içeren gerçek zamanlı mağdur güncellemesi sunar:

  • Her mağdurun cüzdan adresleri
  • İşlem Kimlikleri (onay hash'leri)
  • Mağdurların IP adresleri
  • Her etkileşimin zaman damgaları
  • Onay tutarları (genellikle MAX_UINT256)
DOĞRULANMAMIŞ API YANITI — api.trxmo.com
{
  "records": [
    {
      "id": 1,
      "wallet": "TKjdnS...redacted",
      "txHash": "a8f3e2...redacted",
      "ip": "185.xxx.xxx.xxx",
      "amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
      "status": "approved",
      "createdAt": "2026-02-14T09:23:41.000Z"
    }
  ]
}

Keşfedilen diğer güvenlik açıkları:

  • Zayıf hız sınırlayıcı: Pencere başına 6 istek; IP rotasyonu ile kolayca atlatılabilir
  • Express.js başlık sızıntısı: X-Powered-By: Express sunucu teknolojisini ortaya koyuyor
  • Olası depolanmış XSS: Yönetici paneli, temizlenmemiş kullanıcı ajanı dizelerini görüntüler
Operatörler bir su tahliye sistemi kurdular, ancak kendi arka uçlarını güvenli hale getirmeyi unuttular.

Her kurbanın cüzdan adresi, IP adresi, işlem hash'i ve onay tutarı, tek bir kimlik doğrulaması yapılmamış GET isteği ile elde edilebilir. Sıfır API anahtarı. Sıfır token. Sıfır güvenlik.

Zincir Üzerindeki Kanıtlar

Drainer sözleşmeleri TRON ağında devreye alınmış olup, mağdurların onay işlemlerini gerçekleştirmek için aktif olarak kullanılmaktadır.

SözleşmeEtiketYerleştirildiİşlemler
TRnruCYe2k...UPJ8 SwapTRX (Güncel) 13 Aralık 2025 Etkin
TXwXfz8Bp9...uHnS Eski Sözleşme Daha önce 323 kayıtlı

Zincir üzerinde onaylanmış 4 işlem şu kayıtlar, ifşa edilen veritabanındaki mağdur kayıtlarıyla eşleştirildi (kayıtlar 1–10). 11–30 numaralı kayıtlar ise işletici test verileri — küçük tutarlar, sıralı zamanlama kalıpları ve aynı IP aralıklarına sahip test cüzdanları.

WalletConnect Entegrasyonu

Kimlik avı siteleri, mobil cüzdanlarda onay imzası isteğini tetiklemek için WalletConnect’i kullanıyor. Bu işlemde tek bir WalletConnect Proje Kimliği:

31eee2e7b3ff1dc4ebdfa6f839467664

Bu Proje Kimliği, derhal kara listeye alınması için WalletConnect’e bildirilmelidir.

Paranın İzini Sürmek — Google Ads ve Atıflandırma

Belki de en rahatsız edici bulgu şudur: BUYTRX operatörleri, reklam vermek için Google’a ödeme yapıyorlar drainer.

Gösterge Değer
Google Ads Hesabı AW-17287232508
Dönüşüm Takibi Başarılı onayları dönüşüm olarak takip eder
Telegram İletişim Bilgileri @buytrx9 ("Buytron")
Yönetici Paneli DiliBasitleştirilmiş Çince

Google Ads hesabı şunları izler: başarılı cüzdan onayları, dönüşüm olayları olarak. Bu, Google’ın reklam platformunun, bir kripto para hırsızlığı programı için daha fazla kurban bulmak amacıyla reklam gösterimini kelimenin tam anlamıyla optimize ettiği ve bu hizmet karşılığında ödeme aldığı anlamına geliyor.

Yönetici kontrol paneli tamamen Basitleştirilmiş Çince, şu tür kullanıcı arayüzü öğeleriyle: 日間 / 夜間 (gündüz/gece modu geçişleri) ve Çince kaynak kodu yorumları. Telegram kullanıcı adı @buytrx9 operatörle iletişim kurmak için birincil kanal olarak işlev görür.

Google Ads kampanyaları yürütüyorlar ve bu kampanyalarda, cüzdanlardan başarılı bir şekilde para çekilmesini dönüşüm olayı olarak takip ediyorlar.

Google, bir kimlik avı operasyonu için reklam gösterimini optimize etmesi karşılığında ödeme alıyor. Reklamverenler bunu gizlemiyor; hedefli trafik için ödeme yapıyorlar ve “başarıyı”, kaç kişinin cüzdanının boşaltıldığına göre ölçüyorlar.

Kaldırma Önerileri

Bu operasyon, birden fazla hizmet sağlayıcıyı ilgilendiriyor. Tüm kanallarda koordineli bir raporlama yapılması gerekiyor:

Cloudflare

55'ten fazla alan adının tümü için İşçi suistimali, Sayfa suistimali ve DNS kayıtlarını bildirin. Tam alan adı listesi içeren toplu suistimal raporu.

Alan Adı Kayıt Kuruluşları

Birden fazla kayıt kuruluşunda bulunan 55'ten fazla alan adı. Her biri için, kimlik avı ve finansal dolandırıcılığı gerekçe gösteren ayrı ayrı kötüye kullanım bildirimleri gereklidir.

HIVELOCITY

Arka uç API’sini barındıran 107.155.88.198 adresindeki Origin sunucusu. Kimlik avı altyapısını barındırdığı gerekçesiyle rapor edildi.

WalletConnect

Kara Liste Proje Kimliği 31eee2e7b3ff1dc4ebdfa6f839467664 kimlik avı sitelerinin cüzdan imzalama uyarılarını tetiklemesini önlemek için.

Tronscan

Bayraklı süzgeç sözleşmeleri TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 ve TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.

Google Ads

Hesabı bildir AW-17287232508 kimlik avı ve finansal dolandırıcılık reklamları nedeniyle. Dönüşüm takibi, kötü niyetin kanıtıdır.

Kanıtlar ve Kaynak Veriler

Altyapının Tamamen Sökülmesi

Kapsamlı teknik analiz: alan adları, API’ler, sözleşmeler ve kaynak gösterimi.

Alan Adı Listesi ve Ayrıntıları

Barındırma ayrıntıları, kayıt bilgileri ve güncel durumu içeren 55'ten fazla alan adı.

İşlenmemiş API Mağdur Verileri Dökümü

Kimlik doğrulaması yapılmamış arka uçtan gelen, sansürsüz API yanıtları. 30 kayıt.

Tronscan: SwapTRX Sözleşmesi

TRON üzerinde aktif bir drainer sözleşmesi. Zincir üzerindeki işlemleri ve onayları görüntüleyin.

Kontrol et. İptal et. Bildir.

BuyTRX kimlik avı alan adı ağı — ayrıntılı küme haritası
BuyTRX kimlik avı alan adı ağı — ayrıntılı küme haritası
BuyTRX etki alanı ağına genel bakış — birbirine bağlı kimlik avı altyapısı
BuyTRX etki alanı ağına genel bakış — birbirine bağlı kimlik avı altyapısı
BuyTRX para akışı — çalınan TRX’lerin kara para aklama zinciri içinde nasıl dolaştığı
BuyTRX para akışı — çalınan TRX’lerin kara para aklama zinciri içinde nasıl dolaştığı

Herhangi bir BUYTRX alan adıyla etkileşimde bulunduysanız, TRON token onaylarınızı derhal kontrol edin. Şüpheli onayları iptal edin ve bu alan adlarını bildirin.

Jeton Onaylarını İptal Et Bir Alan Adını Bildir DestroyList Araçları
#CryptoDrainer#BuyTRX#OSINT#PhishingInfrastructure#TronScam

İlgili Soruşturmalar

Crypto Drainer Araç Seti: Angel Drainer Satıcıları Ortaya Çıktı
KAPSAMLI ARAŞTIRMA
Crypto Drainer Araç Seti: Angel Drainer Satıcıları Ortaya Çıktı
Trust Wallet Kimlik Avı Paneli: 239 bin dolar çalındı, 6 operatör
KAPSAMLI ARAŞTIRMA
Trust Wallet Kimlik Avı Paneli: 239 bin dolar çalındı, 6 operatör
Dolandırıcılar Ortaya Çıktı: 4 Dolandırıcılık Arka Ucu Ayrıntılı Olarak İncelendi
SORUŞTURMA
Dolandırıcılar Ortaya Çıktı: 4 Dolandırıcılık Arka Ucu Ayrıntılı Olarak İncelendi
Şeffaflık bildirimi. PhishDestroy, ticari amaç gütmeyen, bağımsız bir projedir. Araştırmalarımız, dolandırıcılık altyapısına ve bunu mümkün kılan hizmetlere karşı içsel bir önyargı içerebilir. Okuyucularımızı, tüm materyalleri eleştirel ve bağımsız bir şekilde değerlendirmeye davet ediyoruz. Şeffaflık beyanımızın tamamını okuyun →