BUYTRX Ortaya Çıktı: 55 Alan Adı, Sıfır Otorizasyon API’si ve Bir TRON Onay Hırsızlığı Olayının İncelenmesi
TRON USDT onay dolandırıcılığı operasyonu · Açığa çıkan arka uç · Zincir üstü kanıtlar · Google Ads kaynaklı finansman

BUYTRX Nedir?
BUYTRX, meşru bir kripto para takas hizmeti kılığına girmiş, TRON tabanlı bir USDT onay hırsızlığı operasyonudur. Bu siteler, USDT’yi cazip oranlarda TRX’e dönüştüreceğini vaat eden, profesyonel görünümlü arayüzler sunmaktadır. Ancak söz konusu “takas” hiçbir zaman gerçekleşmez.
Bunun yerine, mağdurdan bir belgeyi imzalaması istenir approve(MAX_UINT256) USDT (TRC-20) akıllı sözleşmesi üzerindeki işlem. Bu tek imza, saldırganın fon çekme sözleşmesine sınırsız izin onay manuel olarak iptal edilene kadar, mağdurun tüm USDT bakiyesini — şu andan itibaren ve sonsuza kadar — aktarmak.
Onay zincir üzerinde teyit edildiğinde, operatör şu çağrıyı yapar: transferFrom() cüzdanı boşaltmak için. Mağdur hiçbir şey fark etmez. Değişim yok. TRX yok. Sadece boş bir bakiye.
approve() çağrısı token aktarımı yapmaz — sadece izin verir. Asıl hırsızlık, saniyeler ya da saatler sonra transferFrom() aracılığıyla fark edilmeden gerçekleşir. Kurbanların çoğu bu iki işlemi birbiriyle ilişkilendiremez.
Operasyon en azından şu tarihten beri devam ediyor: Temmuz 2025, eski alan adları ihbar edilip kaldırıldıkça düzinelerce alan adı arasında geçiş yapıyor. Bu altyapı, çoğu alan adı kayıt kuruluşu ve barındırma sağlayıcısının tepki verebileceğinden daha hızlı bir şekilde uyum sağlıyor.
55'ten fazla alan adı — Tek işlem
Yaptığımız araştırma, hepsi de aynı ya da neredeyse aynı BUYTRX takas arayüzlerini barındıran, geniş bir kimlik avı alan adı ağını ortaya çıkardı. Bu alan adları, Cloudflare Workers, Cloudflare Pages ve bare-metal kaynak sunucularını kapsamaktadır.
Şu Anda Etkin Olan Alan Adları
| Etki Alanı | Tür | Barındırma |
|---|---|---|
trxev.com | İlkokul | Cloudflare |
trxmo.com | Birincil + API | Cloudflare |
buytrx.mov | Etkin | Cloudflare |
buytrx.cx | Etkin | Cloudflare |
trxdc.org | Etkin | Cloudflare |
buytrx.bet | Etkin | Cloudflare |
buytrx.store | Etkin | Cloudflare |
buytrx.click | Etkin | Cloudflare |
trxfx.com | Etkin | Cloudflare |
trxsw.org | Etkin | Cloudflare |
Cloudflare Workers ve Pages
| Alt etki alanı | Platform |
|---|---|
shrill-haze-5ff7.buytrx.workers.dev | İşçiler |
exchange.swap-trx.workers.dev | İşçiler |
buytrx.pages.dev | Sayfalar |
swap-trx.pages.dev | Sayfalar |
Origin Sunucuları
| IP Adresi | Sağlayıcı | Amaç |
|---|---|---|
107.155.88.198 | HIVELOCITY (AS29802) | Birincil kaynak |
46.21.151.194 | HVC-AS | İkincil köken |
Bir başka 50'den fazla geri dönüştürülmüş alan adı aşağıdakiler de dahil olmak üzere tespit edildi:
buytrx.net buytrx.org buytrx.io buytrx.co buytrx.exchange buytrx.app buytrx.pro buytrx.cc buytrx.xyz buytrx.site buytrx.online buytrx.live buytrx.fun buytrx.top buytrx.vip trxswap.org trxswap.net trxswap.io trxswap.com trxflip.com trxev.org trxmo.org trxnw.com trxfn.com trxwb.com swaptrx.org swaptrx.net swaptrx.io ve daha niceleri.
50'den fazla alan adı silinip yenileriyle değiştirildi. Altyapı, çoğu kayıt kuruluşunun tepki vermesinden daha hızlı bir şekilde uyum sağlıyor.
Zero Auth API’leri — Tamamen Açık Arka Uç
BUYTRX işlemi şu platformda çalışır: 6 Express.js API uç noktası tek bir veritabanını paylaşarak. Ana API şu adreste barındırılmaktadır: api.trxmo.com. Her bir uç nokta, kurbanla ilgili tüm verileri döndürür herhangi bir kimlik doğrulama yapılmadan.
Kimlik Doğrulaması Yapılmamış Uç Noktalar
| Uç nokta | İadeler |
|---|---|
GET /api/records | Tüm mağdur kayıtları |
GET /api/records/:id | Mağdurun kişisel bilgileri |
GET /api/stats | İşlem istatistikleri |
POST /api/records | Yeni kayıt oluştur |
PUT /api/records/:id | Kaydı güncelle |
DELETE /api/records/:id | Kayıdı sil |
Kimlik Doğrulaması Yapılmamış Yönetici Paneli
Yönetici paneline şu adresten erişilebilir: /8fb198a6e9b7af32 — “gizlilik yoluyla güvenlik” yaklaşımına dayalı bir hash yöntemi ile kimlik doğrulama yok. Şu bilgileri içeren gerçek zamanlı mağdur güncellemesi sunar:
- Her mağdurun cüzdan adresleri
- İşlem Kimlikleri (onay hash'leri)
- Mağdurların IP adresleri
- Her etkileşimin zaman damgaları
- Onay tutarları (genellikle MAX_UINT256)
{
"records": [
{
"id": 1,
"wallet": "TKjdnS...redacted",
"txHash": "a8f3e2...redacted",
"ip": "185.xxx.xxx.xxx",
"amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
"status": "approved",
"createdAt": "2026-02-14T09:23:41.000Z"
}
]
} Keşfedilen diğer güvenlik açıkları:
- Zayıf hız sınırlayıcı: Pencere başına 6 istek; IP rotasyonu ile kolayca atlatılabilir
- Express.js başlık sızıntısı:
X-Powered-By: Expresssunucu teknolojisini ortaya koyuyor - Olası depolanmış XSS: Yönetici paneli, temizlenmemiş kullanıcı ajanı dizelerini görüntüler
Her kurbanın cüzdan adresi, IP adresi, işlem hash'i ve onay tutarı, tek bir kimlik doğrulaması yapılmamış GET isteği ile elde edilebilir. Sıfır API anahtarı. Sıfır token. Sıfır güvenlik.
Zincir Üzerindeki Kanıtlar
Drainer sözleşmeleri TRON ağında devreye alınmış olup, mağdurların onay işlemlerini gerçekleştirmek için aktif olarak kullanılmaktadır.
| Sözleşme | Etiket | Yerleştirildi | İşlemler |
|---|---|---|---|
TRnruCYe2k...UPJ8
|
SwapTRX (Güncel) | 13 Aralık 2025 | Etkin |
TXwXfz8Bp9...uHnS
|
Eski Sözleşme | Daha önce | 323 kayıtlı |
Zincir üzerinde onaylanmış 4 işlem şu kayıtlar, ifşa edilen veritabanındaki mağdur kayıtlarıyla eşleştirildi (kayıtlar 1–10). 11–30 numaralı kayıtlar ise işletici test verileri — küçük tutarlar, sıralı zamanlama kalıpları ve aynı IP aralıklarına sahip test cüzdanları.
WalletConnect Entegrasyonu
Kimlik avı siteleri, mobil cüzdanlarda onay imzası isteğini tetiklemek için WalletConnect’i kullanıyor. Bu işlemde tek bir WalletConnect Proje Kimliği:
31eee2e7b3ff1dc4ebdfa6f839467664
Bu Proje Kimliği, derhal kara listeye alınması için WalletConnect’e bildirilmelidir.
Paranın İzini Sürmek — Google Ads ve Atıflandırma
Belki de en rahatsız edici bulgu şudur: BUYTRX operatörleri, reklam vermek için Google’a ödeme yapıyorlar drainer.
| Gösterge | Değer |
|---|---|
| Google Ads Hesabı |
AW-17287232508
|
| Dönüşüm Takibi | Başarılı onayları dönüşüm olarak takip eder |
| Telegram İletişim Bilgileri | @buytrx9 ("Buytron") |
| Yönetici Paneli Dili | Basitleştirilmiş Çince |
Google Ads hesabı şunları izler: başarılı cüzdan onayları, dönüşüm olayları olarak. Bu, Google’ın reklam platformunun, bir kripto para hırsızlığı programı için daha fazla kurban bulmak amacıyla reklam gösterimini kelimenin tam anlamıyla optimize ettiği ve bu hizmet karşılığında ödeme aldığı anlamına geliyor.
Yönetici kontrol paneli tamamen Basitleştirilmiş Çince, şu tür kullanıcı arayüzü öğeleriyle: 日間 / 夜間 (gündüz/gece modu geçişleri) ve Çince kaynak kodu yorumları. Telegram kullanıcı adı @buytrx9 operatörle iletişim kurmak için birincil kanal olarak işlev görür.
Google, bir kimlik avı operasyonu için reklam gösterimini optimize etmesi karşılığında ödeme alıyor. Reklamverenler bunu gizlemiyor; hedefli trafik için ödeme yapıyorlar ve “başarıyı”, kaç kişinin cüzdanının boşaltıldığına göre ölçüyorlar.
Kaldırma Önerileri
Bu operasyon, birden fazla hizmet sağlayıcıyı ilgilendiriyor. Tüm kanallarda koordineli bir raporlama yapılması gerekiyor:
Cloudflare
55'ten fazla alan adının tümü için İşçi suistimali, Sayfa suistimali ve DNS kayıtlarını bildirin. Tam alan adı listesi içeren toplu suistimal raporu.
Alan Adı Kayıt Kuruluşları
Birden fazla kayıt kuruluşunda bulunan 55'ten fazla alan adı. Her biri için, kimlik avı ve finansal dolandırıcılığı gerekçe gösteren ayrı ayrı kötüye kullanım bildirimleri gereklidir.
HIVELOCITY
Arka uç API’sini barındıran 107.155.88.198 adresindeki Origin sunucusu. Kimlik avı altyapısını barındırdığı gerekçesiyle rapor edildi.
WalletConnect
Kara Liste Proje Kimliği 31eee2e7b3ff1dc4ebdfa6f839467664 kimlik avı sitelerinin cüzdan imzalama uyarılarını tetiklemesini önlemek için.
Tronscan
Bayraklı süzgeç sözleşmeleri TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 ve TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.
Google Ads
Hesabı bildir AW-17287232508 kimlik avı ve finansal dolandırıcılık reklamları nedeniyle. Dönüşüm takibi, kötü niyetin kanıtıdır.
Kanıtlar ve Kaynak Veriler
Kapsamlı teknik analiz: alan adları, API’ler, sözleşmeler ve kaynak gösterimi.
Barındırma ayrıntıları, kayıt bilgileri ve güncel durumu içeren 55'ten fazla alan adı.
Kimlik doğrulaması yapılmamış arka uçtan gelen, sansürsüz API yanıtları. 30 kayıt.
TRON üzerinde aktif bir drainer sözleşmesi. Zincir üzerindeki işlemleri ve onayları görüntüleyin.
Kontrol et. İptal et. Bildir.
Herhangi bir BUYTRX alan adıyla etkileşimde bulunduysanız, TRON token onaylarınızı derhal kontrol edin. Şüpheli onayları iptal edin ve bu alan adlarını bildirin.





