Перейти до основного вмісту
Назад до новин
ДЕМОНТАЖ ІНФРАСТРУКТУРИ СИСТЕМИ ВІДВЕДЕННЯ ВОДИ

Розкриття BUYTRX: 55 доменів, відсутність API для авторизації та детальний аналіз схеми виведення коштів через TRON Approval Drainer

Фішинг-операція з використанням «TRON USDT approval» · Виявлений бекенд · Докази в блокчейні · Фінансування через Google Ads

«BuyTRX Drainer» — розкриття таємниці
0+
Фішингові домени
0
Відкриті записи про жертв
0
Аутентифікація через API
$0
Вартість доступу до всіх даних

Що таке BUYTRX?

BUYTRX — це операція з виведення коштів під виглядом легального сервісу обміну криптовалют, що базується на мережі TRON і використовує USDT. Сайти мають професійно оформлений інтерфейс і обіцяють конвертувати USDT у TRX за привабливими курсами. Однак «обмін» так і не відбувається.

Натомість потерпілому пропонують підписати approve(MAX_UINT256) транзакція на смарт-контракті USDT (TRC-20). Цей єдиний підпис надає контракту зливу зловмисника необмежений дозвіл переказати весь баланс USDT жертви — відтепер і назавжди — доти, доки це схвалення не буде скасовано вручну.

Як тільки затвердження підтвердиться в ланцюжку блоків, оператор здійснює дзвінок transferFrom() щоб викрасти кошти з гаманця. Жертва нічого не помічає. Ніякого обміну. Ніякого TRX. Лише порожній баланс.

Один підпис. Необмежений доступ. Можливість постійного зливу.

Виклик функції approve() не передбачає передачу токенів — він лише надає дозвіл. Фактичне викрадення відбувається непомітно за допомогою функції transferFrom() через кілька секунд або годин. Більшість жертв ніколи не пов’язують ці дві транзакції між собою.

Операція триває щонайменше з Липень 2025 року, переходячи з одного домену на інший, оскільки старі домени виявляються та видаляються. Ця інфраструктура адаптується швидше, ніж встигають зреагувати більшість реєстраторів та хостинг-провайдерів.

Понад 55 доменів — одна операція

Наше розслідування виявило розгалужену мережу фішингових доменів, які всі обслуговують ідентичні або майже ідентичні інтерфейси обміну BUYTRX. Ці домени розміщені на Cloudflare Workers, Cloudflare Pages та на фізичних серверах-джерелах.

Домени, що наразі активні

ДоменТипХостинг
trxev.comПочатковаCloudflare
trxmo.comПочаткова освіта + APICloudflare
buytrx.movАктивнийCloudflare
buytrx.cxАктивнийCloudflare
trxdc.orgАктивнийCloudflare
buytrx.betАктивнийCloudflare
buytrx.storeАктивнийCloudflare
buytrx.clickАктивнийCloudflare
trxfx.comАктивнийCloudflare
trxsw.orgАктивнийCloudflare

Cloudflare Workers та Pages

ПіддоменПлатформа
shrill-haze-5ff7.buytrx.workers.devПрацівники
exchange.swap-trx.workers.devПрацівники
buytrx.pages.devСторінки
swap-trx.pages.devСторінки

Сервери Origin

IP-адресаПостачальникМета
107.155.88.198HIVELOCITY (AS29802)Первинне походження
46.21.151.194HVC-ASВторинне походження

Ще одне Понад 50 доменів із вторинного ринку були виявлені, зокрема:

buytrx.net buytrx.org buytrx.io buytrx.co buytrx.exchange buytrx.app buytrx.pro buytrx.cc buytrx.xyz buytrx.site buytrx.online buytrx.live buytrx.fun buytrx.top buytrx.vip trxswap.org trxswap.net trxswap.io trxswap.com trxflip.com trxev.org trxmo.org trxnw.com trxfn.com trxwb.com swaptrx.org swaptrx.net swaptrx.io та багато іншого.

Понад 50 доменів було видалено та замінено. Інфраструктура адаптується швидше, ніж встигають реагувати більшість реєстраторів.

API без авторизації — повністю відкритий бекенд

Операція BUYTRX виконується на 6 кінцевих точок API Express.js використовуючи єдину базу даних. Основний API розміщений за адресою api.trxmo.com. Кожен кінцевий пункт повертає повні дані про жертву без будь-якої аутентифікації.

Неавтентифіковані кінцеві точки

Кінцева точкаПовернення
GET /api/recordsУсі записи про потерпілих
GET /api/records/:idДетальна інформація про окрему жертву
GET /api/statsСтатистика роботи
POST /api/recordsСтворити новий запис
PUT /api/records/:idОновити запис
DELETE /api/records/:idВидалити запис

Панель адміністратора без авторизації

Доступ до панелі адміністратора можна отримати за адресою /8fb198a6e9b7af32 — шлях хешування за принципом «безпека через прихованість» із відсутність автентифікації. Він надає стрічку новин про потерпілих у режимі реального часу, де відображається:

  • Адреси гаманців кожної жертви
  • Ідентифікатори транзакцій (хеші підтвердження)
  • IP-адреси жертв
  • Часові мітки кожної взаємодії
  • Суми затвердження (зазвичай MAX_UINT256)
НЕАВТЕНТИФІКОВАНА ВІДПОВІДЬ API — api.trxmo.com
{
  "records": [
    {
      "id": 1,
      "wallet": "TKjdnS...redacted",
      "txHash": "a8f3e2...redacted",
      "ip": "185.xxx.xxx.xxx",
      "amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
      "status": "approved",
      "createdAt": "2026-02-14T09:23:41.000Z"
    }
  ]
}

Виявлено додаткові вразливості:

  • Слабке обмеження швидкості: 6 запитів на одне вікно, що легко обходиться за допомогою ротації IP-адрес
  • Витік даних із заголовка Express.js: X-Powered-By: Express розкриває технологію серверів
  • Потенційний XSS, що зберігається: Адміністративна панель відображає неперевірені рядки «user-agent»
Оператори створили систему для збору даних, але забули забезпечити безпеку власного серверного середовища.

Адреса гаманця, IP-адреса, хеш транзакції та сума затвердження кожної жертви доступні за допомогою одного неавтентифікованого запиту GET. Жодних API-ключів. Жодних токенів. Жодної безпеки.

Докази з блокчейну

Контракти-драйнери розгорнуті в мережі TRON і активно використовуються для обробки транзакцій затвердження від жертв.

ДоговірЕтикеткаРозгорнутоТранзакції
TRnruCYe2k...UPJ8 SwapTRX (наразі) 13 грудня 2025 року Активний
TXwXfz8Bp9...uHnS Старий контракт Раніше Зареєстровано 323

4 підтверджені транзакції з затвердженням у ланцюжку блоків були зіставлені із записами про жертв у базі даних, що потрапила у відкритий доступ (записи 1–10). Записи 11–30, судячи з усього, є тестові дані оператора — тестові гаманці з невеликими сумами, послідовними часовими інтервалами та однаковими діапазонами IP-адрес.

Інтеграція з WalletConnect

Фішингові сайти використовують WalletConnect для виведення запиту на підтвердження у мобільних гаманцях. Ця операція використовує єдиний Ідентифікатор проєкту WalletConnect:

31eee2e7b3ff1dc4ebdfa6f839467664

Цей ідентифікатор проекту слід повідомити WalletConnect для негайного внесення до чорного списку.

Слідуючи за грошима — Google Ads та атрибуція

Мабуть, найтривожніший висновок: Оператори BUYTRX платять Google за рекламу свого драйнера.

Показник Значення
Обліковий запис Google Ads AW-17287232508
Відстеження конверсій Відстежує успішні затвердження як конверсії
Контакт у Telegram @buytrx9 («Buytron»)
Мова панелі адміністратораСпрощена китайська

Акаунт Google Ads відстежує успішні затвердження гаманців як події конвертації. Це означає, що рекламна платформа Google буквально оптимізує показ реклами, щоб знайти більше жертв для програми, що викачує криптовалюту, — і отримує плату за цю послугу.

Панель адміністратора повністю виконана на Спрощена китайська, з такими елементами інтерфейсу, як 日間 / 夜間 (перемикання між денним і нічним режимами) та коментарі до вихідного коду китайською мовою. Нік у Telegram @buytrx9 виступає основним каналом зв’язку з оператором.

Вони проводять рекламні кампанії в Google Ads, в яких успішні виведення коштів з гаманця відстежуються як події конверсії.

Google отримує гроші за оптимізацію показу реклами в рамках фішингової операції. Рекламодавці не приховують своїх намірів — вони платять за цільовий трафік і оцінюють «успіх» за кількістю спустошених гаманців.

Рекомендації щодо ліквідації контенту

Ця операція зачіпає інтереси багатьох постачальників послуг. Необхідна скоординована звітність за всіма напрямками:

Cloudflare

Повідомте про зловживання з боку користувачів, зловживання на сторінках та записи DNS для всіх понад 55 доменів. Масове повідомлення про зловживання з повним переліком доменів.

Реєстратори доменів

Понад 55 доменів у різних реєстраторів. Щодо кожного з них потрібно подати окремий звіт про зловживання, вказавши фішинг та фінансове шахрайство.

HIVELOCITY

Сервер Origin за адресою 107.155.88.198, на якому розміщено серверну частину API. Повідомлення про розміщення фішингової інфраструктури.

WalletConnect

Ідентифікатор проекту «Чорний список» 31eee2e7b3ff1dc4ebdfa6f839467664 щоб запобігти тому, щоб фішингові сайти викликали запити на підписання гаманця.

Tronscan

Контракти на обслуговування дренажних систем «Flag» TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 та TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.

Google Ads

Повідомити про обліковий запис AW-17287232508 за рекламу фішингу та фінансового шахрайства. Відстеження конверсій підтверджує зловмисний намір.

Докази та вихідні дані

Повний розбір інфраструктури

Повний технічний аналіз: домени, API, контракти та атрибуція.

Список доменів та детальна інформація

Понад 55 доменів із даними про хостинг, інформацією про реєстрацію та поточним статусом.

Дамп необроблених даних про жертв API

Невідредаговані відповіді API з неавтентифікованого серверного модуля. 30 записів.

Tronscan: Контракт SwapTRX

Діючий контракт «drainer» на TRON. Перегляньте транзакції та затвердження в ланцюжку.

Перевірити. Скасувати. Повідомити.

Мережа фішингових доменів BuyTRX — детальна карта кластерів
Мережа фішингових доменів BuyTRX — детальна карта кластерів
Огляд мережі доменів BuyTRX — взаємопов’язана фішингова інфраструктура
Огляд мережі доменів BuyTRX — взаємопов’язана фішингова інфраструктура
Грошові потоки BuyTRX — як викрадені TRX проходять через ланцюжок відмивання коштів
Грошові потоки BuyTRX — як викрадені TRX проходять через ланцюжок відмивання коштів

Якщо ви взаємодіяли з будь-яким доменом BUYTRX, негайно перевірте свої дозволи на використання токенів TRON. Скасуйте всі підозрілі дозволи та повідомте про ці домени.

Скасувати затвердження токенів Повідомити про домен Інструменти DestroyList
#CryptoDrainer#BuyTRX#OSINT#PhishingInfrastructure#TronScam

Пов’язані розслідування

Набір інструментів «Crypto Drainer»: викрито реселерів «Angel Drainer»
ГЛИБОКЕ РОЗСЛІДУВАННЯ
Набір інструментів «Crypto Drainer»: викрито реселерів «Angel Drainer»
Панель з фішингових атак на Trust Wallet: викрадено 239 тис. доларів, 6 зловмисників
ГЛИБОКЕ РОЗСЛІДУВАННЯ
Панель з фішингових атак на Trust Wallet: викрадено 239 тис. доларів, 6 зловмисників
Викриття шахраїв: детальний аналіз 4 шахрайських сервісів
РОЗСЛІДУВАННЯ
Викриття шахраїв: детальний аналіз 4 шахрайських сервісів
Повідомлення про прозорість. PhishDestroy — це некомерційний, незалежний проєкт. Наші дослідження можуть містити певну упередженість щодо інфраструктури шахрайства та сервісів, що її підтримують. Ми закликаємо читачів критично та самостійно оцінювати всі матеріали. Ознайомтеся з повною версією нашої заяви про прозорість →