Розкриття BUYTRX: 55 доменів, відсутність API для авторизації та детальний аналіз схеми виведення коштів через TRON Approval Drainer
Фішинг-операція з використанням «TRON USDT approval» · Виявлений бекенд · Докази в блокчейні · Фінансування через Google Ads

Що таке BUYTRX?
BUYTRX — це операція з виведення коштів під виглядом легального сервісу обміну криптовалют, що базується на мережі TRON і використовує USDT. Сайти мають професійно оформлений інтерфейс і обіцяють конвертувати USDT у TRX за привабливими курсами. Однак «обмін» так і не відбувається.
Натомість потерпілому пропонують підписати approve(MAX_UINT256) транзакція на смарт-контракті USDT (TRC-20). Цей єдиний підпис надає контракту зливу зловмисника необмежений дозвіл переказати весь баланс USDT жертви — відтепер і назавжди — доти, доки це схвалення не буде скасовано вручну.
Як тільки затвердження підтвердиться в ланцюжку блоків, оператор здійснює дзвінок transferFrom() щоб викрасти кошти з гаманця. Жертва нічого не помічає. Ніякого обміну. Ніякого TRX. Лише порожній баланс.
Виклик функції approve() не передбачає передачу токенів — він лише надає дозвіл. Фактичне викрадення відбувається непомітно за допомогою функції transferFrom() через кілька секунд або годин. Більшість жертв ніколи не пов’язують ці дві транзакції між собою.
Операція триває щонайменше з Липень 2025 року, переходячи з одного домену на інший, оскільки старі домени виявляються та видаляються. Ця інфраструктура адаптується швидше, ніж встигають зреагувати більшість реєстраторів та хостинг-провайдерів.
Понад 55 доменів — одна операція
Наше розслідування виявило розгалужену мережу фішингових доменів, які всі обслуговують ідентичні або майже ідентичні інтерфейси обміну BUYTRX. Ці домени розміщені на Cloudflare Workers, Cloudflare Pages та на фізичних серверах-джерелах.
Домени, що наразі активні
| Домен | Тип | Хостинг |
|---|---|---|
trxev.com | Початкова | Cloudflare |
trxmo.com | Початкова освіта + API | Cloudflare |
buytrx.mov | Активний | Cloudflare |
buytrx.cx | Активний | Cloudflare |
trxdc.org | Активний | Cloudflare |
buytrx.bet | Активний | Cloudflare |
buytrx.store | Активний | Cloudflare |
buytrx.click | Активний | Cloudflare |
trxfx.com | Активний | Cloudflare |
trxsw.org | Активний | Cloudflare |
Cloudflare Workers та Pages
| Піддомен | Платформа |
|---|---|
shrill-haze-5ff7.buytrx.workers.dev | Працівники |
exchange.swap-trx.workers.dev | Працівники |
buytrx.pages.dev | Сторінки |
swap-trx.pages.dev | Сторінки |
Сервери Origin
| IP-адреса | Постачальник | Мета |
|---|---|---|
107.155.88.198 | HIVELOCITY (AS29802) | Первинне походження |
46.21.151.194 | HVC-AS | Вторинне походження |
Ще одне Понад 50 доменів із вторинного ринку були виявлені, зокрема:
buytrx.net buytrx.org buytrx.io buytrx.co buytrx.exchange buytrx.app buytrx.pro buytrx.cc buytrx.xyz buytrx.site buytrx.online buytrx.live buytrx.fun buytrx.top buytrx.vip trxswap.org trxswap.net trxswap.io trxswap.com trxflip.com trxev.org trxmo.org trxnw.com trxfn.com trxwb.com swaptrx.org swaptrx.net swaptrx.io та багато іншого.
Понад 50 доменів було видалено та замінено. Інфраструктура адаптується швидше, ніж встигають реагувати більшість реєстраторів.
API без авторизації — повністю відкритий бекенд
Операція BUYTRX виконується на 6 кінцевих точок API Express.js використовуючи єдину базу даних. Основний API розміщений за адресою api.trxmo.com. Кожен кінцевий пункт повертає повні дані про жертву без будь-якої аутентифікації.
Неавтентифіковані кінцеві точки
| Кінцева точка | Повернення |
|---|---|
GET /api/records | Усі записи про потерпілих |
GET /api/records/:id | Детальна інформація про окрему жертву |
GET /api/stats | Статистика роботи |
POST /api/records | Створити новий запис |
PUT /api/records/:id | Оновити запис |
DELETE /api/records/:id | Видалити запис |
Панель адміністратора без авторизації
Доступ до панелі адміністратора можна отримати за адресою /8fb198a6e9b7af32 — шлях хешування за принципом «безпека через прихованість» із відсутність автентифікації. Він надає стрічку новин про потерпілих у режимі реального часу, де відображається:
- Адреси гаманців кожної жертви
- Ідентифікатори транзакцій (хеші підтвердження)
- IP-адреси жертв
- Часові мітки кожної взаємодії
- Суми затвердження (зазвичай MAX_UINT256)
{
"records": [
{
"id": 1,
"wallet": "TKjdnS...redacted",
"txHash": "a8f3e2...redacted",
"ip": "185.xxx.xxx.xxx",
"amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
"status": "approved",
"createdAt": "2026-02-14T09:23:41.000Z"
}
]
} Виявлено додаткові вразливості:
- Слабке обмеження швидкості: 6 запитів на одне вікно, що легко обходиться за допомогою ротації IP-адрес
- Витік даних із заголовка Express.js:
X-Powered-By: Expressрозкриває технологію серверів - Потенційний XSS, що зберігається: Адміністративна панель відображає неперевірені рядки «user-agent»
Адреса гаманця, IP-адреса, хеш транзакції та сума затвердження кожної жертви доступні за допомогою одного неавтентифікованого запиту GET. Жодних API-ключів. Жодних токенів. Жодної безпеки.
Докази з блокчейну
Контракти-драйнери розгорнуті в мережі TRON і активно використовуються для обробки транзакцій затвердження від жертв.
| Договір | Етикетка | Розгорнуто | Транзакції |
|---|---|---|---|
TRnruCYe2k...UPJ8
|
SwapTRX (наразі) | 13 грудня 2025 року | Активний |
TXwXfz8Bp9...uHnS
|
Старий контракт | Раніше | Зареєстровано 323 |
4 підтверджені транзакції з затвердженням у ланцюжку блоків були зіставлені із записами про жертв у базі даних, що потрапила у відкритий доступ (записи 1–10). Записи 11–30, судячи з усього, є тестові дані оператора — тестові гаманці з невеликими сумами, послідовними часовими інтервалами та однаковими діапазонами IP-адрес.
Інтеграція з WalletConnect
Фішингові сайти використовують WalletConnect для виведення запиту на підтвердження у мобільних гаманцях. Ця операція використовує єдиний Ідентифікатор проєкту WalletConnect:
31eee2e7b3ff1dc4ebdfa6f839467664
Цей ідентифікатор проекту слід повідомити WalletConnect для негайного внесення до чорного списку.
Слідуючи за грошима — Google Ads та атрибуція
Мабуть, найтривожніший висновок: Оператори BUYTRX платять Google за рекламу свого драйнера.
| Показник | Значення |
|---|---|
| Обліковий запис Google Ads |
AW-17287232508
|
| Відстеження конверсій | Відстежує успішні затвердження як конверсії |
| Контакт у Telegram | @buytrx9 («Buytron») |
| Мова панелі адміністратора | Спрощена китайська |
Акаунт Google Ads відстежує успішні затвердження гаманців як події конвертації. Це означає, що рекламна платформа Google буквально оптимізує показ реклами, щоб знайти більше жертв для програми, що викачує криптовалюту, — і отримує плату за цю послугу.
Панель адміністратора повністю виконана на Спрощена китайська, з такими елементами інтерфейсу, як 日間 / 夜間 (перемикання між денним і нічним режимами) та коментарі до вихідного коду китайською мовою. Нік у Telegram @buytrx9 виступає основним каналом зв’язку з оператором.
Google отримує гроші за оптимізацію показу реклами в рамках фішингової операції. Рекламодавці не приховують своїх намірів — вони платять за цільовий трафік і оцінюють «успіх» за кількістю спустошених гаманців.
Рекомендації щодо ліквідації контенту
Ця операція зачіпає інтереси багатьох постачальників послуг. Необхідна скоординована звітність за всіма напрямками:
Cloudflare
Повідомте про зловживання з боку користувачів, зловживання на сторінках та записи DNS для всіх понад 55 доменів. Масове повідомлення про зловживання з повним переліком доменів.
Реєстратори доменів
Понад 55 доменів у різних реєстраторів. Щодо кожного з них потрібно подати окремий звіт про зловживання, вказавши фішинг та фінансове шахрайство.
HIVELOCITY
Сервер Origin за адресою 107.155.88.198, на якому розміщено серверну частину API. Повідомлення про розміщення фішингової інфраструктури.
WalletConnect
Ідентифікатор проекту «Чорний список» 31eee2e7b3ff1dc4ebdfa6f839467664 щоб запобігти тому, щоб фішингові сайти викликали запити на підписання гаманця.
Tronscan
Контракти на обслуговування дренажних систем «Flag» TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 та TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.
Google Ads
Повідомити про обліковий запис AW-17287232508 за рекламу фішингу та фінансового шахрайства. Відстеження конверсій підтверджує зловмисний намір.
Докази та вихідні дані
Повний технічний аналіз: домени, API, контракти та атрибуція.
Понад 55 доменів із даними про хостинг, інформацією про реєстрацію та поточним статусом.
Невідредаговані відповіді API з неавтентифікованого серверного модуля. 30 записів.
Діючий контракт «drainer» на TRON. Перегляньте транзакції та затвердження в ланцюжку.
Перевірити. Скасувати. Повідомити.
Якщо ви взаємодіяли з будь-яким доменом BUYTRX, негайно перевірте свої дозволи на використання токенів TRON. Скасуйте всі підозрілі дозволи та повідомте про ці домени.





