Chuyển thẳng đến nội dung chính
Quay lại trang Tin tức
THÁO DỠ CƠ SỞ HẠ TẦNG HỆ THỐNG THOÁT NƯỚC

BUYTRX bị phanh phui: 55 tên miền, không có API xác thực nào và phân tích chi tiết vụ đánh cắp thông tin phê duyệt trên TRON

Chiến dịch lừa đảo giả mạo phê duyệt TRON USDT · Hệ thống hậu trường bị phơi bày · Bằng chứng trên chuỗi khối · Nguồn tài trợ từ Google Ads

BuyTRX Drainer bị vạch trần
0+
Các tên miền lừa đảo
0
Hồ sơ nạn nhân bị rò rỉ
0
Xác thực API
$0
Chi phí để truy cập toàn bộ dữ liệu

BUYTRX là gì?

BUYTRX là một hoạt động lừa đảo nhằm chiếm đoạt USDT dựa trên nền tảng TRON, được ngụy trang dưới hình thức một dịch vụ trao đổi tiền điện tử hợp pháp. Các trang web này có giao diện trông chuyên nghiệp và hứa hẹn sẽ chuyển đổi USDT sang TRX với tỷ giá hấp dẫn. Tuy nhiên, việc “trao đổi” này thực tế không bao giờ diễn ra.

Thay vào đó, nạn nhân được yêu cầu ký vào một approve(MAX_UINT256) giao dịch trên hợp đồng thông minh USDT (TRC-20). Chữ ký duy nhất này cấp quyền cho hợp đồng rút tiền của kẻ tấn công quyền truy cập không giới hạn để chuyển toàn bộ số dư USDT của nạn nhân — ngay lập tức và vĩnh viễn — cho đến khi sự chấp thuận này bị thu hồi theo cách thủ công.

Ngay sau khi việc phê duyệt được xác nhận trên chuỗi khối, nhà điều hành sẽ gọi transferFrom() để đánh cắp tiền trong ví. Nạn nhân không hề hay biết. Không có giao dịch hoán đổi nào. Không có TRX nào. Chỉ còn lại số dư trống rỗng.

Chỉ cần một chữ ký. Quyền truy cập không giới hạn. Khả năng rút tiền vĩnh viễn.

Lệnh gọi hàm `approve()` không chuyển giao token — mà chỉ cấp quyền. Hành vi trộm cắp thực sự diễn ra một cách âm thầm thông qua hàm `transferFrom()` vài giây hoặc vài giờ sau đó. Hầu hết các nạn nhân không bao giờ nhận ra mối liên hệ giữa hai giao dịch này.

Hoạt động này đã diễn ra từ ít nhất là Tháng 7 năm 2025, liên tục chuyển sang hàng chục tên miền khác khi các tên miền cũ bị báo cáo và gỡ bỏ. Hệ thống này thích ứng nhanh hơn so với khả năng phản ứng của hầu hết các nhà đăng ký tên miền và nhà cung cấp dịch vụ lưu trữ.

Hơn 55 tên miền — Chỉ cần một thao tác

Cuộc điều tra của chúng tôi đã phát hiện ra một mạng lưới rộng lớn các tên miền lừa đảo, tất cả đều cung cấp các giao diện giao dịch BUYTRX giống hệt hoặc gần như giống hệt nhau. Các tên miền này được triển khai trên Cloudflare Workers, Cloudflare Pages và các máy chủ gốc bare-metal.

Các tên miền hiện đang hoạt động

MiềnLoạiDịch vụ lưu trữ
trxev.comTiểu họcCloudflare
trxmo.comTiểu học + APICloudflare
buytrx.movHoạt độngCloudflare
buytrx.cxHoạt độngCloudflare
trxdc.orgHoạt độngCloudflare
buytrx.betHoạt độngCloudflare
buytrx.storeHoạt độngCloudflare
buytrx.clickHoạt độngCloudflare
trxfx.comHoạt độngCloudflare
trxsw.orgHoạt độngCloudflare

Cloudflare Workers & Pages

Tên miền conNền tảng
shrill-haze-5ff7.buytrx.workers.devNgười lao động
exchange.swap-trx.workers.devNgười lao động
buytrx.pages.devTrang
swap-trx.pages.devTrang

Máy chủ gốc

Địa chỉ IPNhà cung cấpMục đích
107.155.88.198HIVELOCITY (AS29802)Nguồn gốc chính
46.21.151.194HVC-ASNguồn gốc thứ cấp

Một điều nữa Hơn 50 tên miền tái sử dụng đã được xác định, bao gồm:

buytrx.net buytrx.org buytrx.io buytrx.co buytrx.exchange buytrx.app buytrx.pro buytrx.cc buytrx.xyz buytrx.site buytrx.online buytrx.live buytrx.fun buytrx.top buytrx.vip trxswap.org trxswap.net trxswap.io trxswap.com trxflip.com trxev.org trxmo.org trxnw.com trxfn.com trxwb.com swaptrx.org swaptrx.net swaptrx.io và còn nhiều nữa.

Hơn 50 tên miền đã bị vô hiệu hóa và thay thế. Hệ thống cơ sở hạ tầng thích ứng nhanh hơn so với tốc độ phản hồi của hầu hết các nhà đăng ký tên miền.

API không yêu cầu xác thực — Hệ thống backend hoàn toàn mở

Hoạt động BUYTRX được thực hiện trên 6 điểm cuối API của Express.js chia sẻ một cơ sở dữ liệu duy nhất. API chính được lưu trữ tại api.trxmo.com. Mỗi điểm cuối đều trả về toàn bộ dữ liệu của nạn nhân không cần xác thực.

Các điểm cuối chưa được xác thực

Điểm cuốiChính sách đổi trả
GET /api/recordsTất cả hồ sơ nạn nhân
GET /api/records/:idThông tin chi tiết về từng nạn nhân
GET /api/statsThống kê hoạt động
POST /api/recordsTạo bản ghi mới
PUT /api/records/:idCập nhật bản ghi
DELETE /api/records/:idXóa bản ghi

Bảng điều khiển quản trị không cần xác thực

Bạn có thể truy cập bảng điều khiển quản trị tại /8fb198a6e9b7af32 — một phương pháp băm theo nguyên tắc “bảo mật nhờ sự khó hiểu” với không cần xác thực. Nền tảng này cung cấp nguồn tin thời gian thực về các nạn nhân, trong đó hiển thị:

  • Địa chỉ ví của từng nạn nhân
  • Mã giao dịch (băm phê duyệt)
  • Địa chỉ IP của các nạn nhân
  • Dấu thời gian của mỗi lần tương tác
  • Số tiền được phê duyệt (thường là MAX_UINT256)
PHẢN HỒI API CHƯA ĐƯỢC XÁC THỰC — api.trxmo.com
{
  "records": [
    {
      "id": 1,
      "wallet": "TKjdnS...redacted",
      "txHash": "a8f3e2...redacted",
      "ip": "185.xxx.xxx.xxx",
      "amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
      "status": "approved",
      "createdAt": "2026-02-14T09:23:41.000Z"
    }
  ]
}

Các lỗ hổng bảo mật khác đã được phát hiện:

  • Yếu tố giới hạn tốc độ yếu: 6 yêu cầu mỗi cửa sổ, có thể dễ dàng vượt qua bằng cách xoay vòng địa chỉ IP
  • Lỗi rò rỉ tiêu đề trong Express.js: X-Powered-By: Express giới thiệu công nghệ máy chủ
  • Lỗ hổng XSS tiềm ẩn: Bảng điều khiển quản trị hiển thị các chuỗi user-agent chưa được làm sạch
Các nhà khai thác đã xây dựng một hệ thống thoát nước nhưng lại quên bảo mật phần hậu trường của chính họ.

Địa chỉ ví, địa chỉ IP, mã băm giao dịch và số tiền được phê duyệt của mỗi nạn nhân chỉ cách một yêu cầu GET chưa được xác thực. Không có khóa API. Không có token. Không có bảo mật.

Bằng chứng trên chuỗi

Các hợp đồng drainer được triển khai trên mạng TRON và đã được sử dụng tích cực để xử lý các giao dịch phê duyệt từ các nạn nhân.

Hợp đồngNhãnĐã triển khaiGiao dịch
TRnruCYe2k...UPJ8 SwapTRX (Hiện tại) Ngày 13 tháng 12 năm 2025 Hoạt động
TXwXfz8Bp9...uHnS Hợp đồng kế thừa Trước đó 323 trường hợp được ghi nhận

4 giao dịch phê duyệt trên chuỗi đã được xác nhận đã được đối chiếu với các bản ghi về nạn nhân trong cơ sở dữ liệu bị rò rỉ (các bản ghi từ 1 đến 10). Các bản ghi từ 11 đến 30 dường như là dữ liệu thử nghiệm toán tử — các ví thử nghiệm có số tiền nhỏ, các mẫu thời gian tuần tự và các dải địa chỉ IP giống hệt nhau.

Tích hợp WalletConnect

Các trang web lừa đảo sử dụng WalletConnect để kích hoạt thông báo yêu cầu ký xác nhận trong các ví di động. Quy trình này sử dụng một Mã dự án WalletConnect:

31eee2e7b3ff1dc4ebdfa6f839467664

Mã dự án này cần được báo cáo cho WalletConnect để ngay lập tức đưa vào danh sách đen.

Theo dõi dòng tiền — Google Ads và phân bổ hiệu quả

Có lẽ phát hiện đáng lo ngại nhất là: Các nhà điều hành BUYTRX đang trả tiền cho Google để quảng cáo công cụ rút tiền của họ.

Chỉ số Giá trị
Tài khoản Google Ads AW-17287232508
Theo dõi chuyển đổi Theo dõi các trường hợp được phê duyệt thành công dưới dạng các giao dịch chuyển đổi
Liên hệ qua Telegram @buytrx9 ("Buytron")
Ngôn ngữ của Bảng điều khiển quản trịTiếng Trung giản thể

Tài khoản Google Ads theo dõi các lần phê duyệt ví thành công được coi là các sự kiện chuyển đổi. Điều này có nghĩa là nền tảng quảng cáo của Google đang thực sự tối ưu hóa việc phân phối quảng cáo để tìm thêm nạn nhân cho một chương trình đánh cắp tiền điện tử — đồng thời thu phí cho dịch vụ này.

Bảng điều khiển quản trị hoàn toàn được hiển thị bằng Tiếng Trung giản thể, với các thành phần giao diện người dùng như 日間 / 夜間 (nút chuyển đổi chế độ ngày/đêm) và các chú thích mã nguồn bằng tiếng Trung. Tên người dùng trên Telegram @buytrx9 đóng vai trò là kênh liên lạc chính với nhà khai thác.

Họ đang triển khai các chiến dịch Google Ads, trong đó việc rút tiền thành công khỏi ví được theo dõi như các sự kiện chuyển đổi.

Google đang được trả tiền để tối ưu hóa việc phân phối quảng cáo cho một chiến dịch lừa đảo. Các nhà quảng cáo không hề che giấu điều này — họ đang chi tiền để thu hút lưu lượng truy cập mục tiêu và đo lường “thành công” dựa trên số lượng ví tiền bị rút cạn.

Các khuyến nghị về việc gỡ bỏ

Hoạt động này liên quan đến nhiều nhà cung cấp dịch vụ. Cần phải có sự phối hợp trong việc báo cáo trên tất cả các phương diện:

Cloudflare

Báo cáo các trường hợp lạm dụng của người dùng, lạm dụng trang web và bản ghi DNS cho tất cả hơn 55 tên miền. Báo cáo lạm dụng hàng loạt kèm theo danh sách đầy đủ các tên miền.

Các nhà đăng ký tên miền

Hơn 55 tên miền tại nhiều nhà đăng ký khác nhau. Mỗi tên miền đều cần có báo cáo lạm dụng riêng, nêu rõ các hành vi lừa đảo qua email và gian lận tài chính.

HIVELOCITY

Máy chủ Origin tại địa chỉ 107.155.88.198 đang lưu trữ API phía máy chủ. Báo cáo về việc lưu trữ cơ sở hạ tầng lừa đảo.

WalletConnect

Mã dự án Danh sách đen 31eee2e7b3ff1dc4ebdfa6f839467664 để ngăn các trang web lừa đảo kích hoạt thông báo yêu cầu ký xác nhận trên ví.

Tronscan

Hợp đồng lắp đặt hệ thống thoát nước bằng lá cờ TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.

Google Ads

Báo cáo tài khoản AW-17287232508 để quảng cáo các hành vi lừa đảo qua email và gian lận tài chính. Việc theo dõi chuyển đổi là bằng chứng cho thấy ý đồ xấu.

Bằng chứng và dữ liệu nguồn

Phân tích chi tiết toàn bộ cơ sở hạ tầng

Phân tích kỹ thuật toàn diện: tên miền, API, hợp đồng và xác định nguồn gốc.

Danh sách tên miền và thông tin chi tiết

Hơn 55 tên miền kèm theo thông tin về dịch vụ lưu trữ, thông tin đăng ký và trạng thái hiện tại.

Tập dữ liệu thô về các nạn nhân của API

Các phản hồi API chưa được che giấu từ hệ thống backend chưa được xác thực. 30 bản ghi.

Tronscan: Hợp đồng SwapTRX

Hợp đồng Active Drainer trên TRON. Xem các giao dịch và các lần phê duyệt trên chuỗi.

Kiểm tra. Thu hồi. Báo cáo.

Mạng lưới tên miền lừa đảo BuyTRX — bản đồ cụm chi tiết
Mạng lưới tên miền lừa đảo BuyTRX — bản đồ cụm chi tiết
Tổng quan về mạng miền BuyTRX — cơ sở hạ tầng lừa đảo được kết nối với nhau
Tổng quan về mạng miền BuyTRX — cơ sở hạ tầng lừa đảo được kết nối với nhau
Dòng tiền BuyTRX — cách thức TRX bị đánh cắp di chuyển qua chuỗi rửa tiền
Dòng tiền BuyTRX — cách thức TRX bị đánh cắp di chuyển qua chuỗi rửa tiền

Nếu bạn đã từng tương tác với bất kỳ tên miền nào của BUYTRX, hãy kiểm tra ngay các quyền phê duyệt token TRON của mình. Hủy bỏ mọi quyền phê duyệt đáng ngờ và báo cáo các tên miền đó.

Hủy bỏ sự chấp thuận đối với mã thông báo Báo cáo tên miền Các công cụ của DestroyList
#CryptoDrainer#BuyTRX#OSINT#PhishingInfrastructure#TronScam

Các cuộc điều tra liên quan

Bộ công cụ Crypto Drainer: Vạch trần các đại lý phân phối Angel Drainer
ĐIỀU TRA SÂU RỘNG
Bộ công cụ Crypto Drainer: Vạch trần các đại lý phân phối Angel Drainer
Bảng thống kê vụ lừa đảo qua Trust Wallet: 239.000 USD bị đánh cắp, 6 đối tượng thực hiện
ĐIỀU TRA SÂU RỘNG
Bảng thống kê vụ lừa đảo qua Trust Wallet: 239.000 USD bị đánh cắp, 6 đối tượng thực hiện
Vạch trần những kẻ lừa đảo: Phân tích chi tiết 4 hệ thống hậu trường của các vụ lừa đảo
ĐIỀU TRA
Vạch trần những kẻ lừa đảo: Phân tích chi tiết 4 hệ thống hậu trường của các vụ lừa đảo
Thông báo về tính minh bạch. PhishDestroy là một dự án độc lập, phi thương mại. Các nghiên cứu của chúng tôi có thể phản ánh sự thiên vị vốn có đối với cơ sở hạ tầng lừa đảo và các dịch vụ hỗ trợ cho hoạt động này. Chúng tôi khuyến khích độc giả đánh giá tất cả các tài liệu một cách khách quan và độc lập. Xem toàn văn tuyên bố về tính minh bạch của chúng tôi →