BUYTRX bị phanh phui: 55 tên miền, không có API xác thực nào và phân tích chi tiết vụ đánh cắp thông tin phê duyệt trên TRON
Chiến dịch lừa đảo giả mạo phê duyệt TRON USDT · Hệ thống hậu trường bị phơi bày · Bằng chứng trên chuỗi khối · Nguồn tài trợ từ Google Ads

BUYTRX là gì?
BUYTRX là một hoạt động lừa đảo nhằm chiếm đoạt USDT dựa trên nền tảng TRON, được ngụy trang dưới hình thức một dịch vụ trao đổi tiền điện tử hợp pháp. Các trang web này có giao diện trông chuyên nghiệp và hứa hẹn sẽ chuyển đổi USDT sang TRX với tỷ giá hấp dẫn. Tuy nhiên, việc “trao đổi” này thực tế không bao giờ diễn ra.
Thay vào đó, nạn nhân được yêu cầu ký vào một approve(MAX_UINT256) giao dịch trên hợp đồng thông minh USDT (TRC-20). Chữ ký duy nhất này cấp quyền cho hợp đồng rút tiền của kẻ tấn công quyền truy cập không giới hạn để chuyển toàn bộ số dư USDT của nạn nhân — ngay lập tức và vĩnh viễn — cho đến khi sự chấp thuận này bị thu hồi theo cách thủ công.
Ngay sau khi việc phê duyệt được xác nhận trên chuỗi khối, nhà điều hành sẽ gọi transferFrom() để đánh cắp tiền trong ví. Nạn nhân không hề hay biết. Không có giao dịch hoán đổi nào. Không có TRX nào. Chỉ còn lại số dư trống rỗng.
Lệnh gọi hàm `approve()` không chuyển giao token — mà chỉ cấp quyền. Hành vi trộm cắp thực sự diễn ra một cách âm thầm thông qua hàm `transferFrom()` vài giây hoặc vài giờ sau đó. Hầu hết các nạn nhân không bao giờ nhận ra mối liên hệ giữa hai giao dịch này.
Hoạt động này đã diễn ra từ ít nhất là Tháng 7 năm 2025, liên tục chuyển sang hàng chục tên miền khác khi các tên miền cũ bị báo cáo và gỡ bỏ. Hệ thống này thích ứng nhanh hơn so với khả năng phản ứng của hầu hết các nhà đăng ký tên miền và nhà cung cấp dịch vụ lưu trữ.
Hơn 55 tên miền — Chỉ cần một thao tác
Cuộc điều tra của chúng tôi đã phát hiện ra một mạng lưới rộng lớn các tên miền lừa đảo, tất cả đều cung cấp các giao diện giao dịch BUYTRX giống hệt hoặc gần như giống hệt nhau. Các tên miền này được triển khai trên Cloudflare Workers, Cloudflare Pages và các máy chủ gốc bare-metal.
Các tên miền hiện đang hoạt động
| Miền | Loại | Dịch vụ lưu trữ |
|---|---|---|
trxev.com | Tiểu học | Cloudflare |
trxmo.com | Tiểu học + API | Cloudflare |
buytrx.mov | Hoạt động | Cloudflare |
buytrx.cx | Hoạt động | Cloudflare |
trxdc.org | Hoạt động | Cloudflare |
buytrx.bet | Hoạt động | Cloudflare |
buytrx.store | Hoạt động | Cloudflare |
buytrx.click | Hoạt động | Cloudflare |
trxfx.com | Hoạt động | Cloudflare |
trxsw.org | Hoạt động | Cloudflare |
Cloudflare Workers & Pages
| Tên miền con | Nền tảng |
|---|---|
shrill-haze-5ff7.buytrx.workers.dev | Người lao động |
exchange.swap-trx.workers.dev | Người lao động |
buytrx.pages.dev | Trang |
swap-trx.pages.dev | Trang |
Máy chủ gốc
| Địa chỉ IP | Nhà cung cấp | Mục đích |
|---|---|---|
107.155.88.198 | HIVELOCITY (AS29802) | Nguồn gốc chính |
46.21.151.194 | HVC-AS | Nguồn gốc thứ cấp |
Một điều nữa Hơn 50 tên miền tái sử dụng đã được xác định, bao gồm:
buytrx.net buytrx.org buytrx.io buytrx.co buytrx.exchange buytrx.app buytrx.pro buytrx.cc buytrx.xyz buytrx.site buytrx.online buytrx.live buytrx.fun buytrx.top buytrx.vip trxswap.org trxswap.net trxswap.io trxswap.com trxflip.com trxev.org trxmo.org trxnw.com trxfn.com trxwb.com swaptrx.org swaptrx.net swaptrx.io và còn nhiều nữa.
Hơn 50 tên miền đã bị vô hiệu hóa và thay thế. Hệ thống cơ sở hạ tầng thích ứng nhanh hơn so với tốc độ phản hồi của hầu hết các nhà đăng ký tên miền.
API không yêu cầu xác thực — Hệ thống backend hoàn toàn mở
Hoạt động BUYTRX được thực hiện trên 6 điểm cuối API của Express.js chia sẻ một cơ sở dữ liệu duy nhất. API chính được lưu trữ tại api.trxmo.com. Mỗi điểm cuối đều trả về toàn bộ dữ liệu của nạn nhân không cần xác thực.
Các điểm cuối chưa được xác thực
| Điểm cuối | Chính sách đổi trả |
|---|---|
GET /api/records | Tất cả hồ sơ nạn nhân |
GET /api/records/:id | Thông tin chi tiết về từng nạn nhân |
GET /api/stats | Thống kê hoạt động |
POST /api/records | Tạo bản ghi mới |
PUT /api/records/:id | Cập nhật bản ghi |
DELETE /api/records/:id | Xóa bản ghi |
Bảng điều khiển quản trị không cần xác thực
Bạn có thể truy cập bảng điều khiển quản trị tại /8fb198a6e9b7af32 — một phương pháp băm theo nguyên tắc “bảo mật nhờ sự khó hiểu” với không cần xác thực. Nền tảng này cung cấp nguồn tin thời gian thực về các nạn nhân, trong đó hiển thị:
- Địa chỉ ví của từng nạn nhân
- Mã giao dịch (băm phê duyệt)
- Địa chỉ IP của các nạn nhân
- Dấu thời gian của mỗi lần tương tác
- Số tiền được phê duyệt (thường là MAX_UINT256)
{
"records": [
{
"id": 1,
"wallet": "TKjdnS...redacted",
"txHash": "a8f3e2...redacted",
"ip": "185.xxx.xxx.xxx",
"amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
"status": "approved",
"createdAt": "2026-02-14T09:23:41.000Z"
}
]
} Các lỗ hổng bảo mật khác đã được phát hiện:
- Yếu tố giới hạn tốc độ yếu: 6 yêu cầu mỗi cửa sổ, có thể dễ dàng vượt qua bằng cách xoay vòng địa chỉ IP
- Lỗi rò rỉ tiêu đề trong Express.js:
X-Powered-By: Expressgiới thiệu công nghệ máy chủ - Lỗ hổng XSS tiềm ẩn: Bảng điều khiển quản trị hiển thị các chuỗi user-agent chưa được làm sạch
Địa chỉ ví, địa chỉ IP, mã băm giao dịch và số tiền được phê duyệt của mỗi nạn nhân chỉ cách một yêu cầu GET chưa được xác thực. Không có khóa API. Không có token. Không có bảo mật.
Bằng chứng trên chuỗi
Các hợp đồng drainer được triển khai trên mạng TRON và đã được sử dụng tích cực để xử lý các giao dịch phê duyệt từ các nạn nhân.
| Hợp đồng | Nhãn | Đã triển khai | Giao dịch |
|---|---|---|---|
TRnruCYe2k...UPJ8
|
SwapTRX (Hiện tại) | Ngày 13 tháng 12 năm 2025 | Hoạt động |
TXwXfz8Bp9...uHnS
|
Hợp đồng kế thừa | Trước đó | 323 trường hợp được ghi nhận |
4 giao dịch phê duyệt trên chuỗi đã được xác nhận đã được đối chiếu với các bản ghi về nạn nhân trong cơ sở dữ liệu bị rò rỉ (các bản ghi từ 1 đến 10). Các bản ghi từ 11 đến 30 dường như là dữ liệu thử nghiệm toán tử — các ví thử nghiệm có số tiền nhỏ, các mẫu thời gian tuần tự và các dải địa chỉ IP giống hệt nhau.
Tích hợp WalletConnect
Các trang web lừa đảo sử dụng WalletConnect để kích hoạt thông báo yêu cầu ký xác nhận trong các ví di động. Quy trình này sử dụng một Mã dự án WalletConnect:
31eee2e7b3ff1dc4ebdfa6f839467664
Mã dự án này cần được báo cáo cho WalletConnect để ngay lập tức đưa vào danh sách đen.
Theo dõi dòng tiền — Google Ads và phân bổ hiệu quả
Có lẽ phát hiện đáng lo ngại nhất là: Các nhà điều hành BUYTRX đang trả tiền cho Google để quảng cáo công cụ rút tiền của họ.
| Chỉ số | Giá trị |
|---|---|
| Tài khoản Google Ads |
AW-17287232508
|
| Theo dõi chuyển đổi | Theo dõi các trường hợp được phê duyệt thành công dưới dạng các giao dịch chuyển đổi |
| Liên hệ qua Telegram | @buytrx9 ("Buytron") |
| Ngôn ngữ của Bảng điều khiển quản trị | Tiếng Trung giản thể |
Tài khoản Google Ads theo dõi các lần phê duyệt ví thành công được coi là các sự kiện chuyển đổi. Điều này có nghĩa là nền tảng quảng cáo của Google đang thực sự tối ưu hóa việc phân phối quảng cáo để tìm thêm nạn nhân cho một chương trình đánh cắp tiền điện tử — đồng thời thu phí cho dịch vụ này.
Bảng điều khiển quản trị hoàn toàn được hiển thị bằng Tiếng Trung giản thể, với các thành phần giao diện người dùng như 日間 / 夜間 (nút chuyển đổi chế độ ngày/đêm) và các chú thích mã nguồn bằng tiếng Trung. Tên người dùng trên Telegram @buytrx9 đóng vai trò là kênh liên lạc chính với nhà khai thác.
Google đang được trả tiền để tối ưu hóa việc phân phối quảng cáo cho một chiến dịch lừa đảo. Các nhà quảng cáo không hề che giấu điều này — họ đang chi tiền để thu hút lưu lượng truy cập mục tiêu và đo lường “thành công” dựa trên số lượng ví tiền bị rút cạn.
Các khuyến nghị về việc gỡ bỏ
Hoạt động này liên quan đến nhiều nhà cung cấp dịch vụ. Cần phải có sự phối hợp trong việc báo cáo trên tất cả các phương diện:
Cloudflare
Báo cáo các trường hợp lạm dụng của người dùng, lạm dụng trang web và bản ghi DNS cho tất cả hơn 55 tên miền. Báo cáo lạm dụng hàng loạt kèm theo danh sách đầy đủ các tên miền.
Các nhà đăng ký tên miền
Hơn 55 tên miền tại nhiều nhà đăng ký khác nhau. Mỗi tên miền đều cần có báo cáo lạm dụng riêng, nêu rõ các hành vi lừa đảo qua email và gian lận tài chính.
HIVELOCITY
Máy chủ Origin tại địa chỉ 107.155.88.198 đang lưu trữ API phía máy chủ. Báo cáo về việc lưu trữ cơ sở hạ tầng lừa đảo.
WalletConnect
Mã dự án Danh sách đen 31eee2e7b3ff1dc4ebdfa6f839467664 để ngăn các trang web lừa đảo kích hoạt thông báo yêu cầu ký xác nhận trên ví.
Tronscan
Hợp đồng lắp đặt hệ thống thoát nước bằng lá cờ TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 và TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.
Google Ads
Báo cáo tài khoản AW-17287232508 để quảng cáo các hành vi lừa đảo qua email và gian lận tài chính. Việc theo dõi chuyển đổi là bằng chứng cho thấy ý đồ xấu.
Bằng chứng và dữ liệu nguồn
Phân tích kỹ thuật toàn diện: tên miền, API, hợp đồng và xác định nguồn gốc.
Hơn 55 tên miền kèm theo thông tin về dịch vụ lưu trữ, thông tin đăng ký và trạng thái hiện tại.
Các phản hồi API chưa được che giấu từ hệ thống backend chưa được xác thực. 30 bản ghi.
Hợp đồng Active Drainer trên TRON. Xem các giao dịch và các lần phê duyệt trên chuỗi.
Kiểm tra. Thu hồi. Báo cáo.
Nếu bạn đã từng tương tác với bất kỳ tên miền nào của BUYTRX, hãy kiểm tra ngay các quyền phê duyệt token TRON của mình. Hủy bỏ mọi quyền phê duyệt đáng ngờ và báo cáo các tên miền đó.





