跳转至主要内容
返回新闻
德雷纳基础设施拆解

BUYTRX 内幕揭秘:55 个域名、零授权 API,以及对 TRON 授权资金窃取攻击的剖析

TRON USDT 授权钓鱼攻击 · 后端系统曝光 · 链上证据 · Google Ads 资金来源

BuyTRX Drainer 内幕曝光
0+
网络钓鱼域名
0
受害者信息泄露
0
API 身份验证
$0
访问所有数据的费用

什么是 BUYTRX?

BUYTRX 是一个基于 TRON 的 USDT 授权资金窃取项目,伪装成合法的加密货币兑换服务。该网站界面设计专业,承诺以极具吸引力的汇率将 USDT 兑换为 TRX。但所谓的“兑换”实际上从未发生。

相反,受害者会被要求签署一份 approve(MAX_UINT256) 在 USDT(TRC-20)智能合约上进行的一笔交易。这一单签名授权了攻击者的资金抽取合约 无限制权限 将受害者的全部USDT余额转出——即刻起并永久生效——直至该授权被手动撤销。

一旦链上确认批准,操作员便调用 transferFrom() 将钱包清空。受害者什么也没看到。既没有资产互换,也没有TRX。只剩下一笔空空如也的余额。

只需一次签名。无限访问权限。永久排水功能。

approve() 调用不会转移代币——它只是授予权限。实际的盗窃行为是在几秒或几小时后,通过 transferFrom() 悄无声息地进行的。大多数受害者从未将这两笔交易联系起来。

该行动至少自 2025年7月,随着旧域名被举报并下线,该网络会不断轮换使用数十个域名。其基础设施的适应速度比大多数域名注册商和主机服务商做出反应的速度还要快。

55个以上域名——一次操作即可完成

我们的调查揭露了一个庞大的网络钓鱼域名网络,这些域名均提供相同或几乎相同的 BUYTRX 兑换界面。这些域名分布在 Cloudflare Workers、Cloudflare Pages 以及裸金属源服务器上。

当前有效的域名

域名类型托管
trxev.com小学Cloudflare
trxmo.com基础版 + APICloudflare
buytrx.mov有效Cloudflare
buytrx.cx有效Cloudflare
trxdc.org有效Cloudflare
buytrx.bet有效Cloudflare
buytrx.store有效Cloudflare
buytrx.click有效Cloudflare
trxfx.com有效Cloudflare
trxsw.org有效Cloudflare

Cloudflare Workers 和 Pages

子域名平台
shrill-haze-5ff7.buytrx.workers.dev工人
exchange.swap-trx.workers.dev工人
buytrx.pages.dev页数
swap-trx.pages.dev页数

源服务器

IP地址提供商目的
107.155.88.198HIVELOCITY (AS29802)主要来源
46.21.151.194HVC-AS次生起源

此外 50多个回收域名 已确定以下内容,包括:

buytrx.net buytrx.org buytrx.io buytrx.co buytrx.exchange buytrx.app buytrx.pro buytrx.cc buytrx.xyz buytrx.site buytrx.online buytrx.live buytrx.fun buytrx.top buytrx.vip trxswap.org trxswap.net trxswap.io trxswap.com trxflip.com trxev.org trxmo.org trxnw.com trxfn.com trxwb.com swaptrx.org swaptrx.net swaptrx.io 还有许多其他内容。

已有50多个域名被注销并替换。该基础设施的适应速度比大多数域名注册商的响应速度还要快。

零认证 API——后端完全开放

BUYTRX 操作在 6 个 Express.js API 端点 共享一个数据库。主要 API 托管在 api.trxmo.com. 每个端点都会返回完整的受害者数据 无需任何身份验证.

未经过身份验证的端点

端点退货
GET /api/records所有受害者记录
GET /api/records/:id受害者个人详情
GET /api/stats操作统计数据
POST /api/records创建新记录
PUT /api/records/:id更新记录
DELETE /api/records/:id删除记录

未经过身份验证的管理员仪表盘

可通过以下链接访问管理面板: /8fb198a6e9b7af32 — 一种采用“隐蔽性安全”策略的哈希路径,其中 零认证. 它提供了一个实时受害者信息流,显示:

  • 每位受害者的钱包地址
  • 交易 ID(批准哈希值)
  • 受害者的IP地址
  • 每次交互的时间戳
  • 批准金额(通常为 MAX_UINT256)
未经过身份验证的 API 响应 — api.trxmo.com
{
  "records": [
    {
      "id": 1,
      "wallet": "TKjdnS...redacted",
      "txHash": "a8f3e2...redacted",
      "ip": "185.xxx.xxx.xxx",
      "amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
      "status": "approved",
      "createdAt": "2026-02-14T09:23:41.000Z"
    }
  ]
}

发现的其他漏洞:

  • 弱速率限制: 每个窗口6个请求,通过IP轮换即可轻松绕过
  • Express.js 头部信息泄露: X-Powered-By: Express 揭示服务器技术
  • 潜在的存储型XSS: 管理面板渲染了未经安全处理的用户代理字符串
运营方搭建了一个排水装置,却忘了保护好自己的后端。

只需一次未经身份验证的 GET 请求,即可获取每位受害者的钱包地址、IP 地址、交易哈希和授权金额。零 API 密钥。零代币。零安全。

链上证据

这些“抽水”合约部署在TRON网络上,并已被积极用于处理受害者的批准交易。

合同标签已部署交易
TRnruCYe2k...UPJ8 SwapTRX(当前) 2025年12月13日 有效
TXwXfz8Bp9...uHnS 旧版合同 此前 记录了323条

4笔已确认的链上批准交易 已 与泄露数据库中的受害者记录匹配(记录 1–10)。记录 11–30 似乎是 运营商测试数据 — 使用小额 资金、顺序时间模式以及相同IP范围的测试钱包。

WalletConnect 集成

这些钓鱼网站利用 WalletConnect 在移动钱包中触发 批准签名提示。该操作仅使用一个 WalletConnect 项目 ID:

31eee2e7b3ff1dc4ebdfa6f839467664

应将此项目 ID 上报给 WalletConnect,以便立即 将其列入黑名单。

追踪资金流向——Google Ads 与归因

也许最令人不安的发现是: BUYTRX 的运营者正在向谷歌支付广告费,以推广他们的 资金抽取工具.

指标
Google Ads 账户 AW-17287232508
转化跟踪 将成功批准的申请作为转化进行追踪
Telegram 联系方式 @buytrx9 (“Buytron”)
管理面板语言简体中文

Google Ads 账户会跟踪 成功的钱包批准作为转换事件. 这意味着谷歌的广告平台实际上正在优化广告投放,为一种加密货币窃取程序寻找更多受害者——并为此服务收取费用。

管理员仪表盘完全采用 简体中文,其中包含诸如以下这样的界面元素: 日間 / 夜間 (日/夜模式切换)以及中文编写的源代码注释。Telegram 账号 @buytrx9 是运营商的主要联系渠道。

他们正在运行谷歌广告活动,将成功掏空钱包的行为作为转化事件进行追踪。

谷歌正因优化某钓鱼诈骗活动的广告投放而收取报酬。这些广告主并未隐瞒行踪——他们正在为定向流量付费,并以被清空的钱包数量来衡量“成功”程度。

关停建议

此次行动涉及多家服务提供商。需要从所有方面进行协调一致的报告:

Cloudflare

报告滥用行为(包括员工滥用、页面滥用)以及所有55个以上域名的DNS记录。附带完整域名列表的批量滥用报告。

域名注册商

分布在多家注册商处的55个以上域名。每个域名都需要单独提交滥用报告,并指出存在网络钓鱼和金融诈骗行为。

HIVELOCITY

IP地址为107.155.88.198的源服务器托管着后端API。因托管网络钓鱼基础设施而被举报。

WalletConnect

黑名单项目编号 31eee2e7b3ff1dc4ebdfa6f839467664 以防止钓鱼网站触发钱包签名提示。

Tronscan

Flag Drainer合同 TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 以及 TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.

Google Ads

举报账号 AW-17287232508 用于宣传网络钓鱼和金融诈骗。转化跟踪可证明其存在恶意意图。

证据与源数据

完整的基础设施拆解

全面的技术分析:域名、API、合约及归属。

域名列表及详细信息

55个以上的域名,包括主机详情、注册信息和当前状态。

API受害者原始数据导出

来自未经身份验证的后端的未经过滤的 API 响应。共 30 条记录。

Tronscan:SwapTRX 合约

TRON 上的 Active Drainer 合约。查看链上交易和授权记录。

核查。撤销。报告。

BuyTRX 钓鱼域名网络——详细集群图
BuyTRX 钓鱼域名网络——详细集群图
BuyTRX 域名网络概述——相互关联的网络钓鱼基础设施
BuyTRX 域名网络概述——相互关联的网络钓鱼基础设施
BuyTRX资金流向——被盗TRX如何在洗钱链中流动
BuyTRX资金流向——被盗TRX如何在洗钱链中流动

如果您曾与任何 BUYTRX 域名有过交互,请立即检查您的 TRON 代币授权。撤销任何可疑的授权,并举报这些域名。

撤销令牌授权 举报域名 DestroyList 工具
#CryptoDrainer#BuyTRX#OSINT#PhishingInfrastructure#TronScam

相关调查

加密货币盗币工具包:Angel Drainer 经销商曝光
深度调查
加密货币盗币工具包:Angel Drainer 经销商曝光
Trust Wallet 钓鱼攻击小组:23.9万美元被盗,6名操作者
深度调查
Trust Wallet 钓鱼攻击小组:23.9万美元被盗,6名操作者
骗子现形:4个诈骗后台系统剖析
调查
骗子现形:4个诈骗后台系统剖析
透明度声明。 PhishDestroy 是一个非商业性的独立项目。我们的研究可能对诈骗基础设施及其相关服务存在固有的偏见。我们鼓励读者以批判性和独立的眼光评估所有内容。 阅读我们的完整透明度声明 →