BUYTRX 内幕揭秘:55 个域名、零授权 API,以及对 TRON 授权资金窃取攻击的剖析
TRON USDT 授权钓鱼攻击 · 后端系统曝光 · 链上证据 · Google Ads 资金来源

什么是 BUYTRX?
BUYTRX 是一个基于 TRON 的 USDT 授权资金窃取项目,伪装成合法的加密货币兑换服务。该网站界面设计专业,承诺以极具吸引力的汇率将 USDT 兑换为 TRX。但所谓的“兑换”实际上从未发生。
相反,受害者会被要求签署一份 approve(MAX_UINT256) 在 USDT(TRC-20)智能合约上进行的一笔交易。这一单签名授权了攻击者的资金抽取合约 无限制权限 将受害者的全部USDT余额转出——即刻起并永久生效——直至该授权被手动撤销。
一旦链上确认批准,操作员便调用 transferFrom() 将钱包清空。受害者什么也没看到。既没有资产互换,也没有TRX。只剩下一笔空空如也的余额。
approve() 调用不会转移代币——它只是授予权限。实际的盗窃行为是在几秒或几小时后,通过 transferFrom() 悄无声息地进行的。大多数受害者从未将这两笔交易联系起来。
该行动至少自 2025年7月,随着旧域名被举报并下线,该网络会不断轮换使用数十个域名。其基础设施的适应速度比大多数域名注册商和主机服务商做出反应的速度还要快。
55个以上域名——一次操作即可完成
我们的调查揭露了一个庞大的网络钓鱼域名网络,这些域名均提供相同或几乎相同的 BUYTRX 兑换界面。这些域名分布在 Cloudflare Workers、Cloudflare Pages 以及裸金属源服务器上。
当前有效的域名
| 域名 | 类型 | 托管 |
|---|---|---|
trxev.com | 小学 | Cloudflare |
trxmo.com | 基础版 + API | Cloudflare |
buytrx.mov | 有效 | Cloudflare |
buytrx.cx | 有效 | Cloudflare |
trxdc.org | 有效 | Cloudflare |
buytrx.bet | 有效 | Cloudflare |
buytrx.store | 有效 | Cloudflare |
buytrx.click | 有效 | Cloudflare |
trxfx.com | 有效 | Cloudflare |
trxsw.org | 有效 | Cloudflare |
Cloudflare Workers 和 Pages
| 子域名 | 平台 |
|---|---|
shrill-haze-5ff7.buytrx.workers.dev | 工人 |
exchange.swap-trx.workers.dev | 工人 |
buytrx.pages.dev | 页数 |
swap-trx.pages.dev | 页数 |
源服务器
| IP地址 | 提供商 | 目的 |
|---|---|---|
107.155.88.198 | HIVELOCITY (AS29802) | 主要来源 |
46.21.151.194 | HVC-AS | 次生起源 |
此外 50多个回收域名 已确定以下内容,包括:
buytrx.net buytrx.org buytrx.io buytrx.co buytrx.exchange buytrx.app buytrx.pro buytrx.cc buytrx.xyz buytrx.site buytrx.online buytrx.live buytrx.fun buytrx.top buytrx.vip trxswap.org trxswap.net trxswap.io trxswap.com trxflip.com trxev.org trxmo.org trxnw.com trxfn.com trxwb.com swaptrx.org swaptrx.net swaptrx.io 还有许多其他内容。
已有50多个域名被注销并替换。该基础设施的适应速度比大多数域名注册商的响应速度还要快。
零认证 API——后端完全开放
BUYTRX 操作在 6 个 Express.js API 端点 共享一个数据库。主要 API 托管在 api.trxmo.com. 每个端点都会返回完整的受害者数据 无需任何身份验证.
未经过身份验证的端点
| 端点 | 退货 |
|---|---|
GET /api/records | 所有受害者记录 |
GET /api/records/:id | 受害者个人详情 |
GET /api/stats | 操作统计数据 |
POST /api/records | 创建新记录 |
PUT /api/records/:id | 更新记录 |
DELETE /api/records/:id | 删除记录 |
未经过身份验证的管理员仪表盘
可通过以下链接访问管理面板: /8fb198a6e9b7af32 — 一种采用“隐蔽性安全”策略的哈希路径,其中 零认证. 它提供了一个实时受害者信息流,显示:
- 每位受害者的钱包地址
- 交易 ID(批准哈希值)
- 受害者的IP地址
- 每次交互的时间戳
- 批准金额(通常为 MAX_UINT256)
{
"records": [
{
"id": 1,
"wallet": "TKjdnS...redacted",
"txHash": "a8f3e2...redacted",
"ip": "185.xxx.xxx.xxx",
"amount": "115792089237316195423570985008687907853269984665640564039457584007913129639935",
"status": "approved",
"createdAt": "2026-02-14T09:23:41.000Z"
}
]
} 发现的其他漏洞:
- 弱速率限制: 每个窗口6个请求,通过IP轮换即可轻松绕过
- Express.js 头部信息泄露:
X-Powered-By: Express揭示服务器技术 - 潜在的存储型XSS: 管理面板渲染了未经安全处理的用户代理字符串
只需一次未经身份验证的 GET 请求,即可获取每位受害者的钱包地址、IP 地址、交易哈希和授权金额。零 API 密钥。零代币。零安全。
链上证据
这些“抽水”合约部署在TRON网络上,并已被积极用于处理受害者的批准交易。
| 合同 | 标签 | 已部署 | 交易 |
|---|---|---|---|
TRnruCYe2k...UPJ8
|
SwapTRX(当前) | 2025年12月13日 | 有效 |
TXwXfz8Bp9...uHnS
|
旧版合同 | 此前 | 记录了323条 |
4笔已确认的链上批准交易 已 与泄露数据库中的受害者记录匹配(记录 1–10)。记录 11–30 似乎是 运营商测试数据 — 使用小额 资金、顺序时间模式以及相同IP范围的测试钱包。
WalletConnect 集成
这些钓鱼网站利用 WalletConnect 在移动钱包中触发 批准签名提示。该操作仅使用一个 WalletConnect 项目 ID:
31eee2e7b3ff1dc4ebdfa6f839467664
应将此项目 ID 上报给 WalletConnect,以便立即 将其列入黑名单。
追踪资金流向——Google Ads 与归因
也许最令人不安的发现是: BUYTRX 的运营者正在向谷歌支付广告费,以推广他们的 资金抽取工具.
| 指标 | 值 |
|---|---|
| Google Ads 账户 |
AW-17287232508
|
| 转化跟踪 | 将成功批准的申请作为转化进行追踪 |
| Telegram 联系方式 | @buytrx9 (“Buytron”) |
| 管理面板语言 | 简体中文 |
Google Ads 账户会跟踪 成功的钱包批准作为转换事件. 这意味着谷歌的广告平台实际上正在优化广告投放,为一种加密货币窃取程序寻找更多受害者——并为此服务收取费用。
管理员仪表盘完全采用 简体中文,其中包含诸如以下这样的界面元素: 日間 / 夜間 (日/夜模式切换)以及中文编写的源代码注释。Telegram 账号 @buytrx9 是运营商的主要联系渠道。
谷歌正因优化某钓鱼诈骗活动的广告投放而收取报酬。这些广告主并未隐瞒行踪——他们正在为定向流量付费,并以被清空的钱包数量来衡量“成功”程度。
关停建议
此次行动涉及多家服务提供商。需要从所有方面进行协调一致的报告:
Cloudflare
报告滥用行为(包括员工滥用、页面滥用)以及所有55个以上域名的DNS记录。附带完整域名列表的批量滥用报告。
域名注册商
分布在多家注册商处的55个以上域名。每个域名都需要单独提交滥用报告,并指出存在网络钓鱼和金融诈骗行为。
HIVELOCITY
IP地址为107.155.88.198的源服务器托管着后端API。因托管网络钓鱼基础设施而被举报。
WalletConnect
黑名单项目编号 31eee2e7b3ff1dc4ebdfa6f839467664 以防止钓鱼网站触发钱包签名提示。
Tronscan
Flag Drainer合同 TRnruCYe2k3kSMYCGwM51rzDD591w7UPJ8 以及 TXwXfz8Bp9AoCX79wcHiyB5vWSCtbNuHnS.
Google Ads
举报账号 AW-17287232508 用于宣传网络钓鱼和金融诈骗。转化跟踪可证明其存在恶意意图。
证据与源数据
核查。撤销。报告。
如果您曾与任何 BUYTRX 域名有过交互,请立即检查您的 TRON 代币授权。撤销任何可疑的授权,并举报这些域名。





