/>
Chúng tôi không nhận tiền thù lao. Chúng tôi phải đối mặt với những hậu quả thực sự từ những tên tội phạm bị dồn vào đường cùng nhưng lại có tiền. Trang này giải thích lý do tại sao chúng tôi chọn cuộc chiến này, điều chúng tôi đang cố gắng chứng minh, và cách chúng tôi thiết kế cuộc điều tra này.
Độc lập và Năng lực
Chúng tôi hoạt động độc lập. Không có nhà tài trợ doanh nghiệp, không có khoản tài trợ, cũng không có đòn bẩy tài chính nào để lợi dụng. Sự tự chủ này cho phép chúng tôi theo đuổi những mục tiêu mà các công ty an ninh truyền thống thường tránh né do lo ngại về trách nhiệm pháp lý hoặc xung đột lợi ích. Hơn 130.000 tên miền lừa đảo đã bị vô hiệu hóa. Nhiều năm hoạt động thực tế. Chúng tôi am hiểu về cơ sở hạ tầng lừa đảo, hành vi của những kẻ điều hành khi bị áp lực, quy trình xử lý báo cáo lạm dụng nền tảng, cũng như cơ chế của các chiến dịch ngăn chặn.
Điều gì đã dẫn đến cuộc điều tra
Người vận hành (“Nathalie Roy”) đã được cảnh báo trực tiếp: đừng nói dối, đừng làm lớn chuyện. Cô ấy có nhiều cơ hội để khắc phục sự việc một cách âm thầm — xóa hai vấn đề trên GitHub và bỏ qua chuyện này. Nếu không có nạn nhân nào khiếu nại, vụ việc đã kết thúc tại đó. Thay vào đó, cô ta lại chọn cách đe dọa, nói dối và lôi kéo nhà đăng ký tên miền của mình vào vụ việc. NameSilo sau đó đã đăng một bài tweet chứa 4 tuyên bố có thể bị bác bỏ một cách độc lập, công khai bênh vực một công cụ hút dữ liệu bị VirusTotal đánh dấu trước 11.000 người theo dõi. Sai lầm chiến thuật đó đã dẫn đến một chiến dịch điều tra pháp y quy mô lớn.
Mục tiêu của chúng tôi đã được thể hiện ngay trong tên gọi: PhishDestroy. NameSilo đã chọn tham gia vào chiến dịch lừa đảo — bằng cách bảo vệ nó, công bố những tuyên bố sai sự thật và che giấu bằng chứng. Cách ứng phó là theo đúng quy trình: ghi chép lại các biện pháp bảo vệ, vô hiệu hóa vụ lừa đảo và chuyển vụ việc cho cơ quan thực thi pháp luật.
Một trong số các nhà nghiên cứu của chúng tôi đang viết một bài báo nghiên cứu pháp y về tội phạm học liên quan đến gian lận trực tuyến. Cuộc điều tra này là nghiên cứu điển hình chính. Bài báo này đề xuất một phương pháp luận để điều tra các vụ trộm cắp tiền điện tử không thể truy vết (Monero) — nơi mà việc phân tích blockchain theo phương pháp truyền thống là không thể.
Monero không có sổ cái công khai. Không thể chứng minh hành vi trộm cắp thông qua phân tích blockchain. Không có Etherscan, không có dấu vết giao dịch, không thể xác định chủ sở hữu ví. Đây chính là lý do xmrwallet.com tồn tại được suốt một thập kỷ — không ai có thể định lượng được mức độ thiệt hại bằng các công cụ tiêu chuẩn. Bài báo này chứng minh rằng khi không thể theo dõi dòng tiền, người ta vẫn có thể chứng minh tội phạm thông qua:
Cuộc điều tra này là minh chứng cho thấy phương pháp này có hiệu quả. Mọi bằng chứng được thu thập tại đây — các mô hình che giấu, hành vi lặp lại y hệt, phản hồi CAPTCHA, cùng 21 triệu bản ghi — đều được đưa trực tiếp vào bài báo. Vụ việc này phải tồn tại thì nghiên cứu mới có thể ra đời. Chính sự kiêu ngạo của họ đã khiến điều đó trở thành hiện thực.
Phương pháp luận hoạt động và các biện pháp đối phó
Chúng tôi đã dự đoán trước mọi hành động mà họ sẽ thực hiện. Chúng tôi cố tình không đăng trên Twitter rằng chúng tôi biết họ đối xử thế nào với những người như chúng tôi — bởi vì Họ kiêu ngạo đến mức không nhận ra rằng họ chẳng hề đàn áp chúng tôi. Họ đang làm chính xác những gì chúng tôi muốn.
Các phần song song, diễn ra đồng thời:
Chúng ta có dụ dỗ họ không? Không. Chúng ta đã làm những gì chúng ta luôn làm — báo cáo các hành vi lạm dụng, công bố kết quả điều tra, ghi chép lại các phản hồi. Họ đã quyết định che giấu. Chúng tôi đã biết trước là họ sẽ làm thế, và lúc đó chúng tôi đang quay phim.
Chúng tôi đã nộp 11-12 đơn khiếu nại chính thức về hành vi lạm dụng đến NameSilo — không phải để lừa họ, mà để kiểm chứng giả thuyết của chúng tôi. Nếu họ thực sự độc lập với nhà điều hành, họ sẽ điều tra một trang web bị VirusTotal gắn cờ cảnh báo, có các nạn nhân được ghi nhận, cùng với các email của chính nhà điều hành thừa nhận việc kiểm soát trang web đó. Họ đã phớt lờ từng cái một. Tất cả các nhà đăng ký tên miền khác mà chúng tôi đã kiểm tra đều đã có biện pháp xử lý.
Phân phối đa nền tảng và theo dõi sự ức chế
Chúng tôi đã đăng bài vào ngày các nền tảng khác nhau một cách có chủ đích. Medium, dev.to, trang web của chúng tôi. Không phải vì chúng tôi không thể tập hợp tất cả vào một nơi — mà là vì chúng tôi cần họ phải ẩn tính năng đó trên từng nền tảng một cách riêng biệt. Mọi hành động chặn đều được nền tảng nhận ghi lại — thông tin nhận dạng người yêu cầu, địa chỉ IP, dấu thời gian, phương thức. Tất cả các hồ sơ trên nền tảng này đều có thể được cung cấp cho cơ quan thực thi pháp luật thông qua các thủ tục pháp lý tiêu chuẩn.

Bài viết trên Medium — 304 lượt vỗ tay, 15 bình luận, thời gian đọc 19 phút. Đây là một trong số nhiều nền tảng mà chúng tôi đã chủ động đăng tải bài viết.
Honeytokens và mồi nhử đánh lạc hướng
Chúng tôi không “dụ dỗ” họ. Chúng tôi đã làm chính xác những gì bất kỳ nhà nghiên cứu chống lừa đảo qua email nào cũng làm: công bố kết quả nghiên cứu, báo cáo các hành vi lạm dụng và ghi chép lại các phản hồi. Họ đã chọn cách im lặng thay vì phản hồi. Chúng tôi đã dự đoán rằng họ sẽ làm như vậy — bởi vì đó là mô hình hành động của mọi nhà khai thác mà chúng tôi đã nghiên cứu. Điểm khác biệt là lần này, có người đã quan sát và ghi lại sự việc.
Chúng tôi có không có ý định bôi nhọ NameSilo. Chúng tôi không quan tâm đến giá cổ phiếu của họ. Chúng tôi đã đăng một tweet — để xem phản ứng thế nào. Và quả nhiên: một trong những nhà đầu tư của họ đã cố gắng tiết lộ thông tin cá nhân của một nhà nghiên cứu, sau đó xóa các tweet đó. NameSilo đã trả lời bằng cùng một mẫu câu trả lời, điều này chứng tỏ hành vi thô sơ và dễ đoán của họ — y hệt như của nhà điều hành. Mục tiêu của chúng tôi đã được thể hiện ngay trong tên gọi: PhishDestroy. Chúng tôi tiêu diệt các hành vi lừa đảo qua email. Thế là xong.
Chúng tôi đã từ bỏ tài khoản Twitter của mình — với hơn 200.000 bài đăng, cùng những bằng chứng tích lũy qua nhiều năm — vì cuộc điều tra yêu cầu như vậy. Chúng tôi hy vọng quá trình này sẽ khôi phục lại mọi thứ đã bị che giấu, bởi vì mỗi bài đăng bị xóa, mỗi liên kết bị gỡ bỏ, mỗi bài báo bị loại khỏi chỉ mục đều chính là bằng chứng cần được xác minh. Mọi nền tảng mà họ đã đàn áp chúng tôi đều lưu giữ hồ sơ. Trong suốt một thập kỷ, họ đã thành công trong việc xóa bỏ mọi thông tin tiêu cực khỏi kết quả tìm kiếm — phân tích SEO của chúng tôi đã chứng minh điều này. Họ chỉ để lại những gì có lợi cho họ.
Chúng tôi đã xuất bản hai bài viết trên Medium. Bài viết số 1 chỉ đề cập đến xmrwallet — không đề cập đến NameSilo. Bài viết số 2 được tối ưu hóa SEO đặc biệt cho NameSilo. Cả hai đều đã bị loại khỏi chỉ mục. Trên trang web của chúng tôi cũng vậy: chỉ có nội dung về xmrwallet và nội dung cụ thể về NameSilo. Hơn 20 liên kết cho mỗi từ khóa, tất cả đều bị ẩn. Nếu NameSilo và người điều hành không liên quan đến nhau — thì ai đang “dọn dẹp” kết quả tìm kiếm của NameSilo? Hay người điều hành đang “dọn dẹp” danh tiếng của nhà đăng ký tên miền của mình? Các thực thể không liên quan đến nhau không hoạt động như vậy.
Mọi bài phân tích mà chúng tôi đăng tải đều kèm theo một cảnh báo về nhà đăng ký tên miền và sự thật về hành vi của họ. Họ không hài lòng về điều đó. Nhưng điều mà họ coi là một “cuộc chiến” — các bài đăng của chúng tôi so với những nỗ lực gỡ bỏ của họ — Đó không bao giờ là một trận chiến. Đó là một chiến dịch được lên kế hoạch từ trước. Mỗi động thái đó đều được thiết kế với một mục đích duy nhất: khiến họ tự tạo ra bằng chứng chống lại chính mình. Họ nghĩ rằng mình đang phản ứng lại các cuộc tấn công. Thực ra, họ đang sập bẫy. Mỗi yêu cầu gỡ bỏ nội dung, mỗi yêu cầu loại bỏ khỏi chỉ mục, mỗi thông báo DMCA — bằng chứng mà chính họ đã bịa đặt ra để chống lại chính mình.
Monero không thể bị theo dõi. Không có dấu vết trên blockchain. Các phương pháp điều tra truyền thống không hiệu quả trong trường hợp này. Vì vậy, chúng tôi đã điều chỉnh cách tiếp cận: Nếu không thể theo dõi dòng tiền, chúng ta sẽ theo dõi hành vi. Chúng tôi đã trở thành mục tiêu để họ có thể minh họa mô hình đó. Một thợ săn không bao giờ đuổi theo con mồi không thể theo dấu trong rừng — anh ta đặt bẫy và chờ đợi. Họ đã sa vào từng cái bẫy một.
Cơ sở hạ tầng phi tập trung và giảm thiểu rủi ro
Bởi vì chúng ta không phải là một người. 4+ nhà nghiên cứu đã tham gia vào cuộc điều tra này. Các nạn nhân đã cung cấp thông tin. Các cơ quan thực thi pháp luật ở nhiều quốc gia đã được thông báo. Bằng chứng được lưu trữ trên IPFS — không thể thay đổi, phi tập trung và được giám sát tự động. Nếu bất kỳ máy chủ phản chiếu nào ngừng hoạt động, một máy chủ mới sẽ tự động được triển khai.
Họ nghĩ rằng việc xóa các liên kết sẽ khiến bằng chứng biến mất. Không phải vậy. Điều đó lại tạo ra thêm bằng chứng. Mọi hành động xóa đều được ghi lại. Mỗi nỗ lực che giấu đều là một bằng chứng bổ sung trong hồ sơ vụ án.

Bài đăng trên dev.to — được đăng lại trên nhiều nền tảng để tạo ra nhiều bản ghi loại trừ.
Đánh giá mối đe dọa đối với nhà khai thác
Nhà điều hành đã gửi email cho chúng tôi: "Tôi đã thuê một luật sư và một thám tử tư." Không có luật sư nào xuất hiện. Không có thám tử tư nào xuất hiện. Những gì đã xuất hiện là: các yêu cầu gỡ bỏ theo DMCA, các báo cáo hàng loạt, các cuộc tấn công DDoS từ njal.la (một đại lý phân phối của NameSilo) và hành vi thao túng Trustpilot có tổ chức. Mọi mối đe dọa, mọi hành động, mọi dấu thời gian — đều được ghi chép lại.

Google Search Console — mọi tên miền bạn thấy ở đây đều được tạo ra với một mục đích duy nhất: để bị gỡ xuống. Và chúng đã bị gỡ xuống. Từng cái một.
Hãy nhìn vào ảnh chụp màn hình đó. Mỗi tên miền con của Azure, mỗi URL bài viết — Chúng tôi đã tạo ra chúng với mục đích cụ thể là để chúng bị báo cáo và gỡ bỏ. Tại sao lại có người tạo ra cả tá bản sao của cùng một nội dung trên các nền tảng khác nhau? Bởi vì chúng tôi cần chúng để gửi cả tá yêu cầu gỡ bỏ riêng biệt. Mỗi yêu cầu đều được nền tảng ghi lại. Mỗi bản ghi chứa thông tin về danh tính người yêu cầu, địa chỉ IP, dấu thời gian và phương thức thực hiện. Các nền tảng lưu giữ hồ sơ gỡ bỏ nội dung theo DMCA và GDPR trong nhiều năm.
Họ không suy nghĩ. Họ thấy nội dung tiêu cực — họ bấm nút “báo cáo”. Cả với NameSilo lẫn xmrwallet đều vậy. Cùng một kiểu, cùng một tốc độ, cùng một nền tảng. Họ chưa bao giờ dừng lại để tự hỏi: Tại sao PhishDestroy cứ liên tục tạo ra các liên kết mới? Tại sao một “tình nguyện viên điên rồ” lại cứ tiếp tục làm những chiếc gương mà cứ bị gỡ xuống? Bởi vì mỗi lần bị gỡ xuống lại là một bằng chứng. Mỗi đơn khiếu nại theo Đạo luật DMCA lại là một dấu vân tay pháp y. Và khi các điều tra viên ra trát đòi Google, Bing, Twitter, Trustpilot và Medium — Mô hình ở cả hai thực thể sẽ giống hệt nhau. Cùng một bên yêu cầu. Cùng một phương thức. Cùng một mốc thời gian. Đó không phải là hai công ty không liên quan đến nhau. Đó là một hoạt động duy nhất.
Chúng tôi đã điều tra hàng trăm vụ lừa đảo. Không ai trong số họ trông như thế này cả. Hầu hết các đối tượng thực hiện lừa đảo qua email đều bỏ trốn, lẩn trốn hoặc im lặng khi bị vạch trần. Nhưng những kẻ này thì không. Chúng lại làm ngược lại:
Đây chính là điều khiến vụ án này trở nên thú vị từ góc độ pháp y. Điều mô hình ẩn đi giống hệt nhau trên cả NameSilo và xmrwallet đó chính là dấu vết mà chúng tôi quyết tâm ghi lại. Chúng tôi không cần phải chứng minh mối liên hệ đó qua email hay các giao dịch thanh toán — chúng tôi đã chứng minh điều đó thông qua hành vi. Chúng tôi đã đưa ra các mục tiêu cho họ. Họ đã tấn công các mục tiêu đó theo cách hoàn toàn giống nhau đối với cả hai thực thể — cùng nền tảng, cùng tốc độ, cùng phương pháp. Mô hình hành vi đó chính là bằng chứng. Và đó là điều duy nhất họ không thể xóa bỏ, bởi vì nó nằm trong nhật ký hệ thống của mọi công ty mà họ đã báo cáo về chúng tôi.
Đầu độc cơ sở dữ liệu và ô nhiễm dữ liệu đo lường từ xa
Bởi vì Mục tiêu của chúng tôi là bảo vệ mọi người — và chừng nào xmrwallet.com còn hoạt động, người dùng vẫn tiếp tục bị mất tiền. Chúng tôi đã xây dựng một tập lệnh Cloudflare Workers để liên tục nhập thông tin ví vào mọi tên miền của xmrwallet (.com, .me, .cc, .biz, .net) — chính vào các trường nhập liệu mà các nạn nhân thực sự sử dụng để nhập khóa riêng của họ. Nếu đây là một ví phía khách hàng hợp pháp (như họ tuyên bố), thì việc này sẽ không ảnh hưởng gì cả. Việc nhập cụm từ hạt giống trên một ví hợp pháp được xử lý tại thiết bị. Không có gì để “tấn công” cả.
Tuy nhiên, xmrwallet.com đánh cắp mọi cụm từ hạt giống được nhập vào. Chúng tôi đã thực hiện một chiến dịch làm ô nhiễm dữ liệu có hệ thống, chèn 21 triệu mồi nhử mật mã vào khiến các bộ dữ liệu bị đánh cắp của họ trở nên vô dụng về mặt vận hành. Chúng tôi sẽ không bao giờ dừng lại. Cho đến khi trang web đó bị vô hiệu hóa hoàn toàn. Dù họ có thêm hCaptcha, Cloudflare Turnstile hay bất kỳ công nghệ nào khác đi chăng nữa — chúng tôi vẫn sẽ tiếp tục nhập thông tin ví và bảo vệ mọi người khỏi những mối đe dọa đó. Đó chính xác là ý nghĩa của tên gọi chúng tôi.
Chúng tôi không chỉ đăng nhập rồi rời đi ngay. Mỗi phiên hành vi người dùng được mô phỏng một cách chân thực — nhấp vào các liên kết, duyệt qua các trang, chờ đợi trong các khoảng thời gian khác nhau, mô phỏng các kiểu người dùng khác nhau (người khám phá, người gửi, người dùng thành thạo, người mới, người quá cẩn trọng). Chúng tôi hiểu cách thức hoạt động của các hệ thống phân tích — và xmrwallet.com hoạt động Google Analytics, Google Tag Manager và pixel theo dõi của Google trên một ví “ẩn danh”. Các phiên thử nghiệm của chúng tôi được thiết kế với cơ chế ngẫu nhiên hóa mạnh mẽ để người vận hành không thể phân biệt được các trường hợp do chúng tôi cung cấp với các nạn nhân thực sự theo hành vi phiên, thời gian hoặc các mẫu điều hướng. Mỗi ví bị đánh cắp trong nhật ký của họ đều bị chôn vùi trong “đống rơm” của chúng tôi.
Sau khi công cụ của chúng tôi chạy trong vài tuần, người vận hành đã thêm một CAPTCHA — một bài kiểm tra bạo lực bậc hai khá sơ sài, có thể giải được trong khoảng 0,1 giây bằng Python. Một ví hợp pháp không cần CAPTCHA khi nhập cụm từ hạt giống. Ledger không có tính năng này. Trezor cũng không có. MyMonero cũng không có. Không có ví tiền điện tử chính thống nào có — bởi vì các ví chính thống đều xử lý cụm hạt giống ngay trên thiết bị. Lý do duy nhất để thêm CAPTCHA là nếu bạn thu thập và ghi lại mọi dữ liệu đầu vào ở phía máy chủ. Bản thân CAPTCHA đã là bằng chứng cho thấy cơ chế trộm cắp này.
Chúng tôi kỳ vọng họ sẽ triển khai một giải pháp thực sự — hCaptcha, Cloudflare Turnstile, hay một giải pháp nào đó đáng tin cậy. Nhưng họ đã không làm vậy. Thay vào đó, họ lại triển khai một bài kiểm tra đơn giản, có thể giải bằng phương pháp brute-force với độ phức tạp bậc hai chỉ trong 0,1 giây. Điều này đã nói lên tất cả về trình độ kỹ thuật của họ. Họ đang bảo vệ đường dây trộm cắp của mình, chứ không phải người dùng.
xmrwallet.com: 4.743 lượt truy cập · xmrwallet.me: 114.031 lượt truy cập. Mẫu nhật ký từ một lần chạy. Công cụ này đã được khởi động lại và cập nhật nhiều lần — khi các tên miền bị xóa, thay đổi hoặc khi hệ thống CAPTCHA được đưa vào sử dụng. Tổng số bản ghi đầy đủ từ tất cả các lần chạy là khoảng 21 triệu lượt tham gia thành công trên tất cả các tên miền của xmrwallet, từ tháng 2 đến tháng 4 năm 2026. Bộ dữ liệu đầy đủ sẽ được cung cấp cho các cơ quan thực thi pháp luật theo yêu cầu.
5.4 Tổng RPS trên tất cả các hành động — nhưng không quá 1 lần ủy quyền trong vòng 7–10 giây. Điều này không phải là vấn đề đối với một ví hoạt động ở phía máy khách, phải không? Trừ khi nó hoạt động ở phía máy chủ. Trừ khi họ ghi lại từng đầu vào một. Trừ khi họ đánh cắp tất cả và ghi lại toàn bộ nhật ký. Và đó chính xác là những gì họ đang làm.
Đây có phải là một cuộc tấn công không? Không. Chúng tôi đã nhập dữ liệu vào một biểu mẫu web công khai. Chỉ có thế thôi. Chúng tôi không vượt qua cơ chế xác thực, không khai thác lỗ hổng bảo mật, cũng không truy cập vào bất kỳ hệ thống nào mà chúng tôi không được phép. Chúng tôi sử dụng trang web đúng như mục đích ban đầu — như một "ví điện tử". Nếu trang web hoạt động đúng như quảng cáo (chỉ xử lý phía client), thì các dữ liệu đầu vào của chúng tôi là vô nghĩa. Nếu các dữ liệu đầu vào của chúng tôi có ý nghĩa đối với họ — điều đó chứng minh rằng cơ chế trộm cắp đó tồn tại.
Chúng tôi đã chính thức thông báo cho DDoS-Guard (nhà cung cấp dịch vụ lưu trữ của họ) về bản chất hoạt động của chúng tôi, mô tả cơ chế thu thập cụm từ hạt giống và cung cấp các địa chỉ IP máy chủ. Họ chưa bao giờ liên hệ với chúng tôi, chưa bao giờ phản đối, cũng chưa bao giờ yêu cầu chúng tôi dừng lại. Im lặng = không có vấn đề. Tập lệnh của chúng tôi tiêu tốn dưới 50MB RAM, chạy với tốc độ 5,4 yêu cầu mỗi giây — dưới 1% công suất của máy chủ. Chúng tôi biết đại khái họ đã sử dụng máy chủ nào. Lưu lượng truy cập của chúng tôi không bị phát hiện.
Và đây mới là điểm hay nhất. Với tư cách là một “ví riêng tư phía người dùng”, xmrwallet.com khẳng định không lưu giữ nhật ký. Nhưng nếu họ làm ghi nhật ký (vì họ ăn cắp), hiện tại họ có số lượng mục ghi chép xấp xỉ bằng chúng ta — 21 triệu. Và nếu họ đang cố gắng xử lý, đánh giá và rút cạn từng ví tiền? Đó là 21 triệu ví Monero cần quét, tải dữ liệu và kiểm tra số dư. Chi phí tính toán để kiểm tra 21 triệu ví là vô cùng lớn. Mỗi ví trống đều khiến chúng ta lãng phí thời gian và tài nguyên. Mỗi ví của nạn nhân thực sự lại bị chôn vùi trong đống dữ liệu khổng lồ của chúng ta. Đó chính là ý chính.
Muốn cáo buộc chúng tôi đã thực hiện một cuộc tấn công à? Yêu cầu cung cấp nhật ký của chúng tôi. Chúng tôi sẽ cung cấp hàng gigabyte dữ liệu cho thấy có 21 triệu cụm từ hạt giống đã được nhập vào “ví phía khách hàng hợp pháp” của quý vị. Hãy giải thích trước tòa tại sao một ví phía khách hàng lại ghi lại, xử lý và cố gắng sử dụng tất cả những cụm từ đó.
Trên tất cả các tên miền của xmrwallet (.com, .me, .cc, .biz, .net), công cụ của chúng tôi đã ghi nhận khoảng 21 triệu lượt truy cập ví thành công. “Thành công” có nghĩa là xmrwallet.com đã chấp nhận cụm từ hạt giống, xử lý nó trên máy chủ và cố gắng truy cập vào ví — hoàn toàn giống như cách trang web này thực hiện với các nạn nhân thực sự. Chúng tôi có nhật ký ghi lại từng trường hợp một. Mỗi mục đều là bằng chứng cho thấy trang web này thu thập và xử lý các cụm từ hạt giống ở phía máy chủ. Nếu thực sự chỉ là “phía máy khách”, thì sẽ không có gì để ghi nhật ký, không có gì để xử lý, và cũng không có lý do gì để thêm CAPTCHA nhằm ngăn cản chúng ta.
Điều trớ trêu là: Họ đã cố gắng bảo vệ cơ chế trộm cắp của mình thay vì tự bảo vệ bản thân. Họ đã thêm các mã CAPTCHA để tiếp tục hành vi trộm cắp. Đáng lẽ ra họ nên chuẩn bị phương án bào chữa trước pháp luật. Mỗi lần giải mã CAPTCHA, mỗi lần vượt qua thử thách DDoS-Guard, mỗi phiên làm việc phía máy chủ — đều được ghi lại và gắn dấu thời gian. Họ quá bận rộn với việc bảo vệ khả năng cướp bóc của mình đến nỗi quên mất rằng có người đang ghi lại tất cả mọi thứ.
Các cụm từ hạt giống của Monero không lưu trữ ngày tạo ví (restore height). Điều này đặt kẻ tấn công vào một tình thế khó xử nghiêm trọng: nếu chúng chỉ quét các khối gần đây, chúng sẽ bỏ sót những ví cũ hơn, vốn có thể chứa số dư khổng lồ. Những kẻ lừa đảo rất tham lam. Để đảm bảo không bỏ sót những người nắm giữ lâu dài, họ buộc phải quét toàn bộ chuỗi khối Monero — từ khối Genesis năm 2014 đến nay — để tìm kiếm từng cụm từ hạt giống.
Ngay cả khi đã tối ưu hóa cơ sở hạ tầng và các nút cục bộ, một lần quét mật mã toàn chuỗi cũng mất khoảng Mỗi ví tiêu tốn từ 2 đến 5 phút với mức tải CPU cao.
Chúng tôi đã tạo ra sự bất đối xứng tuyệt đối trong tính toán: Chúng tôi chỉ mất vài mili giây để tạo ra và cấy một mồi nhử hợp lệ, nhưng để đánh giá nó, họ phải bỏ ra những chi phí cơ sở hạ tầng thực tế, hàng nghìn đô la tiền phí máy chủ và phải đối mặt với rủi ro vận hành khổng lồ. Chúng tôi không chỉ làm ô nhiễm cơ sở dữ liệu của họ — Họ đã lợi dụng lòng tham của chính họ để làm cạn kiệt tài nguyên tính toán của họ.
Đó là lý do tại sao một số người cho rằng các phương pháp của chúng tôi mang tính quyết liệt. Chúng tôi thì cho rằng chúng tương xứng và hoàn toàn tuân thủ đạo đức. Không sử dụng máy chủ proxy. Không sử dụng mạng botnet. Không sử dụng dịch vụ tấn công trả phí. Không sử dụng hạ tầng bất hợp pháp. Không hợp tác với các nhà cung cấp trên thị trường xám. Mọi thứ đều vận hành trên nền tảng Cloudflare Workers tiêu chuẩn — nhẹ nhàng, hợp pháp, minh bạch. Chúng tôi không cần đến những công cụ đắt đỏ hay bất hợp pháp để bảo vệ mọi người. Các giải pháp đơn giản, hợp pháp thường hiệu quả hơn — và chúng vẫn đứng vững trước tòa.

Google Search Console — Dữ liệu lập chỉ mục và hiệu suất của phishdestroy.github.io/DO-NOT-USE-xmrwallet-com.
Ở đây không có giải pháp trung gian nào cả.
Một trang web hoặc là lừa đảo, hoặc không phải. Không có chuyện nửa vời. Chúng tôi không quan tâm ai là người thu lợi từ nó, họ trả bao nhiêu, hay ai bảo vệ họ. Người điều hành là một tên tội phạm. Người đăng ký hoặc là không biết (do sơ suất) hoặc là đã biết (do đồng lõa). Các bằng chứng cho thấy khả năng thứ hai.
Bạn có cố tình mắc lỗi không?
Đúng vậy. Chúng tôi các điểm đánh dấu AI được để lộ một cách có chủ ý và mượn các mô hình hành vi từ các cuộc điều tra khác — những sai sót nhỏ khiến người điều hành và người đăng ký cảm thấy tự tin vào chiến dịch đàn áp của họ. Chúng tôi muốn họ đánh giá thấp chúng tôi. Chúng tôi muốn họ nhấn nút “báo cáo” với niềm tin tuyệt đối rằng nó sẽ hiệu quả, rằng chúng tôi chỉ là những kẻ nghiệp dư sẽ sớm bỏ cuộc. Mỗi hành động đàn áp quyết liệt mà họ thực hiện giờ đây đều trở thành một bằng chứng có ghi rõ thời gian. Các chi tiết này sẽ được công bố trong một bài báo học thuật sắp ra mắt về pháp y gian lận trực tuyến — cụ thể là về việc xác định dấu vân tay hành vi của những kẻ lừa đảo.
Mục tiêu cuối cùng là gì?
Các bằng chứng đã được nộp cho Tuân thủ các điều khoản hợp đồng của ICANN và cơ quan thực thi pháp luật liên bang. Cuộc điều tra vẫn đang được tiến hành qua các kênh chính thức. Kho lưu trữ này được thiết lập nhằm đảm bảo không có bất kỳ thông tin nào bị xóa, sửa đổi hoặc che giấu. Mọi khiếu nại đều được xác thực. Mọi ảnh chụp màn hình đều được tạo mã băm. Mọi hành động đều được ghi lại.
Nếu họ phủ nhận việc xóa các bài đánh giá — chúng tôi sẽ đưa ra các bản sao lưu từ Wayback Machine. Nếu họ phủ nhận việc phớt lờ các khiếu nại — chúng tôi sẽ đưa ra các biên nhận gửi thư. Nếu họ phủ nhận mối liên hệ — chúng tôi sẽ đưa ra các dấu thời gian từ PR Newswire, kết quả khớp mẫu che giấu thông tin và hồ sơ mua tên miền.
Họ đã tháo dỡ 30–50+ liên kết từ kết quả tìm kiếm trên Google, Bing và nhiều nền tảng khác — đối với cả hai thực thể này. Điều này chứng tỏ một trong hai điều sau: hoặc là họ cực kỳ ngu ngốc và không nhận ra rằng mọi yêu cầu gỡ bỏ nội dung đều được ghi lại và tạo ra dấu vết pháp y, hoặc là Họ có một thỏa thuận thường xuyên với một bên nào đó để gỡ bỏ các nội dung tiêu cực. Dù thế nào đi nữa, các bản ghi vẫn tồn tại, mô hình này giống hệt nhau ở cả hai công ty, và tất cả đều có thể bị yêu cầu cung cấp theo trát tòa. Toàn bộ cuộc điều tra này được thiết kế nhằm tạo ra chính bộ dữ liệu này — phục vụ cho bài báo học thuật cũng như cho cơ quan thực thi pháp luật.
Đây chưa bao giờ là một cuộc cãi vã ầm ĩ. Đây là hồ sơ vụ án.

PhishDestroy Medium — một trong số nhiều nền tảng xuất bản được sử dụng để ghi chép và phổ biến bằng chứng.
Mỗi tuyên bố nêu trên đều có bằng chứng công khai. Hãy bắt đầu với những vụ án tiêu biểu:
Nhóm nghiên cứu PhishDestroy
Sáng kiến chống lừa đảo độc lập — thành lập năm 2019
← Quay lại PhishDestroy · Lưu trữ tin tức · abuse@phishdestroy.io