>
PhishDestroy Trực tiếp
Quay lại trang Tin tức
Chia sẻ: Bài đăng Telegram
● TIN NÓNGCập nhật ngày 2 tháng 7 năm 2026 — Đã nộp hồ sơ ICANN số 1479
Điều tra

NameSilo Bào chữa cho một vụ lừa đảo tiền điện tử trị giá 100 triệu USD
— Rồi Đã gỡ bỏ tài khoản Twitter của chúng tôi

Một nhà đăng ký được ICANN công nhận đã công bố 4 lời nói dối đã được ghi nhận để che giấu một chiến dịch đánh cắp Monero kéo dài 10 năm, đã đề nghị xóa lịch sử kiểm tra trên VirusTotal trong khi hệ thống đánh cắp vẫn đang hoạt động, sau đó sử dụng dịch vụ X Gold Checkmark trả phí để chặn các nhà nghiên cứu đã chứng minh họ sai. Kỹ sư DevOps của họ: cựu Trưởng phòng Công nghệ Thông tin tại một mô hình lừa đảo kiểu kim tự tháp của Nga trong suốt một thập kỷ.

Ngày 1 tháng 4 năm 2026 — Cập nhật ngày 2 tháng 7 năm 2026 Nghiên cứu PhishDestroy Thời gian đọc: 10 phút 61 tệp đã được xác minh bằng SHA-256
$0M+ Ước tính bị đánh cắp
0 năm Chiến dịch Tuổi thọ
0 Những lời dối trá được ghi chép lại
0k Các trang bị Bing loại khỏi chỉ mục
0+ Các đánh giá đã bị xóa
0 Các tệp bằng chứng SHA-256
Đọc toàn văn báo cáo điều tra tại phishdestroy.eth.limo

Bài viết này là bản xem trước. Toàn bộ bằng chứng, kho lưu trữ IPFS và tất cả tài liệu nguồn có tại liên kết ở trên.

Bối cảnh: xmrwallet.com thực sự là gì?

xmrwallet.com không phải là trang lừa đảo. Đây là một Ví Monero hoạt động đầy đủ chức năng với lỗ hổng bảo mật phía máy chủ được xây dựng vào năm 2018 và hoạt động cho đến tháng 5 năm 2026 — gần một thập kỷ. Kho lưu trữ GitHub chỉ là một lớp vỏ bề ngoài công khai. Mã nguồn liên quan đến hành vi trộm cắp chỉ tồn tại trên máy chủ sản xuất, chưa bao giờ được commit và cũng chưa bao giờ được kiểm toán.

Mỗi lần người dùng tương tác sẽ gửi khóa xem riêng tư đến máy chủ của nhà điều hành thông qua yêu cầu POST, được mã hóa Base64 trong một biến có tên là session_key — khoảng 40 lần truyền dữ liệu mỗi phiên. Giao dịch phía máy khách bị hủy bỏ một cách rõ ràng (raw_tx_and_hash.raw = 0); máy chủ tự tạo khóa của riêng mình bằng cách sử dụng các khóa bị đánh cắp.

Cuộc “kiểm toán an ninh” năm 2018 mà chẳng phát hiện được gì cả

Báo cáo kiểm toán của NewAlchemy đã nhận được 67 lượt bình chọn tích cực trên Reddit và được sử dụng như một tín hiệu tin cậy trong nhiều năm. Phạm vi cụ thể của báo cáo này là: "Chỉ sử dụng JavaScript phía máy khách." Nằm ngoài phạm vi một cách rõ ràng: "rất nhiều điểm cuối API PHP." Các điểm cuối đó chính là cơ chế trộm cắp thực sự. Về mặt cấu trúc, cuộc kiểm toán không thể phát hiện ra lỗ hổng bảo mật này.

Vụ trộm này được thiết kế theo kiểu chọn lọc. Các khoản nạp nhỏ được để nguyên trong nhiều năm, nhằm xây dựng lòng tin và các đánh giá hợp pháp. Các khoản tiền lớn thì bị đánh cắp chỉ trong vài phút. Một nạn nhân được ghi nhận đã nạp 590 XMR — số tiền này đã biến mất chỉ trong vòng 2 ngày. Tổng số tiền ước tính thận trọng từ hơn 15 nạn nhân được ghi nhận: 5.000–50.000+ XMR bị đánh cắp (từ 1,5 triệu USD đến hơn 15 triệu USD theo giá lịch sử). 60% bài đăng của các nạn nhân đã bị báo cáo hàng loạt và xóa trước khi thu thập được bằng chứng.

# The smoking gun: client-side transaction explicitly discarded raw_tx_and_hash.raw = 0 # thrown away; server builds its own with stolen keys # ~40 POST transmissions per session, every session, since 2016: session_key = base64_encode(địa_chỉ_ví + ":" + private_view_key) # GitHub: 0 occurrences of "session_key" in any commit # Production server: core theft variable, all versions, since 2016
Cửa hậu xmrwallet — Các tuyến đường trên giao diện công khai GitHub không có vấn đề, trong khi máy chủ sản xuất ẩn đang đánh cắp khóa phiên (session_key)
Vụ trộm dữ liệu được minh họa trong một sơ đồ: màu xanh lá cây = kho lưu trữ công khai trên GitHub (sạch, đã được kiểm toán, đáng tin cậy). Màu đỏ = máy chủ sản xuất — không bao giờ xuất hiện trong bất kỳ commit nào, chưa từng được kiểm toán, đang bị rò rỉ dữ liệu session_key cho người điều hành trong mỗi phiên làm việc.
 Trình diễn trực tiếp — Chúng tôi đã tái tạo lại lỗ hổng bảo mật
Hãy theo dõi quá trình rò rỉ session_key diễn ra ngay trong trình duyệt của bạn

Chúng tôi đã tái hiện quá trình đánh cắp khóa dựa trên gtag trong một bản demo chạy trong môi trường sandbox. Mở DevTools → tab Mạng → tương tác với ví. Theo dõi session_key Các yêu cầu POST được gửi đi theo thời gian thực. Đây chính là cơ chế đã hoạt động trong suốt 10 năm qua. Đây chính là điều mà “kiểm toán bảo mật” chưa bao giờ xem xét. Đây chính là điều mà NameSilo đã công khai bảo vệ.

Mở bản demo tương tác

Câu nói giải thích về NameSilo

Bằng chứng không thể chối cãi — chiếc búa tòa bị nứt và những dấu ngoặc kép phát sáng
Ngày 17 tháng 2 năm 2026. Chỉ một câu. Một thập kỷ tin tưởng vào nhà đăng ký tên miền của mình.

Vào ngày 16 tháng 2 năm 2026, người điều hành trang web xmrwallet.com đã gửi email cho PhishDestroy yêu cầu gỡ bỏ bài báo. Người này ký tên là "Nathalie Roy" — tài khoản GitHub nathroy, ID 39167759. Chúng tôi đã trả lời bằng một bản phân tích kỹ thuật chi tiết và một cảnh báo bằng văn bản: "Điều gì sẽ xảy ra tiếp theo hoàn toàn phụ thuộc vào cách bạn quyết định hành động."

Ngày hôm sau, anh ấy gửi một câu nói đã cho chúng tôi biết tất cả về mối quan hệ của anh ấy với NameSilo:

“Các vị cứ tự nhiên yêu cầu cơ quan đăng ký tên miền cung cấp thông tin về tôi.”
— Người điều hành trang web xmrwallet.com, ngày 17 tháng 2 năm 2026
Ba tuần trước khi NameSilo gọi anh ta là nạn nhân

Không ai còn sử dụng máy xả nước đã cũ mười năm trên $550/mo bulletproof Belize hosting, người đứng sau DDoS-Guard của Nga, bình thản đề nghị bạn yêu cầu cơ quan đăng ký tên miền của anh ta cung cấp thông tin — trừ khi anh ta đã biết trước câu trả lời. Ba cơ quan đăng ký tên miền khác (PDR, WebNic, NICENIC) đã tạm ngưng các tên miền của anh ta chỉ trong vài ngày sau khi có cùng bằng chứng đó. NameSilo đã soạn cho anh ta một thông cáo báo chí và đề nghị xóa sạch hồ sơ của anh ta.

Trong khi lỗ hổng bảo mật vẫn còn tồn tại: xmrwallet đã trả tiền cho PR Newswire để đưa ra tuyên bố trái ngược

Ngày 21 tháng 1 năm 2026 — xmrwallet đã trả tiền cho PR Newswire để đăng tải một thông cáo báo chí với nội dung như sau: "Các khóa riêng tư không bao giờ được truyền đến các máy chủ trung tâm." Cái session_key Trong suốt khoảng thời gian này, các yêu cầu POST đã được gửi liên tục trong mỗi phiên người dùng tới máy chủ sản xuất. PR Newswire là một dịch vụ phân phối có thu phí — các công ty tự soạn thảo và chi trả cho nội dung của mình, không qua kiểm duyệt biên tập. Nguồn: PR Newswire, ngày 21 tháng 1 năm 2026


Bốn lời nói dối của NameSilo, theo ghi chép chính thức

Vào ngày 13 tháng 3 năm 2026, tài khoản chính thức của NameSilo đã đăng bài trong chuỗi bài viết điều tra của chúng tôi. Bài đăng này đã có 11.300 lượt xem trước khi được lưu lại. Đã được lưu trữ vĩnh viễn tại ghostarchive.org/archive/CXXZ0. Mỗi câu đều được bác bỏ bằng các nguồn tư liệu sơ cấp:


NameSilo là ai: Một công ty gia công phần mềm thuộc khối CIS có địa chỉ nhận thư tại Mỹ

NameSilo LLC được đăng ký tại Phoenix, Arizona. Công ty này được niêm yết trên Sở Giao dịch Chứng khoán Canada với tên gọi Brisio Innovations (CSE:BZI), báo cáo doanh thu 65,5 triệu đô la Canada vào năm 2025. Đội ngũ kỹ sư thực tế của công ty phân bố tại Nga, Belarus, Ukraine, Serbia, Argentina và Latvia. Đã xác định được ít nhất 13 nhân viên nói tiếng Nga. Người có quyền truy cập toàn bộ vào hạ tầng DevOps đã dành một thập kỷ phụ trách mảng CNTT cho một mô hình lừa đảo kiểu kim tự tháp của Nga trước khi gia nhập NameSilo.

DevOps — Quyền truy cập toàn diện vào hạ tầng
Mikhail Chudinov
Argentina (đã chuyển đến nơi khác)
Trước đó Trưởng phòng Công nghệ Thông tin tại SuperKopilka — Mô hình kim tự tháp tài chính của Nga, 2007–2017. Mười năm phụ trách mảng CNTT cho một mô hình luân chuyển tiền tệ cho đến khi sụp đổ. Tự nhận là “người đam mê tiền điện tử”. Tại NameSilo: nắm toàn quyền DevOps đối với toàn bộ hạ tầng.
Cựu Giám đốc CNTT của Pyramid, 10 năm
Lập trình viên PHP phía máy chủ
Ivan Borzenkov
Bryansk, Nga (+7 920)
Lập trình viên backend hiện đang sinh sống tại Nga. GitHub: ivan1986. Truy cập trực tiếp bằng PHP vào hệ thống backend của NameSilo từ trong lãnh thổ Nga.
🇷🇺 Truy cập hệ thống backend đặt tại Nga
Quản lý dự án
Vladimir Voskov
Moscow, Nga
Trước đó Công ty Zyfra — Các hợp đồng tự động hóa công nghiệp của nhà nước Nga. Quản lý một nhà đăng ký tên miền đăng ký tại Mỹ từ Moscow.
🇷🇺 Moscow — cựu nhà thầu nhà nước
Trưởng phòng Quản lý Dự án
Tatiana Labutina
Belgrade, Serbia
Trước đó ForexClub Libertex — Nhà môi giới ngoại hối của Nga, đã phải chịu nhiều biện pháp trừng phạt từ các cơ quan quản lý của Liên minh châu Âu. Belgrade: trung tâm tái định cư chính dành cho các chuyên gia Nga sau năm 2022.
Cựu thành viên ForexClub Libertex
Cũng đã được xác định

Aleksey Podashevskiy (Frontend) — Belarus, khu vực pháp lý bị áp đặt lệnh trừng phạt, làm việc cho một nhà đăng ký tên miền được ICANN công nhận và đăng ký tại Hoa Kỳ. Tổng cộng có hơn 13 nhân viên nói tiếng Nga được xác định tại Nga, Belarus, Serbia, Argentina và Latvia. Không có dịch vụ lưu trữ nào của phương Tây trong chuỗi hạ tầng của xmrwallet.

Quy mô cuộc điều tra

Hơn 5,18 triệu tên miền được phân tích trên toàn bộ danh mục của NameSilo — mỗi tên miền đều được đối chiếu chéo với VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish và SURBL.

Hệ thống nền tảng PHP của xmrwallet được tái tạo hoàn toàn từ các dấu vết hành vi phía máy khách — không cần truy cập máy chủ, không cần mã nguồn, không cần sự hợp tác. Cơ chế đánh cắp đã được xác định chỉ dựa trên các mẫu hoạt động mạng có thể quan sát được.

13 thành viên trong đội được đối chiếu dữ liệu từ LinkedIn, GitHub, HeadHunter, Telegram, các cơ sở dữ liệu đăng ký doanh nghiệp và hồ sơ tòa án tại 6 quốc gia. Các mẫu xóa đánh giá trên Trustpilot được theo dõi trong nhiều tháng để xác định tần suất loại bỏ có hệ thống. Báo cáo quý của CSE:BZI đã đối chiếu với dữ liệu danh mục tên miền để xác định sự bất thường về doanh thu. 5,18 triệu tên miền được phân tích dựa trên 6 nguồn thông tin tình báo về mối đe dọa. Tất cả dữ liệu thô đều được công khai tại github.com/phishdestroy/namesilo-evidence. Đã nộp đơn lên ICANN, các cơ quan thực thi pháp luật của Liên minh Châu Âu và 3 đơn vị phòng chống tội phạm mạng quốc gia.


Sự bất thường về tên miền: 32,2% chưa bao giờ được kích hoạt — Một màn khói thống kê

Chúng tôi đã thu thập và phân tích mọi tên miền trong danh mục của NameSilo — tổng cộng 5,18 triệu tên miền. Mỗi tên miền đều đã được kiểm tra trên VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish và SURBL. Dữ liệu thô, phương pháp luận và kết quả kiểm tra cho từng tên miền đều được công khai: github.com/phishdestroy/namesilo-evidence. Kết quả: 32,2% tên miền chưa bao giờ được kích hoạt — so với mức 14,7–22,8% tại các nhà đăng ký tên miền tương tự. 10.000–17.000 lượt đăng ký hàng loạt trong một ngày (đỉnh điểm: 17.180 vào ngày 19/07/2025). Chi 12 triệu USD cho các tên miền chưa bao giờ được kích hoạt; mức tiêu hao hàng năm là 3,2 triệu USD cho các tên miền không có mục đích sử dụng. Vào năm 2024, khi ShortDot — đối tác của NameSilo — mua lại các TLD mới (.sbs, .cfd với giá sỉ khoảng 0,50 USD, bán lẻ với giá 14,95 USD = Hệ số nhân 22–31×), số lượng đăng ký tên miền không hoạt động đã tăng vọt 615% trong vòng một năm.

Địa lý và quy mô tên miền của NameSilo — Công ty tại Phoenix, Arizona, đội ngũ CIS, 5,18 triệu tên miền
Đăng ký tại Hoa Kỳ. Vận hành bởi CIS. 5,18 triệu tên miền, trong đó 32,2% chưa bao giờ được kích hoạt. Đội ngũ kết nối các điểm từ Phoenix đến Moscow và Buenos Aires.

PrivacyGuardian ẩn danh tính người mua trên hơn 3 triệu tên miền (được đăng ký dưới tên pw-{hex}@privacyguardian.org). Chấp nhận thanh toán bằng Bitcoin. Không yêu cầu xác minh danh tính (KYC). Mỗi tên miền ảo đều làm cho tỷ lệ lạm dụng so với tổng số tên miền trông nhỏ hơn.

0.43% so với tổng số 5,18 triệu
"chẳng có gì cả"
2.34% so với HTTP-alive
mỗi trang web thứ 43
40.9% so với các doanh nghiệp thực sự
Cứ 2,5 trường hợp hợp pháp thì có 1 trường hợp lừa đảo
Sự bất thường về tài chính: CSE:BZI

NameSilo công bố doanh thu 65,5 triệu đô la Canada (năm 2025). Tỷ lệ P/E: 143,8 lần so với mức trung bình của ngành là 21 lần. Doanh thu trên mỗi tên miền thực (đang hoạt động): 68 đô la Canada so với mức 10–15 đô la của ngành. 95 nhà đăng ký ICANN bán tên miền .com với giá rẻ hơn. Nếu việc đăng ký hàng loạt tên miền ảo nhằm rửa tiền — tỷ lệ chênh lệch giá từ BTC sang tên miền là 22–31 lần — thì số tiền này sẽ xuất hiện dưới dạng “doanh thu hợp pháp từ nhà đăng ký” trong các báo cáo quý được nộp lên Sở Giao dịch Chứng khoán Canada. Mô hình này đã được ghi nhận và chuyển giao cho cơ quan thực thi pháp luật.

Cách NameSilo tạo ra “sự chú ý của truyền thông” cho các nhà đầu tư CSE:BZI — 6 bước
1
NameSilo soạn thảo một thông cáo báo chí về bản thân họ. Dùng ngôi thứ ba. "NameSilo, nhà đăng ký tên miền phát triển nhanh nhất..."
3
PR Newswire tự động đăng tải thông tin này lên Yahoo Finance, Morningstar, StockWatch, newswire.ca — đối với bất kỳ ai đã thanh toán, sẽ không có quá trình thẩm định nội dung.
4
Yahoo Finance đăng tải thông tin này kèm theo một chú thích nhỏ: "Đây là một thông cáo báo chí được tài trợ."
5
Trang thông tin cổ phiếu CSE:BZI của NameSilo hiện đang hiển thị "sự đưa tin của truyền thông." "Yahoo Finance đã đưa tin về chúng tôi." "StockWatch đã đưa tin về chúng tôi."
!
Không ai viết về họ cả. Chính họ đã tự viết về bản thân và chi tiền để khiến những bài viết đó trông giống như tin tức. Đây là phần “phản ánh của truyền thông” trên trang dành cho nhà đầu tư CSE của một công ty mà cơ quan đăng ký của họ đã công khai bênh vực một kẻ đang thực hiện hành vi rút tiền trái phép từ Monero.
Thông cáo báo chí được trả tiền 805 đô la ≠ báo chí độc lập. Các nhà đầu tư CSE:BZI: hãy đọc kỹ thông tin trên nhãn.

Điều gì đã xảy ra sau khi chúng tôi xuất bản

Sau khi bài báo của chúng tôi được đăng tải, một chiến dịch phối hợp giữa các biện pháp pháp lý và việc hạn chế trên nền tảng đã nhắm vào mọi kênh chính mà PhishDestroy có mặt. Ba cơ chế — mỗi cơ chế đều đã được ghi lại, lưu trữ và hiện là một phần của đơn khiếu nại ICANN số 1479.

X / Twitter — Tài khoản @Phish_Destroy đã bị khóa. Dấu tích vàng X mang đến cho người đăng ký một kênh hỗ trợ ưu tiên mà người dùng thông thường không có. Kênh đó đã được sử dụng để gửi đơn khiếu nại chống lại tài khoản của chúng tôi. Hệ thống xem xét tự động của chính X đã xử lý vụ việc, xác nhận chúng tôi vô can bằng văn bản và khẳng định không có vi phạm nào. Tuy nhiên, tài khoản vẫn bị khóa. Chúng tôi đã công bố thư xác nhận vô tội ngay trước khi lệnh khóa được gỡ bỏ — dự đoán có ghi thời gian của GhostArchive được bao gồm trong ICANN #1479.
Google — Yêu cầu xóa dữ liệu theo GDPR + Khiếu nại theo DMCA. Các yêu cầu về “quyền xóa dữ liệu” của châu Âu đã được đệ trình theo Quy định Bảo vệ Dữ liệu Chung (GDPR) nhằm buộc Google loại bỏ các trang điều tra cụ thể của PhishDestroy khỏi kết quả tìm kiếm. Song song đó, các thông báo gỡ bỏ theo Đạo luật Bản quyền Kỹ thuật số Thiên niên kỷ (DMCA) cũng đã được gửi đi, nhắm vào các URL điều tra. Cả hai cơ chế này đều được áp dụng đồng thời — áp lực pháp lý thông qua luật bảo vệ quyền riêng tư của EU, và áp lực về bản quyền thông qua luật của Hoa Kỳ. Bản thân nội dung điều tra chưa bao giờ bị phản bác thành công về mặt sự thật.
Bing — 108.000 trang bị loại khỏi chỉ mục chỉ trong một ngày. Toàn bộ trang web phishdestroy.io — gồm 108.000 trang đã được lập chỉ mục — đã bị xóa khỏi kết quả tìm kiếm của Bing trong một lần xử lý hàng loạt. Thời điểm diễn ra vô cùng chính xác: việc loại bỏ khỏi chỉ mục trùng khớp hoàn toàn với thời điểm báo cáo NameSilo của chúng tôi được công bố. Đây không phải là vấn đề thu thập dữ liệu từ từ, cũng không phải là lỗi kỹ thuật — mà là một khiếu nại hàng loạt duy nhất mà Bing đã xử lý mà không có thông báo trước.
IPFS — họ đã nộp đơn khiếu nại. Nhưng mọi thứ vẫn không thay đổi. Các yêu cầu gỡ bỏ đã được đệ trình đối với tên miền ENS và các dịch vụ cổng kết nối. phishdestroy.eth.limo vẫn đang hoạt động bình thường. Nội dung IPFS được định địa chỉ bằng hàm băm SHA-256 — không có máy chủ nào để gỡ xuống, không có tài khoản lưu trữ nào để đình chỉ, không có nhà đăng ký tên miền nào để gây áp lực, cũng không có mạng phân phối nội dung (CDN) nào để liên hệ. Cuộc điều tra diễn ra đồng thời trên Arweave, GhostArchive và Wayback Machine. Sự tức giận tỷ lệ thuận với cảm giác bất lực.
Chiến dịch kiểm duyệt trên các nền tảng — Dấu tích vàng của X, GDPR của Google, Bing loại bỏ khỏi chỉ mục
Một dấu tích vàng. Ba cơ chế pháp lý. 108.000 trang trên Bing. Mọi nền tảng đều bị nhắm đến sau cùng một bài đăng. Đây chính là hình ảnh của việc bị bịt miệng do các tập đoàn tài trợ.
Chúng tôi đã dự đoán điều này — đã được ghi lại kèm dấu thời gian trên GhostArchive trước khi nó xảy ra

Trước khi khóa được kích hoạt, chúng tôi đã đăng một tweet dự đoán rằng NameSilo sẽ áp dụng “chiến lược đàn áp” của kẻ lừa đảo và đã ghi lại thời gian đăng bài trên GhostArchive. Họ đã làm y hệt như những gì chúng tôi đã nói, đúng như dự kiến. Dự đoán có ghi thời gian — chứng minh rằng chúng tôi đã lường trước được chiến thuật này trước khi nó được sử dụng — đã được đưa vào đơn khiếu nại gửi ICANN chống lại NameSilo (ICANN #1479).

Không được động vào kho lưu trữ

Mọi thứ đều đã sẵn sàng IPFS (phishdestroy.eth), Arweave, GhostArchive và Wayback Machine. 61 ảnh chụp màn hình đã được xác minh bằng SHA-256. Không có bất kỳ khiếu nại pháp lý nào thành công đối với bất kỳ cáo buộc nào. Không có bất kỳ phản biện kỹ thuật nào từ phía nhà điều hành hoặc NameSilo. Không có bất kỳ phản hồi dựa trên sự thật nào — chỉ có những lời đe dọa pháp lý, các luận điểm công kích cá nhân và các bài đăng trên Twitter đã bị xóa. Báo cáo điều tra đầy đủ kèm theo dữ liệu thô, hồ sơ nhóm, phân tích rửa tiền và các nguồn hỗ trợ cho nạn nhân có tại phishdestroy.eth.limo — được sao lưu trên IPFS, Arweave, GhostArchive và Wayback Machine. Không có dấu tích vàng nào xuất hiện trên bất kỳ nền tảng nào trong số đó.


Mạng lưới Escape Domain: Đã được chuẩn bị từ nhiều tháng trước khi bị triệt phá

Bắt đầu Ngày 4 tháng 2 năm 2026 — cùng tuần mà kẻ điều hành lần đầu tiên liên hệ với PhishDestroy — hắn bắt đầu bí mật đăng ký các tên miền dự phòng tại 4 nhà đăng ký khác nhau, thanh toán trước từ 5 đến 10 năm cho mỗi tên miền. Hệ thống này được thiết kế để có thể tồn tại sau bất kỳ đợt gỡ bỏ nào. Tuy nhiên, nó đã không thể trụ vững trước cuộc điều tra.

Phân tích kỹ thuật ban đầu kèm theo đầy đủ bằng chứng: github.com/phishdestroy/KHÔNG-NÊN-SỬ-DỤNG-xmrwallet-com

Các tên miền Escape — Được đăng ký sau khi cuộc điều tra bắt đầu
Miền Cơ quan đăng ký Trả trước IP Tình trạng
xmrwallet.cc Cơ quan đăng ký tài sản công cộng 8 năm 185.129.100.248 BỊ TẠM NGƯNG
xmrwallet.biz WebNic.cc 5 năm 190.115.31.40 BỊ TẠM NGƯNG
xmrwallet.net NICENIC Quốc tế 10 năm 190.115.31.40 ← DNS không hoạt động
xmrwallet.me Key-Systems GmbH 10 năm 185.129.100.248 ← ĐANG XỬ LÝ — đã nhận được báo cáo về hành vi lạm dụng

Phân cụm IP: 185.129.100.248 được chia sẻ bởi .cc và .me — cùng một máy chủ. 190.115.31.40 được chia sẻ bởi .biz và .net — cùng một máy chủ. Bốn nhà đăng ký tên miền, hai cụm IP. Thời hạn đăng ký trả trước 33 năm. Tất cả đều được đăng ký bí mật sau lần liên hệ đầu tiên với các điều tra viên.


Danh tiếng được mua: Wikipedia, Forbes và hơn 15 bài báo được tài trợ

Danh tiếng công khai của NameSilo là do tạo dựng. Wikipedia: có gắn cờ “quảng cáo trả phí”. Forbes: Thông báo về chương trình liên kết “Chúng tôi nhận hoa hồng”. SmartCustomer: 1,8/5 — không có kết quả tiêu cực nào trên Google.

Wikipedia — Được các biên tập viên gắn cờ là nội dung quảng cáo

NameSilo có một bài viết trên Wikipedia — được các biên tập viên đánh dấu là bài viết được tài trợ/quảng cáo, chứ không phải là bài báo mang tính trung lập. Lịch sử chỉnh sửa (đã lưu trữ): en.wikipedia.org/w/index.php?title=NameSilo&action;=history

Forbes Advisor — Thông báo về hoa hồng liên kết

NameSilo xuất hiện trên Forbes Advisor kèm theo thông báo rõ ràng về mối quan hệ liên kết: "Forbes Advisor tuân thủ các tiêu chuẩn nghiêm ngặt về tính chính trực trong biên tập... Chúng tôi nhận hoa hồng." Forbes Advisor kiếm tiền khi người dùng đăng ký qua các liên kết của họ — điều này tạo ra động lực tài chính trực tiếp để đưa ra những bài viết tích cực. Nguồn: forbes.com/advisor/business/software/namesilo-review/

SmartCustomer: 1,8/5 — Không có kết quả tiêu cực nào trên Google

NameSilo sở hữu một Đánh giá 1,8/5 trên SmartCustomer — nguồn: smartcustomer.com/reviews/namesilo.com. Mặc dù đã có hàng chục bài đánh giá tiêu cực được ghi nhận, nhưng kết quả tìm kiếm trên Google lại không hiển thị bất kỳ thông tin tiêu cực nào — đây là hành vi che giấu chủ động bằng cách sử dụng chính các công cụ theo GDPR và DMCA đã được áp dụng để ngăn chặn cuộc điều tra của chúng tôi.

PR Newswire — Tự xuất bản, trả phí, không qua biên tập

NameSilo Technologies Corp. (CSE:BZI / OTC: URLOF — công ty mẹ niêm yết trên sàn chứng khoán của NameSilo LLC) sử dụng PR Newswire để đăng tải các thông báo của công ty. PR Newswire là một dịch vụ phân phối có thu phí: công ty soạn thảo nội dung và trả phí để đăng tải. Ví dụ về các thông cáo báo chí có trả phí của NameSilo Technologies:

Cơ chế tương tự: xmrwallet đã sử dụng PR Newswire vào ngày 21 tháng 1 năm 2026 để đăng tải bài viết trang bìa của mình (“khóa riêng tư không bao giờ được truyền đến các máy chủ trung tâm”) trong khi cửa hậu vẫn đang hoạt động. Hình thức phân phối có trả phí này đã trình bày nội dung do nhà điều hành soạn thảo như một tin tức đáng chú ý.


Ba vị trí. Một công ty. Không có vị trí nào trong số đó tồn tại khi tiếp xúc với nhau.

NameSilo đã không duy trì một lập trường nhất quán. Họ lần lượt thể hiện ba lập trường mâu thuẫn nhau — chuyên gia tự tin, nạn nhân bị đe dọa, công chức khiêm tốn — tùy thuộc vào mức độ rủi ro pháp lý mà họ phải đối mặt tại từng thời điểm.

1
Tháng 3 năm 2026 — Vị trí Chuyên gia Tự tin
Đội xử lý các trường hợp lạm dụng của NameSilo đã đã được xác định một cách dứt khoát Tên miền đã bị xâm nhập. Họ đã tiến hành điều tra vụ tấn công này. Họ biết rằng chủ sở hữu tên miền chính là nạn nhân. Họ đang giúp anh ấy loại bỏ các kết quả phát hiện của VirusTotal — điều này, theo chính logic của họ, có nghĩa là họ có uy tín hơn tất cả các nhà cung cấp phần mềm diệt virus đã đánh dấu tên miền đó là nguy hiểm. Mức độ tin cậy: tuyệt đối.
2
Giai đoạn 2 — Mối đe dọa pháp lý (Bài đăng trên Twitter công khai, ngày 11 tháng 5 năm 2026)
@namesilo — Tài khoản chính thức có dấu tích vàng — 11 tháng 5 năm 2026 · 417 lượt xem · 107 bình luận

"Những cáo buộc của quý vị là sai sự thật, mang tính vu khống và bôi nhọ. NameSilo sẽ xử lý và xem xét tất cả các báo cáo vi phạm được gửi đến chúng tôi. Nếu quý vị có bất kỳ trường hợp nào như vậy, vui lòng gửi đến địa chỉ abuse@namesilo.com. Nếu không, xin vui lòng liên hệ trực tiếp với nhà cung cấp dịch vụ lưu trữ website hoặc chủ sở hữu tên miền. Và hãy ngừng ngay việc đưa ra những thông tin sai sự thật về chúng tôi, nếu không chúng tôi sẽ buộc phải tiến hành các biện pháp pháp lý."

Chuyên gia tự tin từng điều tra vụ tấn công mạng, xác định chủ sở hữu tên miền chính là nạn nhân và đang giúp anh ta gỡ bỏ các cảnh báo từ VirusTotal — giờ đây chỉ còn là một hộp thư khiếu nại thông thường. Cuộc điều tra tan thành mây khói. Chuyên môn cũng tan thành mây khói. Chỉ còn lại mối đe dọa pháp lý.
3
Phản hồi của ICANN — Quan điểm khiêm tốn của người xử lý
Giờ đây, họ xử lý các báo cáo. Giờ đây, họ không thể xác định được các vụ lừa đảo qua email. Giờ đây, họ phải nhờ đến các nhà cung cấp dịch vụ lưu trữ. Đội ngũ đó đã vượt trội hơn mọi nhà cung cấp phần mềm diệt virus lớn để kết luận rằng tên miền đó là an toàn giờ đây đã quá khiêm tốn để gọi điện. Đây không phải là sự thiếu năng lực. Sự thiếu năng lực thì luôn nhất quán. Đây là một lập trường được lựa chọn tùy theo từng đối tượng.
Mâu thuẫn cốt lõi — Chọn một trong hai, NameSilo

Nếu đội ngũ xử lý các trường hợp lạm dụng của bạn có đủ năng lực để tiến hành một cuộc rà soát toàn diện và sâu rộng, xác định tên miền đã bị tấn công, xác định chủ sở hữu tên miền là nạn nhân, và bắt đầu hỗ trợ anh ta loại bỏ các kết quả phát hiện từ VirusTotal — như vậy, bạn đang công khai khẳng định rằng mình có uy tín và năng lực kỹ thuật cao hơn tất cả các nhà cung cấp phần mềm diệt virus đã đánh dấu tên miền này là độc hại.

Bạn không thể sau này viện cớ rằng bạn chỉ cần xử lý các báo cáothiếu chuyên môn để nhận diện các vụ lừa đảo qua email. Đơn khiếu nại gửi ICANN không yêu cầu bạn phải có năng lực mà bạn không có. Đơn khiếu nại này chỉ hỏi tại sao bạn lại sử dụng năng lực mà rõ ràng là bạn có — để giúp đỡ kẻ lừa đảo, chứ không phải các nạn nhân.


Trustpilot: Các trang trại bot cạnh tranh với nhau

Ví dụ: “Patty Johnson” — Hồ sơ tại Mỹ, tổng cộng 2 đánh giá

Một đánh giá 5 sao cho NameSilo (tháng 1 năm 2026): “Leonid rất nhiệt tình… 5 sao!” Bài đánh giá khác: về Otrium — một công ty có các bài đánh giá cáo buộc gian lận và chiếm đoạt tiền. Một tài khoản bot, hai doanh nghiệp có liên quan đến lừa đảo. Mô hình nhận diện: nêu tên nhân viên hỗ trợ, khen ngợi thời gian phản hồi, sử dụng ngôn ngữ theo mẫu có sẵn. Người mua tên miền thực sự đánh giá về giá cả và trải nghiệm người dùng trên bảng điều khiển. Các bài đánh giá từ bot ca ngợi “Leonid.”

Phân tích dữ liệu — 2.280 đánh giá về NameSilo so với 2.480 đánh giá về Namecheap

Hệ mét NameSilo Namecheap
Đánh giá 5 sao88.9%74.0%
Các đánh giá 1 sao7.2%16.7%
Tài khoản chỉ có một bài đánh giá62.4%59.6%
Không có ảnh đại diện (tài khoản mới)67.3%51.5%
Các đánh giá về dịch vụ hỗ trợ70.0%60.2%
Các đánh giá về giá cả/chi phí9.8%37.5%
Đặc vụ có mật danh “Leonid”5.7%0.0%
Định vị địa lý tại Hoa Kỳ35.1%26.5%
Hiện tượng bất thường Leonid

Leonid xuất hiện vào ngày 13 tháng 4 năm 2025. Trước đó, không có bất kỳ đề cập nào về anh. Sau đó, anh nhận được 65 đánh giá chỉ trong hai tháng đầu tiên. Tháng 5 năm 2025: 106 đánh giá (gấp 5 lần mức bình thường), 95% đánh giá 5 sao, không có đánh giá 1 sao. Không có một khách hàng nào phàn nàn trong số 106 đánh giá dành cho nhà đăng ký tên miền xếp thứ 96 về mức giá tên miền .com.

43% các bài đánh giá về Leonid có độ dài dưới 80 ký tự. Bốn bài trong số đó chỉ có tiêu đề “Leonid”. Thêm ba cái nữa: “Leonid đã giúp đỡ rất nhiều.” Trong số những người đánh giá có: “Satoshi Nakamoto,” “Tác giả,” “Виктор -”, “Anna Koroleva,” “Boris Martin,” “Andrei Dobrescu” xen lẫn với “Brad,” “LaToya,” “Patty Johnson.” Một công cụ tạo tên luân phiên qua các châu lục. Tên Leonid là tên Nga.

Hồng Kông: 57 đánh giá. 57 trên 57 đánh giá năm sao. Về mặt thống kê, điều này là không thể.

Không có đánh giá 4 sao. Không có đánh giá 3 sao. Không có bất kỳ loại đánh giá nào khác. 91% tài khoản chỉ có một đánh giá. Trong hơn 7 năm. Trung Quốc: 94% đánh giá 5 sao, 80% chỉ có một đánh giá. Singapore: 95% đánh giá 5 sao. Tổng cộng 168 đánh giá từ các thị trường nói tiếng Trung — gần như hoàn toàn là giả mạo.

Tại sao lại là Trung Quốc? NameSilo đang tích cực triển khai các hoạt động tiếp thị tại thị trường này: namesilo-china.com, bcbay.com/namesilo, các bài đăng trên blog Trung Quốc được trả tiền, một bài viết trên Wikipedia tiếng Trung. Khi các nhà điều tra đặt câu hỏi “ai là người mua 4,22 triệu tên miền không còn hoạt động?” — NameSilo chỉ thẳng vào Trung Quốc. Dữ liệu từ Trustpilot cho thấy họ đã xây dựng lời bào chữa này từ năm 2019, từng đánh giá giả mạo một.

Phân tích pháp y độc lập về API Claude — Thử nghiệm mù

2.480 đánh giá về NameSilo và 2.480 đánh giá về Namecheap trên Trustpilot đã được gửi đến Claude API, được ẩn danh thành “Công ty A” (NameSilo) và “Công ty B” (Namecheap). Hệ thống AI không biết công ty nào là công ty nào.

Chỉ số pháp y NameSilo (A) Namecheap (B)
Tỷ lệ đánh giá 5 sao89.1%74.0%
Tỷ lệ đánh giá 1 sao7.1%16.7%
Các tài khoản dùng một lần được đánh giá 5 sao92%~65%
Các đánh giá đề cập đến giá cả11.2%39.2%
Được đề cập là sản phẩm duy nhất trong các bài đánh giáLeonid: 168không có
Độ đa dạng từ vựng 5 sao (TTR)0.073~0.15
HK: 100% đánh giá năm sao57/57không áp dụng
Đợt tăng đột biến vào tháng 5–6 năm 2025 (gấp 5 lần mức bình thường)215 đánh giákhông có
Phán quyết về việc thao túng bằng trí tuệ nhân tạo92%15%
Kết luận pháp y về trí tuệ nhân tạo — Trích nguyên văn

“Công ty A có những bằng chứng phong phú và đa chiều cho thấy việc thao túng các bài đánh giá một cách có hệ thống thông qua việc tạo ra các đánh giá giả mạo một cách có phối hợp. Khả năng những mô hình này xuất hiện một cách tự nhiên gần như bằng không.”

Phân tích chi tiết: phishdestroy.eth.limo/namesilo-trustpilot.html · Dữ liệu thô: trustpilot-forensic-report-final.txt


Những thành tựu mà cuộc điều tra đã đạt được

xmrwallet.com — Đã ngừng hoạt động

Sau cuộc điều tra và bài báo của PhishDestroy, xmrwallet.com đã ngừng hoạt động. Người điều hành đã gửi một thông điệp chia tay — và đáng chú ý là không còn ký tên là “Nathalie Roy” nữa. Danh tính vốn là gương mặt đại diện công khai của xmrwallet trong nhiều năm qua đã bị gỡ bỏ một cách lặng lẽ. Không có lời giải thích nào được đưa ra.

Tên miền hiện đã trỏ đến GitHub — Sau lần thử thứ ba

Cuối cùng, xmrwallet.com đã được chuyển hướng đến kho lưu trữ GitHub của nó — chính là “bề ngoài công khai” từng được dùng làm cái cớ “mã nguồn mở” trong suốt một thập kỷ. Phải mất ba lần thử. Kho lưu trữ này đã không hoạt động trong 5 năm trước khi chuyển hướng: không có bản cam kết, không có bản cập nhật, không có hoạt động bảo trì — điều này phù hợp với một dự án mà mã nguồn thực tế chỉ tồn tại trên một máy chủ sản xuất chưa qua kiểm toán và vốn dĩ không bao giờ được dự định để công khai cho mọi người xem xét.


Việc chuyển tên miền không chấm dứt chuyện này. Nó chỉ khiến chuyện này trở nên vĩnh viễn.

Tên miền xmrwallet.com đã được chuyển sang Namecheap vào tháng 5 năm 2026, với thời hạn đăng ký đến năm 2036. NameSilo dường như coi vấn đề này đã được giải quyết. Không phải vậy.

Bạn nghĩ rằng những chuyên gia có thể vượt trội hơn mọi nhà cung cấp phần mềm diệt virus sẽ dừng lại khi tên miền được chuyển sang nơi khác sao? Vụ việc đang được điều tra trên IPFS. Vụ việc đang được điều tra trên Arweave. Vụ việc đang được xử lý trong hệ thống khiếu nại chính thức của ICANN. Vụ việc đang được cơ quan thực thi pháp luật của Liên minh Châu Âu (EU) xử lý. Vụ việc đang được 3 đơn vị chống tội phạm mạng quốc gia xử lý. Lời đe dọa pháp lý đã thêm một dấu thời gian nữa vào hồ sơ. Việc chuyển nhượng tên miền đã bổ sung thêm một bằng chứng nữa. Mọi hành động được thực hiện nhằm ngăn cản cuộc điều tra này đều chính là bằng chứng được ghi chép lại về mô hình mà chúng tôi đã mô tả.

Trong tình huống này, các bạn không phải là những người thông minh nhất. Chỉ là trong một thời gian ngắn, các bạn có nhiều tiền hơn mà thôi.

Đọc toàn văn báo cáo điều tra phishdestroy.eth.limo Bằng chứng trên GitHub Báo cáo trường hợp nạn nhân
Thông báo về cuộc điều tra độc lập
PhishDestroy · Nghiên cứu an ninh phi thương mại

Không ai trả tiền cho việc này cả. Cuộc điều tra này không nhận được bất kỳ khoản tài trợ nào, không chịu sự chỉ đạo biên tập nào, cũng như không nhận bất kỳ nội dung nào do bất kỳ bên nào cung cấp. Khác với các bài viết trên Forbes Advisor và PR Newswire do NameSilo tài trợ trực tiếp, tác giả bài viết này hoàn toàn không có mối quan hệ tài chính nào với NameSilo — và cũng không có nghĩa vụ nào phải trình bày quan điểm theo ý muốn của họ.

Mọi thứ đều đã được ghi chép lại. Mọi khẳng định dựa trên sự thật đều được củng cố bằng bằng chứng có thể kiểm chứng: phản hồi từ máy chủ, dữ liệu thu thập từ phân tích pháp y, hồ sơ công khai, các báo cáo vi phạm và các nguồn sơ cấp được trích dẫn trực tiếp trong văn bản. Không có thông tin nào bị bịa đặt. Các nguồn tham khảo đều được đính kèm liên kết. Bằng chứng được lưu trữ trên IPFS. Chúng tôi khuyến khích việc xác minh độc lập.

“Hãy ngừng lan truyền những thông tin sai sự thật về chúng tôi, nếu không chúng tôi sẽ buộc phải tiến hành các biện pháp pháp lý.” — NameSilo, trong phản hồi về cuộc điều tra này

Thật đáng sợ. Chúng ta đã chứng kiến toàn bộ khả năng hoạt động của NameSilo: khiến một tài khoản Twitter/X bị khóa, mua vị trí quảng cáo trên Forbes, tự viết các đánh giá trên Trustpilot, yêu cầu gỡ bỏ các cảnh báo phát hiện từ VirusTotal, và đăng tải bốn tuyên bố rõ ràng là sai sự thật chỉ trong một tweet duy nhất.

Còn về chuyện “nói dối” — mọi thông tin ở đây đều dựa trên sự thật. Nếu việc đưa tin chính xác về sản phẩm của quý vị lại bị coi là vu khống, thì hãy tự mở bảng điều khiển của quý vị — chính cái bảng điều khiển mà quý vị đã loại bỏ khỏi mọi bài viết trả phí. Chính nó đã tự chứng minh điều đó mà không cần chúng tôi phải nói thêm.

Quý vị không trả tiền cho tác giả này. Quý vị không cung cấp bất kỳ nội dung văn bản nào. Quý vị không có quyền yêu cầu đối với các nghiên cứu độc lập. Tuy nhiên, quý vị vẫn có những nghĩa vụ — đối với ICANN, đối với các chủ thể đăng ký tên miền của quý vị, và theo các quy định pháp luật điều chỉnh hoạt động của các nhà đăng ký tên miền. Những nghĩa vụ đó không thể biến mất chỉ vì việc đưa tin chính xác gây ra sự bất tiện.

Về các biện pháp pháp lý: Cuộc điều tra này được lưu trữ trên 5–7 nút IPFS. Vì NameSilo đã chứng tỏ sự thành thạo trong việc gỡ bỏ nội dung, chúng tôi đề nghị bắt đầu từ đó. Bạn đã biết cách thức hoạt động của nó rồi. Chúng tôi sẽ đợi.

Để dễ hiểu hơn — bằng ngôn ngữ của bạn:

PhishDestroy là một dự án nghiên cứu phi thương mại. Chúng tôi không khẳng định rằng mình hoàn toàn chính xác hay chắc chắn tuyệt đối. Giọng điệu của cuộc điều tra này có thể khá thẳng thắn — chúng tôi nhận thức rõ điều đó. Chúng tôi không áp đặt bất kỳ quan điểm nào: chúng tôi khuyến nghị quý vị nên xem xét các tài liệu và nguồn thông tin gốc để tự đưa ra kết luận của riêng mình. Nguyên tắc giả định vô tội được áp dụng. Đây là cuộc điều tra, những quan sát và so sánh chủ quan của chúng tôi — những điều mà chúng tôi đã dành rất nhiều thời gian để thực hiện.

Cuộc điều tra toàn diện kèm theo tất cả bằng chứng và các bản lưu trữ trên IPFS: phishdestroy.eth.limo