NameSilo Bào chữa cho một vụ lừa đảo tiền điện tử trị giá 100 triệu USD
— Rồi Đã gỡ bỏ tài khoản Twitter của chúng tôi
Một nhà đăng ký được ICANN công nhận đã công bố 4 lời nói dối đã được ghi nhận để che giấu một chiến dịch đánh cắp Monero kéo dài 10 năm, đã đề nghị xóa lịch sử kiểm tra trên VirusTotal trong khi hệ thống đánh cắp vẫn đang hoạt động, sau đó sử dụng dịch vụ X Gold Checkmark trả phí để chặn các nhà nghiên cứu đã chứng minh họ sai. Kỹ sư DevOps của họ: cựu Trưởng phòng Công nghệ Thông tin tại một mô hình lừa đảo kiểu kim tự tháp của Nga trong suốt một thập kỷ.
Bài viết này là bản xem trước. Toàn bộ bằng chứng, kho lưu trữ IPFS và tất cả tài liệu nguồn có tại liên kết ở trên.
Bối cảnh: xmrwallet.com thực sự là gì?
xmrwallet.com không phải là trang lừa đảo. Đây là một Ví Monero hoạt động đầy đủ chức năng với lỗ hổng bảo mật phía máy chủ được xây dựng vào năm 2018 và hoạt động cho đến tháng 5 năm 2026 — gần một thập kỷ. Kho lưu trữ GitHub chỉ là một lớp vỏ bề ngoài công khai. Mã nguồn liên quan đến hành vi trộm cắp chỉ tồn tại trên máy chủ sản xuất, chưa bao giờ được commit và cũng chưa bao giờ được kiểm toán.
Mỗi lần người dùng tương tác sẽ gửi khóa xem riêng tư đến máy chủ của nhà điều hành thông qua yêu cầu POST, được mã hóa Base64 trong một biến có tên là session_key — khoảng 40 lần truyền dữ liệu mỗi phiên. Giao dịch phía máy khách bị hủy bỏ một cách rõ ràng (raw_tx_and_hash.raw = 0); máy chủ tự tạo khóa của riêng mình bằng cách sử dụng các khóa bị đánh cắp.
Báo cáo kiểm toán của NewAlchemy đã nhận được 67 lượt bình chọn tích cực trên Reddit và được sử dụng như một tín hiệu tin cậy trong nhiều năm. Phạm vi cụ thể của báo cáo này là: "Chỉ sử dụng JavaScript phía máy khách." Nằm ngoài phạm vi một cách rõ ràng: "rất nhiều điểm cuối API PHP." Các điểm cuối đó chính là cơ chế trộm cắp thực sự. Về mặt cấu trúc, cuộc kiểm toán không thể phát hiện ra lỗ hổng bảo mật này.
Vụ trộm này được thiết kế theo kiểu chọn lọc. Các khoản nạp nhỏ được để nguyên trong nhiều năm, nhằm xây dựng lòng tin và các đánh giá hợp pháp. Các khoản tiền lớn thì bị đánh cắp chỉ trong vài phút. Một nạn nhân được ghi nhận đã nạp 590 XMR — số tiền này đã biến mất chỉ trong vòng 2 ngày. Tổng số tiền ước tính thận trọng từ hơn 15 nạn nhân được ghi nhận: 5.000–50.000+ XMR bị đánh cắp (từ 1,5 triệu USD đến hơn 15 triệu USD theo giá lịch sử). 60% bài đăng của các nạn nhân đã bị báo cáo hàng loạt và xóa trước khi thu thập được bằng chứng.
session_key cho người điều hành trong mỗi phiên làm việc.Chúng tôi đã tái hiện quá trình đánh cắp khóa dựa trên gtag trong một bản demo chạy trong môi trường sandbox. Mở DevTools → tab Mạng → tương tác với ví. Theo dõi session_key Các yêu cầu POST được gửi đi theo thời gian thực. Đây chính là cơ chế đã hoạt động trong suốt 10 năm qua. Đây chính là điều mà “kiểm toán bảo mật” chưa bao giờ xem xét. Đây chính là điều mà NameSilo đã công khai bảo vệ.
Câu nói giải thích về NameSilo
Vào ngày 16 tháng 2 năm 2026, người điều hành trang web xmrwallet.com đã gửi email cho PhishDestroy yêu cầu gỡ bỏ bài báo. Người này ký tên là "Nathalie Roy" — tài khoản GitHub nathroy, ID 39167759. Chúng tôi đã trả lời bằng một bản phân tích kỹ thuật chi tiết và một cảnh báo bằng văn bản: "Điều gì sẽ xảy ra tiếp theo hoàn toàn phụ thuộc vào cách bạn quyết định hành động."
Ngày hôm sau, anh ấy gửi một câu nói đã cho chúng tôi biết tất cả về mối quan hệ của anh ấy với NameSilo:
Ba tuần trước khi NameSilo gọi anh ta là nạn nhân
Không ai còn sử dụng máy xả nước đã cũ mười năm trên $550/mo bulletproof Belize hosting, người đứng sau DDoS-Guard của Nga, bình thản đề nghị bạn yêu cầu cơ quan đăng ký tên miền của anh ta cung cấp thông tin — trừ khi anh ta đã biết trước câu trả lời. Ba cơ quan đăng ký tên miền khác (PDR, WebNic, NICENIC) đã tạm ngưng các tên miền của anh ta chỉ trong vài ngày sau khi có cùng bằng chứng đó. NameSilo đã soạn cho anh ta một thông cáo báo chí và đề nghị xóa sạch hồ sơ của anh ta.
Ngày 21 tháng 1 năm 2026 — xmrwallet đã trả tiền cho PR Newswire để đăng tải một thông cáo báo chí với nội dung như sau: "Các khóa riêng tư không bao giờ được truyền đến các máy chủ trung tâm." Cái session_key Trong suốt khoảng thời gian này, các yêu cầu POST đã được gửi liên tục trong mỗi phiên người dùng tới máy chủ sản xuất. PR Newswire là một dịch vụ phân phối có thu phí — các công ty tự soạn thảo và chi trả cho nội dung của mình, không qua kiểm duyệt biên tập. Nguồn: PR Newswire, ngày 21 tháng 1 năm 2026
Bốn lời nói dối của NameSilo, theo ghi chép chính thức
Vào ngày 13 tháng 3 năm 2026, tài khoản chính thức của NameSilo đã đăng bài trong chuỗi bài viết điều tra của chúng tôi. Bài đăng này đã có 11.300 lượt xem trước khi được lưu lại. Đã được lưu trữ vĩnh viễn tại ghostarchive.org/archive/CXXZ0. Mỗi câu đều được bác bỏ bằng các nguồn tư liệu sơ cấp:
-
1"Tên miền này đã bị xâm nhập cách đây vài tháng (trong thời gian đó, một bản sao của trang web đã bị thay thế bằng một chương trình đánh cắp tiền điện tử)."Các giá trị băm SHA-256 chứng minh rằng mã nguồn không bị thay đổi. Nhà điều hành đã xác nhận với chúng tôi rằng hệ thống backend PHP do chính anh ấy phát triển, được viết vào năm 2018. Không có bất kỳ chất nào được tiêm vào. Câu chuyện về vụ “hack” này là bịa đặt sau khi sự việc đã xảy ra.✗ BỊ BỊA ĐẶT
-
2"Trước đó, chúng tôi chưa từng nhận được bất kỳ báo cáo nào về hành vi lạm dụng liên quan đến tên miền này."Chỉ riêng PhishDestroy đã gửi Hơn 20 báo cáo qua cổng thông tin NameSilo (2023–2026), kèm theo biên nhận giao hàng. Từ năm 2018 đến nay, đã có hơn 100 đơn khiếu nại công khai trên BitcoinTalk và Reddit. Kể từ khi có tuyên bố sai sự thật này, mọi báo cáo mà chúng tôi gửi đều được công bố kèm theo dấu thời gian trước khi nộp.✗ BỊ CÁC HÓA ĐƠN PHỦ NHẬN
-
3"Sau một cuộc rà soát kỹ lưỡng… mà không có sự tham gia của bên đăng ký."Ngày 17 tháng 2, người vận hành đã gửi thư cho chúng tôi để bảo vệ mã nguồn của mình, khẳng định đó là tác phẩm do chính anh ta sáng tạo — trước khi NameSilo đăng tweet. Anh ta chưa bao giờ khẳng định rằng hệ thống đã bị tấn công. “Cuộc rà soát kỹ lưỡng” của họ đã đưa ra những kết luận mâu thuẫn với những tuyên bố bằng văn bản của chính người đăng ký tên miền.✗ TỰ MỐI TRÁI
-
4"Phối hợp với chủ sở hữu tên miền để gỡ bỏ trang web khỏi các báo cáo của VirusTotal."Không phải xử lý lỗi — giúp một kẻ lừa đảo đã bị phát hiện xóa các cảnh báo bảo mật trong khi chương trình rút tiền vẫn đang hoạt động. PDR, WebNic và NICENIC đều đã tạm ngưng các tên miền chỉ trong vài ngày sau khi có cùng bằng chứng. NameSilo đã đề nghị xóa thông tin khỏi hồ sơ.✗ GÂY THIỆT HẠI TRỰC TIẾP CHO NẠN NHÂN
NameSilo là ai: Một công ty gia công phần mềm thuộc khối CIS có địa chỉ nhận thư tại Mỹ
NameSilo LLC được đăng ký tại Phoenix, Arizona. Công ty này được niêm yết trên Sở Giao dịch Chứng khoán Canada với tên gọi Brisio Innovations (CSE:BZI), báo cáo doanh thu 65,5 triệu đô la Canada vào năm 2025. Đội ngũ kỹ sư thực tế của công ty phân bố tại Nga, Belarus, Ukraine, Serbia, Argentina và Latvia. Đã xác định được ít nhất 13 nhân viên nói tiếng Nga. Người có quyền truy cập toàn bộ vào hạ tầng DevOps đã dành một thập kỷ phụ trách mảng CNTT cho một mô hình lừa đảo kiểu kim tự tháp của Nga trước khi gia nhập NameSilo.
Aleksey Podashevskiy (Frontend) — Belarus, khu vực pháp lý bị áp đặt lệnh trừng phạt, làm việc cho một nhà đăng ký tên miền được ICANN công nhận và đăng ký tại Hoa Kỳ. Tổng cộng có hơn 13 nhân viên nói tiếng Nga được xác định tại Nga, Belarus, Serbia, Argentina và Latvia. Không có dịch vụ lưu trữ nào của phương Tây trong chuỗi hạ tầng của xmrwallet.
Hơn 5,18 triệu tên miền được phân tích trên toàn bộ danh mục của NameSilo — mỗi tên miền đều được đối chiếu chéo với VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish và SURBL.
Hệ thống nền tảng PHP của xmrwallet được tái tạo hoàn toàn từ các dấu vết hành vi phía máy khách — không cần truy cập máy chủ, không cần mã nguồn, không cần sự hợp tác. Cơ chế đánh cắp đã được xác định chỉ dựa trên các mẫu hoạt động mạng có thể quan sát được.
13 thành viên trong đội được đối chiếu dữ liệu từ LinkedIn, GitHub, HeadHunter, Telegram, các cơ sở dữ liệu đăng ký doanh nghiệp và hồ sơ tòa án tại 6 quốc gia. Các mẫu xóa đánh giá trên Trustpilot được theo dõi trong nhiều tháng để xác định tần suất loại bỏ có hệ thống. Báo cáo quý của CSE:BZI đã đối chiếu với dữ liệu danh mục tên miền để xác định sự bất thường về doanh thu. 5,18 triệu tên miền được phân tích dựa trên 6 nguồn thông tin tình báo về mối đe dọa. Tất cả dữ liệu thô đều được công khai tại github.com/phishdestroy/namesilo-evidence. Đã nộp đơn lên ICANN, các cơ quan thực thi pháp luật của Liên minh Châu Âu và 3 đơn vị phòng chống tội phạm mạng quốc gia.
Sự bất thường về tên miền: 32,2% chưa bao giờ được kích hoạt — Một màn khói thống kê
Chúng tôi đã thu thập và phân tích mọi tên miền trong danh mục của NameSilo — tổng cộng 5,18 triệu tên miền. Mỗi tên miền đều đã được kiểm tra trên VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish và SURBL. Dữ liệu thô, phương pháp luận và kết quả kiểm tra cho từng tên miền đều được công khai: github.com/phishdestroy/namesilo-evidence. Kết quả: 32,2% tên miền chưa bao giờ được kích hoạt — so với mức 14,7–22,8% tại các nhà đăng ký tên miền tương tự. 10.000–17.000 lượt đăng ký hàng loạt trong một ngày (đỉnh điểm: 17.180 vào ngày 19/07/2025). Chi 12 triệu USD cho các tên miền chưa bao giờ được kích hoạt; mức tiêu hao hàng năm là 3,2 triệu USD cho các tên miền không có mục đích sử dụng. Vào năm 2024, khi ShortDot — đối tác của NameSilo — mua lại các TLD mới (.sbs, .cfd với giá sỉ khoảng 0,50 USD, bán lẻ với giá 14,95 USD = Hệ số nhân 22–31×), số lượng đăng ký tên miền không hoạt động đã tăng vọt 615% trong vòng một năm.
PrivacyGuardian ẩn danh tính người mua trên hơn 3 triệu tên miền (được đăng ký dưới tên pw-{hex}@privacyguardian.org). Chấp nhận thanh toán bằng Bitcoin. Không yêu cầu xác minh danh tính (KYC). Mỗi tên miền ảo đều làm cho tỷ lệ lạm dụng so với tổng số tên miền trông nhỏ hơn.
"chẳng có gì cả"
mỗi trang web thứ 43
Cứ 2,5 trường hợp hợp pháp thì có 1 trường hợp lừa đảo
NameSilo công bố doanh thu 65,5 triệu đô la Canada (năm 2025). Tỷ lệ P/E: 143,8 lần so với mức trung bình của ngành là 21 lần. Doanh thu trên mỗi tên miền thực (đang hoạt động): 68 đô la Canada so với mức 10–15 đô la của ngành. 95 nhà đăng ký ICANN bán tên miền .com với giá rẻ hơn. Nếu việc đăng ký hàng loạt tên miền ảo nhằm rửa tiền — tỷ lệ chênh lệch giá từ BTC sang tên miền là 22–31 lần — thì số tiền này sẽ xuất hiện dưới dạng “doanh thu hợp pháp từ nhà đăng ký” trong các báo cáo quý được nộp lên Sở Giao dịch Chứng khoán Canada. Mô hình này đã được ghi nhận và chuyển giao cho cơ quan thực thi pháp luật.
prnewswire.com — Reach Systems / Đơn đặt hàng của NASA, ngày 23 tháng 6 năm 2026
newswire.ca — Vụ mua lại SewerVUE, ngày 12 tháng 9 năm 2025
prnewswire.com — xmrwallet “khóa riêng tư không bao giờ được truyền lên máy chủ”, ngày 21 tháng 1 năm 2026
Điều gì đã xảy ra sau khi chúng tôi xuất bản
Sau khi bài báo của chúng tôi được đăng tải, một chiến dịch phối hợp giữa các biện pháp pháp lý và việc hạn chế trên nền tảng đã nhắm vào mọi kênh chính mà PhishDestroy có mặt. Ba cơ chế — mỗi cơ chế đều đã được ghi lại, lưu trữ và hiện là một phần của đơn khiếu nại ICANN số 1479.
Trước khi khóa được kích hoạt, chúng tôi đã đăng một tweet dự đoán rằng NameSilo sẽ áp dụng “chiến lược đàn áp” của kẻ lừa đảo và đã ghi lại thời gian đăng bài trên GhostArchive. Họ đã làm y hệt như những gì chúng tôi đã nói, đúng như dự kiến. Dự đoán có ghi thời gian — chứng minh rằng chúng tôi đã lường trước được chiến thuật này trước khi nó được sử dụng — đã được đưa vào đơn khiếu nại gửi ICANN chống lại NameSilo (ICANN #1479).
Mọi thứ đều đã sẵn sàng IPFS (phishdestroy.eth), Arweave, GhostArchive và Wayback Machine. 61 ảnh chụp màn hình đã được xác minh bằng SHA-256. Không có bất kỳ khiếu nại pháp lý nào thành công đối với bất kỳ cáo buộc nào. Không có bất kỳ phản biện kỹ thuật nào từ phía nhà điều hành hoặc NameSilo. Không có bất kỳ phản hồi dựa trên sự thật nào — chỉ có những lời đe dọa pháp lý, các luận điểm công kích cá nhân và các bài đăng trên Twitter đã bị xóa. Báo cáo điều tra đầy đủ kèm theo dữ liệu thô, hồ sơ nhóm, phân tích rửa tiền và các nguồn hỗ trợ cho nạn nhân có tại phishdestroy.eth.limo — được sao lưu trên IPFS, Arweave, GhostArchive và Wayback Machine. Không có dấu tích vàng nào xuất hiện trên bất kỳ nền tảng nào trong số đó.
Mạng lưới Escape Domain: Đã được chuẩn bị từ nhiều tháng trước khi bị triệt phá
Bắt đầu Ngày 4 tháng 2 năm 2026 — cùng tuần mà kẻ điều hành lần đầu tiên liên hệ với PhishDestroy — hắn bắt đầu bí mật đăng ký các tên miền dự phòng tại 4 nhà đăng ký khác nhau, thanh toán trước từ 5 đến 10 năm cho mỗi tên miền. Hệ thống này được thiết kế để có thể tồn tại sau bất kỳ đợt gỡ bỏ nào. Tuy nhiên, nó đã không thể trụ vững trước cuộc điều tra.
Phân tích kỹ thuật ban đầu kèm theo đầy đủ bằng chứng: github.com/phishdestroy/KHÔNG-NÊN-SỬ-DỤNG-xmrwallet-com
| Miền | Cơ quan đăng ký | Trả trước | IP | Tình trạng |
|---|---|---|---|---|
| xmrwallet.cc | Cơ quan đăng ký tài sản công cộng | 8 năm | 185.129.100.248 | BỊ TẠM NGƯNG |
| xmrwallet.biz | WebNic.cc | 5 năm | 190.115.31.40 | BỊ TẠM NGƯNG |
| xmrwallet.net | NICENIC Quốc tế | 10 năm | 190.115.31.40 ← | DNS không hoạt động |
| xmrwallet.me | Key-Systems GmbH | 10 năm | 185.129.100.248 ← | ĐANG XỬ LÝ — đã nhận được báo cáo về hành vi lạm dụng |
Phân cụm IP: 185.129.100.248 được chia sẻ bởi .cc và .me — cùng một máy chủ. 190.115.31.40 được chia sẻ bởi .biz và .net — cùng một máy chủ. Bốn nhà đăng ký tên miền, hai cụm IP. Thời hạn đăng ký trả trước 33 năm. Tất cả đều được đăng ký bí mật sau lần liên hệ đầu tiên với các điều tra viên.
Danh tiếng được mua: Wikipedia, Forbes và hơn 15 bài báo được tài trợ
Danh tiếng công khai của NameSilo là do tạo dựng. Wikipedia: có gắn cờ “quảng cáo trả phí”. Forbes: Thông báo về chương trình liên kết “Chúng tôi nhận hoa hồng”. SmartCustomer: 1,8/5 — không có kết quả tiêu cực nào trên Google.
NameSilo có một bài viết trên Wikipedia — được các biên tập viên đánh dấu là bài viết được tài trợ/quảng cáo, chứ không phải là bài báo mang tính trung lập. Lịch sử chỉnh sửa (đã lưu trữ): en.wikipedia.org/w/index.php?title=NameSilo&action;=history
NameSilo xuất hiện trên Forbes Advisor kèm theo thông báo rõ ràng về mối quan hệ liên kết: "Forbes Advisor tuân thủ các tiêu chuẩn nghiêm ngặt về tính chính trực trong biên tập... Chúng tôi nhận hoa hồng." Forbes Advisor kiếm tiền khi người dùng đăng ký qua các liên kết của họ — điều này tạo ra động lực tài chính trực tiếp để đưa ra những bài viết tích cực. Nguồn: forbes.com/advisor/business/software/namesilo-review/
NameSilo sở hữu một Đánh giá 1,8/5 trên SmartCustomer — nguồn: smartcustomer.com/reviews/namesilo.com. Mặc dù đã có hàng chục bài đánh giá tiêu cực được ghi nhận, nhưng kết quả tìm kiếm trên Google lại không hiển thị bất kỳ thông tin tiêu cực nào — đây là hành vi che giấu chủ động bằng cách sử dụng chính các công cụ theo GDPR và DMCA đã được áp dụng để ngăn chặn cuộc điều tra của chúng tôi.
NameSilo Technologies Corp. (CSE:BZI / OTC: URLOF — công ty mẹ niêm yết trên sàn chứng khoán của NameSilo LLC) sử dụng PR Newswire để đăng tải các thông báo của công ty. PR Newswire là một dịch vụ phân phối có thu phí: công ty soạn thảo nội dung và trả phí để đăng tải. Ví dụ về các thông cáo báo chí có trả phí của NameSilo Technologies:
- Việc mua lại Công ty Công nghệ SewerVUE — newswire.ca, ngày 12 tháng 9 năm 2025
- Công ty con Reach Systems nhận được đơn đặt hàng từ NASA — prnewswire.com, ngày 23 tháng 6 năm 2026
Cơ chế tương tự: xmrwallet đã sử dụng PR Newswire vào ngày 21 tháng 1 năm 2026 để đăng tải bài viết trang bìa của mình (“khóa riêng tư không bao giờ được truyền đến các máy chủ trung tâm”) trong khi cửa hậu vẫn đang hoạt động. Hình thức phân phối có trả phí này đã trình bày nội dung do nhà điều hành soạn thảo như một tin tức đáng chú ý.
Ba vị trí. Một công ty. Không có vị trí nào trong số đó tồn tại khi tiếp xúc với nhau.
NameSilo đã không duy trì một lập trường nhất quán. Họ lần lượt thể hiện ba lập trường mâu thuẫn nhau — chuyên gia tự tin, nạn nhân bị đe dọa, công chức khiêm tốn — tùy thuộc vào mức độ rủi ro pháp lý mà họ phải đối mặt tại từng thời điểm.
"Những cáo buộc của quý vị là sai sự thật, mang tính vu khống và bôi nhọ. NameSilo sẽ xử lý và xem xét tất cả các báo cáo vi phạm được gửi đến chúng tôi. Nếu quý vị có bất kỳ trường hợp nào như vậy, vui lòng gửi đến địa chỉ abuse@namesilo.com. Nếu không, xin vui lòng liên hệ trực tiếp với nhà cung cấp dịch vụ lưu trữ website hoặc chủ sở hữu tên miền. Và hãy ngừng ngay việc đưa ra những thông tin sai sự thật về chúng tôi, nếu không chúng tôi sẽ buộc phải tiến hành các biện pháp pháp lý."
Nếu đội ngũ xử lý các trường hợp lạm dụng của bạn có đủ năng lực để tiến hành một cuộc rà soát toàn diện và sâu rộng, xác định tên miền đã bị tấn công, xác định chủ sở hữu tên miền là nạn nhân, và bắt đầu hỗ trợ anh ta loại bỏ các kết quả phát hiện từ VirusTotal — như vậy, bạn đang công khai khẳng định rằng mình có uy tín và năng lực kỹ thuật cao hơn tất cả các nhà cung cấp phần mềm diệt virus đã đánh dấu tên miền này là độc hại.
Bạn không thể sau này viện cớ rằng bạn chỉ cần xử lý các báo cáo và thiếu chuyên môn để nhận diện các vụ lừa đảo qua email. Đơn khiếu nại gửi ICANN không yêu cầu bạn phải có năng lực mà bạn không có. Đơn khiếu nại này chỉ hỏi tại sao bạn lại sử dụng năng lực mà rõ ràng là bạn có — để giúp đỡ kẻ lừa đảo, chứ không phải các nạn nhân.
Trustpilot: Các trang trại bot cạnh tranh với nhau
Một đánh giá 5 sao cho NameSilo (tháng 1 năm 2026): “Leonid rất nhiệt tình… 5 sao!” Bài đánh giá khác: về Otrium — một công ty có các bài đánh giá cáo buộc gian lận và chiếm đoạt tiền. Một tài khoản bot, hai doanh nghiệp có liên quan đến lừa đảo. Mô hình nhận diện: nêu tên nhân viên hỗ trợ, khen ngợi thời gian phản hồi, sử dụng ngôn ngữ theo mẫu có sẵn. Người mua tên miền thực sự đánh giá về giá cả và trải nghiệm người dùng trên bảng điều khiển. Các bài đánh giá từ bot ca ngợi “Leonid.”
Phân tích dữ liệu — 2.280 đánh giá về NameSilo so với 2.480 đánh giá về Namecheap
| Hệ mét | NameSilo | Namecheap |
|---|---|---|
| Đánh giá 5 sao | 88.9% | 74.0% |
| Các đánh giá 1 sao | 7.2% | 16.7% |
| Tài khoản chỉ có một bài đánh giá | 62.4% | 59.6% |
| Không có ảnh đại diện (tài khoản mới) | 67.3% | 51.5% |
| Các đánh giá về dịch vụ hỗ trợ | 70.0% | 60.2% |
| Các đánh giá về giá cả/chi phí | 9.8% | 37.5% |
| Đặc vụ có mật danh “Leonid” | 5.7% | 0.0% |
| Định vị địa lý tại Hoa Kỳ | 35.1% | 26.5% |
Leonid xuất hiện vào ngày 13 tháng 4 năm 2025. Trước đó, không có bất kỳ đề cập nào về anh. Sau đó, anh nhận được 65 đánh giá chỉ trong hai tháng đầu tiên. Tháng 5 năm 2025: 106 đánh giá (gấp 5 lần mức bình thường), 95% đánh giá 5 sao, không có đánh giá 1 sao. Không có một khách hàng nào phàn nàn trong số 106 đánh giá dành cho nhà đăng ký tên miền xếp thứ 96 về mức giá tên miền .com.
43% các bài đánh giá về Leonid có độ dài dưới 80 ký tự. Bốn bài trong số đó chỉ có tiêu đề “Leonid”. Thêm ba cái nữa: “Leonid đã giúp đỡ rất nhiều.” Trong số những người đánh giá có: “Satoshi Nakamoto,” “Tác giả,” “Виктор -”, “Anna Koroleva,” “Boris Martin,” “Andrei Dobrescu” xen lẫn với “Brad,” “LaToya,” “Patty Johnson.” Một công cụ tạo tên luân phiên qua các châu lục. Tên Leonid là tên Nga.
Không có đánh giá 4 sao. Không có đánh giá 3 sao. Không có bất kỳ loại đánh giá nào khác. 91% tài khoản chỉ có một đánh giá. Trong hơn 7 năm. Trung Quốc: 94% đánh giá 5 sao, 80% chỉ có một đánh giá. Singapore: 95% đánh giá 5 sao. Tổng cộng 168 đánh giá từ các thị trường nói tiếng Trung — gần như hoàn toàn là giả mạo.
Tại sao lại là Trung Quốc? NameSilo đang tích cực triển khai các hoạt động tiếp thị tại thị trường này: namesilo-china.com, bcbay.com/namesilo, các bài đăng trên blog Trung Quốc được trả tiền, một bài viết trên Wikipedia tiếng Trung. Khi các nhà điều tra đặt câu hỏi “ai là người mua 4,22 triệu tên miền không còn hoạt động?” — NameSilo chỉ thẳng vào Trung Quốc. Dữ liệu từ Trustpilot cho thấy họ đã xây dựng lời bào chữa này từ năm 2019, từng đánh giá giả mạo một.
Phân tích pháp y độc lập về API Claude — Thử nghiệm mù
2.480 đánh giá về NameSilo và 2.480 đánh giá về Namecheap trên Trustpilot đã được gửi đến Claude API, được ẩn danh thành “Công ty A” (NameSilo) và “Công ty B” (Namecheap). Hệ thống AI không biết công ty nào là công ty nào.
| Chỉ số pháp y | NameSilo (A) | Namecheap (B) |
|---|---|---|
| Tỷ lệ đánh giá 5 sao | 89.1% | 74.0% |
| Tỷ lệ đánh giá 1 sao | 7.1% | 16.7% |
| Các tài khoản dùng một lần được đánh giá 5 sao | 92% | ~65% |
| Các đánh giá đề cập đến giá cả | 11.2% | 39.2% |
| Được đề cập là sản phẩm duy nhất trong các bài đánh giá | Leonid: 168 | không có |
| Độ đa dạng từ vựng 5 sao (TTR) | 0.073 | ~0.15 |
| HK: 100% đánh giá năm sao | 57/57 | không áp dụng |
| Đợt tăng đột biến vào tháng 5–6 năm 2025 (gấp 5 lần mức bình thường) | 215 đánh giá | không có |
| Phán quyết về việc thao túng bằng trí tuệ nhân tạo | 92% | 15% |
“Công ty A có những bằng chứng phong phú và đa chiều cho thấy việc thao túng các bài đánh giá một cách có hệ thống thông qua việc tạo ra các đánh giá giả mạo một cách có phối hợp. Khả năng những mô hình này xuất hiện một cách tự nhiên gần như bằng không.”
Phân tích chi tiết: phishdestroy.eth.limo/namesilo-trustpilot.html · Dữ liệu thô: trustpilot-forensic-report-final.txt
Những thành tựu mà cuộc điều tra đã đạt được
Sau cuộc điều tra và bài báo của PhishDestroy, xmrwallet.com đã ngừng hoạt động. Người điều hành đã gửi một thông điệp chia tay — và đáng chú ý là không còn ký tên là “Nathalie Roy” nữa. Danh tính vốn là gương mặt đại diện công khai của xmrwallet trong nhiều năm qua đã bị gỡ bỏ một cách lặng lẽ. Không có lời giải thích nào được đưa ra.
Cuối cùng, xmrwallet.com đã được chuyển hướng đến kho lưu trữ GitHub của nó — chính là “bề ngoài công khai” từng được dùng làm cái cớ “mã nguồn mở” trong suốt một thập kỷ. Phải mất ba lần thử. Kho lưu trữ này đã không hoạt động trong 5 năm trước khi chuyển hướng: không có bản cam kết, không có bản cập nhật, không có hoạt động bảo trì — điều này phù hợp với một dự án mà mã nguồn thực tế chỉ tồn tại trên một máy chủ sản xuất chưa qua kiểm toán và vốn dĩ không bao giờ được dự định để công khai cho mọi người xem xét.
Tên miền xmrwallet.com đã được chuyển sang Namecheap vào tháng 5 năm 2026, với thời hạn đăng ký đến năm 2036. NameSilo dường như coi vấn đề này đã được giải quyết. Không phải vậy.
Bạn nghĩ rằng những chuyên gia có thể vượt trội hơn mọi nhà cung cấp phần mềm diệt virus sẽ dừng lại khi tên miền được chuyển sang nơi khác sao? Vụ việc đang được điều tra trên IPFS. Vụ việc đang được điều tra trên Arweave. Vụ việc đang được xử lý trong hệ thống khiếu nại chính thức của ICANN. Vụ việc đang được cơ quan thực thi pháp luật của Liên minh Châu Âu (EU) xử lý. Vụ việc đang được 3 đơn vị chống tội phạm mạng quốc gia xử lý. Lời đe dọa pháp lý đã thêm một dấu thời gian nữa vào hồ sơ. Việc chuyển nhượng tên miền đã bổ sung thêm một bằng chứng nữa. Mọi hành động được thực hiện nhằm ngăn cản cuộc điều tra này đều chính là bằng chứng được ghi chép lại về mô hình mà chúng tôi đã mô tả.
Trong tình huống này, các bạn không phải là những người thông minh nhất. Chỉ là trong một thời gian ngắn, các bạn có nhiều tiền hơn mà thôi.


