Kẻ lừa đảo không phải là tin tặc: Phân tích 4 hệ thống backend, tất cả đều bị xâm nhập một cách dễ dàng
Firebase · Supabase · Express.js · Drainer-as-a-Service · Tháng 2 năm 2026

Lưu ý: Đây là phân tích, không phải sự chỉ trích
Tất cả những nội dung được trình bày trong bài viết này là kết quả của phân tích thụ động và dữ liệu công khai. Không có hệ thống nào bị xâm nhập. Không có quy trình xác thực nào bị vượt qua. Trong từng trường hợp, chính việc cấu hình sai của những kẻ lừa đảo đã khiến cơ sở hạ tầng, dữ liệu nạn nhân và danh tính hoạt động của chúng bị phơi bày trước bất kỳ ai chỉ cần nhìn qua. Mọi khóa API đều được tìm thấy trong các gói JavaScript công khai. Mọi cơ sở dữ liệu đều được mở rộng rãi theo thiết kế của chính các nhà điều hành. Chúng tôi ghi chép lại điều này không phải để chỉ trích — mà để chứng minh rằng những kẻ đang đánh cắp tiền điện tử của bạn thậm chí còn không thể bảo quản được chính những dụng cụ của mình.
Luận điểm chính: Những kẻ “Script Kiddies” sử dụng các công cụ đánh cắp được
Trong nhận thức của công chúng, vẫn tồn tại một lầm tưởng dai dẳng rằng những kẻ lừa đảo trực tuyến chính là những “hacker” — những thiên tài công nghệ có khả năng xâm nhập vào các hệ thống một cách khéo léo và tinh vi. Điều này là sai.
Những kẻ lừa đảo tiền điện tử hiện đại là những kẻ tấn công nghiệp dư sử dụng các bộ công cụ mua sẵn. Họ mua các gói “Drainer-as-a-Service” với giá từ 200 đến 500 đô la, triển khai chúng trên các dịch vụ lưu trữ miễn phí hoặc giá rẻ, rồi chỉ biết cầu mong nạn nhân của họ không phát hiện ra. Họ không viết mã. Họ không hiểu gì về mạng. Và họ chắc chắn cũng không hiểu gì về bảo mật.
Chúng tôi biết điều này bởi vì vào tháng 2 năm 2026, PhishDestroy đã phân tích 4 đường dây lừa đảo hoạt động độc lập — và trong mọi trường hợp, chúng ta đều có thể:
- Đọc toàn bộ dữ liệu của các nạn nhân bị đánh cắp (cụm từ hạt giống, địa chỉ email, địa chỉ IP, các loại ví)
- Đã sửa đổi hoặc đã xóa cơ sở dữ liệu của kẻ lừa đảo
- Đã xác định được người điều hành thông qua các khóa API bị lộ, địa chỉ email và dấu vân tay cơ sở hạ tầng
- Tái hiện vụ tấn công nhằm vào kẻ lừa đảo — bằng cách lợi dụng chính những lỗ hổng bảo mật mà họ đã để hở
Không cần khai thác lỗ hổng. Không có lỗ hổng zero-day. Không có "hacking". Chỉ đơn giản là mở cánh cửa trước mà họ đã để không khóa.
Trường hợp 1: API ảo — server0002.mn19indexpre.xyz
Express.js trên Apache, An ninh thực tế bằng không
| Tham số | Giá trị |
|---|---|
| Miền | server0002.mn19indexpre.xyz |
| Địa chỉ IP | 108.181.185.225 |
| Cấu trúc máy chủ | Apache/2.4.58 (Ubuntu) → Express.js (Node.js) |
| Biểu ngữ SSH | SSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13.11 |
| Đơn vị cấp TLS | Let's Encrypt (E7), có hiệu lực từ tháng 1 đến tháng 4 năm 2026 |
| Nhà đăng ký DNS | GoDaddy (ns39/ns40.domaincontrol.com) |
| Email (MX) | mn19indexpre-xyz.mail.protection.outlook.com |
| Khách hàng Microsoft | NETORGFT19090185.onmicrosoft.com |
| Các cổng mở | 22 (SSH), 80 (HTTP→301), 443 (HTTPS) |
"Xác thực" — Một trò đùa
API này được cung cấp kèm theo một mã thông báo Bearer được mã hóa cứng: thisisakeyforsecureserver. Nhưng đây mới là điểm mấu chốt — token này thực tế chưa được xác minh:
Không xác thực đầu vào
Mọi tải trọng tiêm chích mà chúng tôi đã thử nghiệm đều được chấp nhận mà không có bất kỳ phản hồi nào:
Dấu vân tay hiệu năng
Thời gian phản hồi ổn định khoảng 7,5 giây đối với yêu cầu POST, bất kể kích thước dữ liệu (chấp nhận từ 10 byte đến 10 MB), cho thấy có thể đang sử dụng tính năng chuyển tiếp email hoặc chuyển tiếp webhook ở phía máy chủ. Yêu cầu GET phản hồi trong 0,6 giây. 10 yêu cầu song song hoàn tất trong 9,1 giây — không áp dụng giới hạn tần suất.
Khả năng xác định danh tính
ID người thuê Microsoft 365 NETORGFT19090185 là một liên kết trực tiếp đến tài khoản của tổ chức đã đăng ký tên miền này. Kết hợp với các bản ghi đăng ký của GoDaddy và một địa chỉ IP chuyên dụng (không nằm sau CDN), nhà điều hành này là dễ dàng xác định được thông qua các kênh pháp lý. Bản ghi SPF (include:secureserver.net) xác nhận dịch vụ lưu trữ email của GoDaddy — tất cả siêu dữ liệu email đều có thể được truy cập thông qua trát đòi cung cấp thông tin.
Trường hợp 2: Firebase hoàn toàn mở — web3ledgar.com
Firestore không có quy tắc bảo mật nào
| Tham số | Giá trị |
|---|---|
| Tên miền lừa đảo | web3ledgar.com (tên miền giả mạo từ "Ledger") |
| Tên miền thay thế | web3.ledgerscore.ltd |
| Dự án Firebase | web3ledger-210ab |
| Khóa API | AIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8 |
| ID ứng dụng | 1:1054258933515:web:9fb193fcd0093023f7fc0e |
| Gói JS | /static/js/main.7a5ec2fa.js |
| Quy tắc Firestore | Mở rộng — đọc/ghi không cần xác thực |
| Tổng số nạn nhân | 12 bản ghi trong users bộ sưu tập |
| Các bộ sưu tập đã tìm thấy | users, transactions |
Dữ liệu về nạn nhân — Ai cũng có thể truy cập đầy đủ
Một yêu cầu GET duy nhất không được xác thực gửi đến API REST của Firestore đã trả về mỗi cụm từ hạt giống bị đánh cắp:
Trong số 12 bản ghi đó có một mục rất đáng chú ý — ai đó đã thử nghiệm hệ thống bằng cách fbi@fbi.gov như trong email. Kẻ lừa đảo hoặc là đã thử nghiệm hệ thống của chính mình (điều này hữu ích cho việc xác định danh tính), hoặc là ai đó đã thử nghiệm hệ thống đó trước đó.
Quy trình tấn công
Trang web lừa đảo này bắt chước giao diện ví của Ledger. Nạn nhân nhấp vào “Kết nối ví” → nhập cụm từ hạt giống → giao diện người dùng React ghi trực tiếp vào Firestore → kẻ lừa đảo đọc dữ liệu từ chính cơ sở dữ liệu đang mở đó. Hoàn toàn không có máy chủ phía sau. Toàn bộ hệ thống hoạt động trên gói dịch vụ miễn phí của Google.
Khả năng xác định danh tính
ID dự án Firebase web3ledger-210ab và ID ứng dụng 1:1054258933515 là được liên kết với tài khoản Google. Google lưu trữ hồ sơ thanh toán, nhật ký IP và dữ liệu tạo tài khoản cho tất cả các dự án Firebase. Chỉ cần một yêu cầu từ cơ quan thực thi pháp luật gửi đến Google là danh tính của người vận hành sẽ bị tiết lộ. Hơn nữa, việc các quy tắc Firestore được mở rộng vô hạn có nghĩa là chúng tôi có thể đã ghi các bản ghi vào cơ sở dữ liệu của họ, thông báo cho các nạn nhân ngay lập tức, hoặc xóa toàn bộ bộ sưu tập.
Trường hợp 3: Supabase Full CRUD — web3safe-pal.com
Tính năng bảo mật cấp hàng (Row-Level Security) đã bị tắt, GraphQL hoàn toàn mở
| Tham số | Giá trị |
|---|---|
| Tên miền lừa đảo | web3safe-pal.com (tên miền giả mạo từ "SafePal") |
| Dự án Supabase | gzqsadraigchwdhblavp |
| Khóa ẩn danh | Được tiết lộ trong /assets/index-b025f4a6.js (748 KB) |
| Bảng cơ sở dữ liệu | seeds — mở để đọc, chèn, cập nhật, xóa |
| GraphQL | Đã bật tính năng tự kiểm tra toàn diện + các biến thể |
| Chức năng biên | send-wallet-import-email, send-email |
| Dịch vụ email | API gửi lại (RESEND_API_KEY trong biến môi trường) |
| Hồ sơ nạn nhân | Các ID 130–131 (ID 129 đã bị xóa trước đó) |
| Ngôn ngữ giao diện người dùng | Tiếng Nga (“Ví chính”, “Ví của bạn đang được tải...”) |
Quyền truy cập đầy đủ vào cơ sở dữ liệu — Đọc, Ghi, Xóa
Khóa ẩn danh Supabase, nằm trong gói JavaScript đã được nén, cho phép Quyền truy cập CRUD đầy đủ đến seeds bảng:
Các ID bắt đầu từ 130 — có nghĩa là các bản ghi từ 1 đến 129 đã bị người vận hành xóa trước đó. Ít nhất 131 cụm từ hạt giống đã đi qua hệ thống này.
Các chức năng của Edge: Dấu vết email
Hai hàm Supabase Edge đang hoạt động. Chúng tôi đã tiến hành phân tích ngược send-email định dạng đầu vào dự kiến của hàm bằng cách thử nghiệm các dữ liệu đầu vào:
Khóa API Gửi lại (RESEND_API_KEY) được lưu trữ trong các biến môi trường của Supabase. Resend lưu giữ các bản ghi xác minh người gửi và dữ liệu thanh toán — một cách tiếp cận trực tiếp khác để xác định danh tính của người điều hành.
Khả năng xác định danh tính
Việc bản địa hóa giao diện người dùng tiếng Nga (“Основной кошелек”, “Ваш кошелек загружается...”) cho thấy một Nhân viên tổng đài nói tiếng Nga. Dự án Supabase (gzqsadraigchwdhblavp) được liên kết với một tài khoản có hồ sơ thanh toán. Dịch vụ “Gửi lại email” lưu trữ địa chỉ email của người nhận. Việc tự kiểm tra GraphQL cho thấy cấu trúc cơ sở dữ liệu đầy đủ. Chúng tôi đã chứng minh quyền truy cập ghi đầy đủ — chúng ta có thể đã thay thế mọi cụm từ hạt giống bị đánh cắp bằng một thông báo cảnh báo gửi đến các nạn nhân, hoặc xóa toàn bộ bảng. Người vận hành sẽ không có cách nào để khôi phục dữ liệu.
Trường hợp 4: Thiết bị thoát nước quy mô công nghiệp — aipolypredictor.xyz
19.000 cụm từ hạt giống trong 5,8 ngày
| Tham số | Giá trị |
|---|---|
| Lĩnh vực Frontend | aipolypredictor.xyz ("PolySniper | Các giao dịch nội gián của Frontrun") |
| API C2 | api.yfhikblkhghdyteiuyf54.run |
| Các địa chỉ IP C2 | 172.67.168.147, 104.21.26.231 (Cloudflare) |
| Hệ thống phía máy chủ | Express.js (Node.js) phiên bản 1.0.0 |
| Nhân viên đăng ký (Phía người dùng) | Công ty Cổ phần Tập đoàn NiceNIC International |
| Chuyên viên đăng ký (C2) | PDR Ltd. (PublicDomainRegistry.com) |
| Thời gian hoạt động | ~139 giờ (bắt đầu vào khoảng 21:00 UTC ngày 10/02/2026) |
| Bộ phụ kiện thoát nước CDN | renderer-postcard.defex.cc (601 KB mã JavaScript được mã hóa) |
| Bot Telegram | Đang hoạt động, đã tích hợp tính năng thông báo |
| Giới hạn số lần truy cập | 10 yêu cầu/60 giây (giới hạn duy nhất được phát hiện) |
Quy mô được thể hiện qua các ID tuần tự
Sai lầm nghiêm trọng nhất: ID công việc theo thứ tự. Mỗi lần gửi cụm từ hạt giống sẽ nhận được một ID tăng dần, nhờ đó bất kỳ ai cũng có thể tính được tổng khối lượng:
Kiến trúc đa chuỗi
Máy chủ C2 tạo khóa trên tất cả các chuỗi chính bằng cách sử dụng các đường dẫn tạo khóa có độ sâu 100:
Cơ sở hạ tầng chiến dịch
11 tên miền đã được xác nhận thuộc 2 nhóm nhà mạng, được theo dõi thông qua các ID gói ứng dụng:
| ID gói ứng dụng | Tên miền | Tình trạng |
|---|---|---|
88ef78f5... | aipolypredictor.xyz | TRỰC TIẾP |
4446ea5d... | solana.onspace.app, solxjup.onspace.app | TRỰC TIẾP |
| Bộ sản phẩm defex.cc | jup-v2.com, events-charizard.fun, events-llquid.fun, events-blackswan.fun, soljup.onspace.build | Hỗn hợp |
Phân tích tải trọng JavaScript
Ba gói mã JavaScript được mã hóa phục vụ cho chương trình rút tiền:
- wallet-connect.js (46 KB) — Quản lý giao diện người dùng kết nối ví, chặn dữ liệu hạt giống được nhập vào. Làm mờ mã bằng cách xoay mảng chuỗi.
- wallet-specific-modals.js (134 KB) — Bao gồm Danh sách từ tiếng Anh đầy đủ theo tiêu chuẩn BIP39 và Danh sách từ vựng Monero (1.626 từ). Chống gỡ lỗi thông qua việc ghi đè console.log/trace. Hỗ trợ cửa sổ bật lên cho nhiều ví.
- defex.cc/index.js (601 KB) — Được mã hóa theo tiêu chuẩn Unicode với các tên biến bằng tiếng Trung. Logic rút tiền dành riêng cho Solana. Bộ mã hóa Base58, các hàm cơ bản để dẫn xuất khóa mã hóa. Phiên bản 3.0.0.
Khả năng xác định danh tính
Cái CORS: * tiêu đề và việc thiếu các phương thức xác thực Bất kỳ ai cũng có thể gửi yêu cầu và theo dõi sự gia tăng của mã công việc theo thời gian thực. Việc tích hợp bot Telegram có nghĩa là tài khoản Telegram của nhà điều hành sẽ nhận được thông báo — và dữ liệu meta của Telegram có thể bị yêu cầu cung cấp theo trát tòa. NiceNIC (nhà đăng ký tên miền cho phần frontend) là một nhà đăng ký tên miền “bulletproof” nổi tiếng mà chúng tôi đã đã được điều tra trước đây, nhưng PDR Ltd. (nhà đăng ký tên miền C2) thực sự đáp ứng các yêu cầu từ cơ quan thực thi pháp luật. Cái defex.cc Bộ công cụ xả dữ liệu này phục vụ hơn 255 tên miền — việc làm lộ thông tin của defex.cc sẽ khiến toàn bộ hoạt động của dịch vụ DaaS và tất cả khách hàng của nó bị phơi bày.
So sánh song song: 4 thao tác, cùng một mẫu
| Hệ mét | mn19indexpre Express.js | web3ledgar Firebase | web3safe-pal Supabase | aipolypredictor Bộ thoát nước C2 |
|---|---|---|---|---|
| Xác thực | Không có (mã thông báo bị bỏ qua) | Không có | Khóa ẩn danh trong JavaScript | Không có (CORS: *) |
| Dữ liệu có thể đọc được | Tin nhắn/chuyển tiếp | Tất cả các cụm từ hạt giống | Tất cả các cụm từ hạt giống | Mã công việc / mức lương |
| Dữ liệu có thể ghi | Có (không giới hạn) | Đúng vậy | Có (CRUD đầy đủ) | Có (gửi) |
| Xác thực đầu vào | Không | Không | Không | Tối giản |
| Giới hạn tốc độ | Không có | Không có | Không có | 10 yêu cầu/60 giây |
| Có thể xác định danh tính | Khách hàng MS365 | Tài khoản Google | Gửi lại + Thanh toán Supabase | PDR + Telegram |
| Số nạn nhân ước tính | Không rõ | 12 | 131+ | 19,000+ |
| Ngôn ngữ của nhà điều hành | Không rõ | Tiếng Anh | Tiếng Nga | Không rõ |
Tại sao những kẻ lừa đảo không phải là tin tặc
Bằng chứng là vô cùng rõ ràng. Trong cả 4 chiến dịch, chúng tôi đều nhận thấy cùng một mô hình:
- Mua bộ dụng cụ ráo nước làm sẵn (200–500 USD)
- Triển khai trên các gói miễn phí (Firebase, Supabase)
- Giữ nguyên các thiết lập mặc định
- Sử dụng các mã thông báo được mã hóa cứng mà họ không xác minh
- Không bao giờ kích hoạt RLS, không bao giờ hạn chế CORS
- Tiết lộ danh tính của chính họ trong siêu dữ liệu
- Sử dụng các mã định danh tuần tự thể hiện được quy mô của chúng
- Viết các công cụ trích xuất dữ liệu tùy chỉnh
- Sử dụng các kênh được mã hóa và xác thực
- Ngẫu nhiên hóa các mã định danh, luân phiên sử dụng cơ sở hạ tầng
- Áp dụng các biện pháp kiểm soát truy cập phù hợp
- Sử dụng Tor/chuỗi proxy, thanh toán ẩn danh
- Tách biệt danh tính hoạt động khỏi dịch vụ lưu trữ
- Áp dụng các kỹ thuật chống điều tra pháp y
Khách hàng điển hình của dịch vụ “Drainer-as-a-Service” là một kẻ lừa đảo xã hội sử dụng thẻ tín dụng, chứ không phải là kỹ thuật viên. Họ biết cách đăng ký tên miền và chèn mã vào bảng điều khiển dịch vụ lưu trữ. Tuy nhiên, họ không biết cách:
- Cấu hình các quy tắc bảo mật của Firestore (sẽ mất khoảng 2 phút)
- Kích hoạt tính năng bảo mật cấp hàng (Row-Level Security) của Supabase (sẽ mất khoảng 5 phút)
- Xác thực và làm sạch dữ liệu đầu vào (sẽ mất 30 phút)
- Sử dụng UUID thay vì các số nguyên liên tiếp (chỉ cần 1 dòng mã)
- Hạn chế CORS chỉ trong phạm vi các miền của chính họ (chỉ cần 1 dòng cấu hình)
Đây không phải là những đối thủ tinh vi. Đây là những người không thể thiết lập cơ sở dữ liệu.
Các chỉ số cho thấy hệ thống bị xâm nhập (IOCs)
Tên miền
Địa chỉ IP
Khóa API và ID dự án
Kết luận: Nhà vua không mặc quần áo
Điểm chính
Mọi hoạt động lừa đảo mà chúng tôi đã phân tích đều có thể là bị xâm phạm hoàn toàn, bị lộ danh tính và bị phá vỡ chỉ bằng cách sử dụng trình duyệt web, curl và các tài liệu hướng dẫn công khai. Trong mọi trường hợp, những kẻ tấn công đều để cơ sở dữ liệu của mình hoàn toàn mở, để lộ khóa API trong các tệp JavaScript công khai, để lộ danh tính trong siêu dữ liệu, và khiến dữ liệu của nạn nhân có thể truy cập được bởi bất kỳ ai chỉ cần bận tâm tìm kiếm.
Bài học rất đơn giản: Những kẻ lừa đảo không phải là tin tặc. Họ là những kẻ trộm vặt đã mua một bộ dụng cụ mở khóa trên AliExpress nhưng lại quên khóa cửa trước nhà mình. Những công cụ họ sử dụng rất tinh vi — bởi vì chúng do người khác chế tạo. Bản thân những kẻ điều hành này chỉ là những tay nghiệp dư, thường xuyên để lộ cơ sở hạ tầng của chính họ, dữ liệu của nạn nhân và danh tính của bản thân cho bất kỳ ai có kiến thức kỹ thuật cơ bản.
Nếu bạn đã nhập cụm từ khôi phục trên bất kỳ trang web nào trong số này — hãy coi như ví của bạn đã bị xâm phạm và chuyển tiền ngay lập tức.
Tất cả các phát hiện đã được báo cáo cho các nhà cung cấp dịch vụ liên quan (Google/Firebase, Supabase, Cloudflare, các đơn vị đăng ký tên miền) và được ghi chép lại để phục vụ công tác thực thi pháp luật. Các chỉ số IOC nêu trên đã được bổ sung vào PhishDestroy danh sách tiêu diệt.


