/>
我们为何这样做

调查幕后——动机、目标与方法

我们没有报酬。我们面临着被逼入绝境且手握资金的罪犯可能带来的真实后果。本页将解释我们为何选择这场斗争、我们试图证明什么,以及我们如何设计这次调查。

独立性与能力

我们独立运营。没有企业赞助,没有资助,也没有可供利用的财务杠杆。这种自主性使我们能够追踪那些传统安保公司因责任问题或利益冲突而避之不及的目标。 已封堵13万多个网络钓鱼域名。 多年的实际运营经验。我们深入了解诈骗基础设施、操作人员在压力下的行为模式、平台滥用举报的处理流程,以及压制行动的运作机制。

调查是如何启动的

该操作员(“Nathalie Roy”)曾被直接警告:不要撒谎,不要激化矛盾。她曾有多次机会悄悄补救——删除两个 GitHub 问题并就此作罢。如果没有受害者投诉,此事本该就此结束。 然而,她却选择了威胁、撒谎,并牵扯进她的域名注册商。随后,NameSilo发布了一条推文,其中包含4条均可被独立证伪的陈述,在1.1万名关注者面前公开为一个被VirusTotal标记的“数据窃取程序”辩护。 这一战术失误引发了一场全面的取证行动。

我们的目标就体现在我们的名称中: PhishDestroy。 NameSilo选择参与这场网络钓鱼行动——通过为其辩护、发布虚假声明以及隐瞒证据。应对措施是程序性的:记录保护措施、化解诈骗行为、移交执法部门处理。

学术研究——真正的动力

我们的一位研究人员正在撰写 一篇关于网络诈骗犯罪学的法医研究论文. 本次调查是主要案例研究。本文提出了一种调查盗窃案的方法论,用于 无法追踪的加密货币(门罗币) ——在这些情况下,传统的区块链分析无法进行。

门罗币没有公开账本。 仅凭区块链分析无法证明盗窃行为。 没有Etherscan,没有交易记录,无法追溯钱包来源。这就是xmrwallet.com为何能存活十年之久——没有人能利用标准工具量化其造成的损失。该论文表明,即使无法追踪资金流向,仍可通过以下方式证明犯罪行为:

这项研究证明了该方法是可行的。 在这里收集到的每一项证据——压制模式、一模一样的行为、验证码响应、2100万条日志记录——都直接被纳入了论文。只有这个案例存在,这项研究才得以存在。正是他们的傲慢使这一切成为可能。

行动方法与应对措施

我们预料到了他们会采取的每一个行动。我们特意没有在推特上写道,我们知道他们会对像我们这样的人做什么——因为 他们太傲慢了,根本没意识到他们并没有压制我们。他们做的恰恰是我们想要的。

并行轨道,同时进行:

向 NameSilo 提交了 11-12 起正式的滥用投诉 ——不是为了设局陷害他们,而是为了验证这一假设。其他所有注册商都采取了行动。他们却对所有这些情况置之不理。
数据库中毒 在所有 xmrwallet 域名中——注入了 2100 万个加密诱饵,以保护受害者并干扰运营商的遥测数据。
可追踪的压制诱饵 部署在 Medium、dev.to、Azure、GitHub、我们自己的域名以及其他尚未披露的平台。每个关键词对应超过 20 个链接。每个链接都旨在生成一条已记录的下架请求—— 法医指纹。
phishdestroy.io 已被 Bing 完全从索引中移除。 当他们意识到该网站会有多篇关于他们的文章时——他们并没有仅仅将这些文章从索引中移除,而是将整个域名都从索引中移除了。这也是计划的一部分。
将Twitter作为诱饵。 20万条推文被封。他们通过“金勾”功能将其锁定。X平台的自有系统未发现任何违规行为。账号仍被锁定。

是我们故意引诱他们吗?不。我们只是照常行事——举报滥用行为、公布调查结果、记录各方回应。 他们选择加以压制。 我们早就知道他们会那样做,而且当时正在录像。

“压制指纹”策略

我们提交了 11-12 起正式虐待投诉 向 NameSilo 提交——并非为了欺骗他们,而是为了验证我们的假设。如果他们确实独立于运营方,他们就会调查一个被 VirusTotal 标记的网站——该网站已有记录在案的受害者,且运营方本人在电子邮件中承认对其拥有控制权。 他们对每一条都置之不理。 我们测试过的其他所有域名注册商都采取了行动。

多平台分发与抑制追踪

我们发布于 有意支持多平台. Medium、dev.to、我们自己的网站。并不是因为我们无法将内容集中在一个地方——而是因为 我们需要他们分别在每个平台上屏蔽它. 接收平台会记录每次屏蔽操作——请求者身份、IP地址、时间戳、方法。 执法部门可通过标准法律程序获取平台上的所有记录。

Medium文章:NameSilo为掩盖一桩2000万美元的加密货币诈骗案而撒谎

Medium 文章——304 次点赞,15 条评论,阅读时间 19 分钟。这是我们刻意选择发布内容的多个平台之一。

01
发布于Medium。 等待从索引中移除。已记录。
02
发布于 dev.to。 我们的链接和网站已被举报。已被Bing从索引中移除。已记录在案。
03
专门发表了2篇关于NameSilo的文章 ——不是一个,而是两个。所以他们会提交 两个独立的 撤销收录请求。这是一种取证指纹。
04
将我们的推特账号设为“目标”。 他们通过“金色勾选标记”将其锁定。X系统的自动化检测未发现违规情况。锁定状态依然存在。已记录在案。
05
已向ICANN提交投诉。 完整的证据材料包。已转交联邦执法部门。针对ICANN认证的、关于VirusTotal标记的诈骗行为的投诉,注册管理机构未作任何回应。

“蜜糖代币”与“压制诱饵”

我们并没有“诱骗”他们。我们所做的,正是任何反网络钓鱼研究人员都会做的事:公布研究结果、举报滥用行为,并记录相关回应。 他们选择压制,而不是回应。 我们预料到他们会这样做——因为这是我们研究过的每一位操作者的惯常做法。不同之处在于,这次有人在旁观察并进行了记录。

我们有 无意诽谤 NameSilo. 我们不在乎他们的股价。我们发了一条推文——就是为了看看会有什么反应。结果果然如愿:他们的其中一位投资者试图曝光一名研究人员的个人信息,随后删除了相关推文。NameSilo 给出的回复仍是那套千篇一律的模板式答复,这充分暴露了他们原始且可预测的行为——与该平台运营商的做法如出一辙。 我们的目标就体现在我们的名字中:PhishDestroy。我们致力于打击网络钓鱼。 就是这样。

我们牺牲了自己的推特账号——超过20万条推文、数年的证据——因为调查需要如此。我们希望这一过程能恢复所有被压制的內容,因为每一条被删除的推文、每一个被移除的链接、每一篇被移出索引的文章,本身都是可供核实的证据。 他们曾压制我们的每一个平台都留有记录。 十年来,他们成功地从搜索结果中删除了所有负面信息——我们的SEO分析证明了这一点。他们只保留了对自己有利的内容。

“两篇文章测试”

我们发表了 Medium 上的两篇文章. 第1篇文章仅提到了xmrwallet——未提及NameSilo。第2篇文章则是专门针对NameSilo进行的SEO优化。 这两项都被从索引中移除了。 在我们自己的网站上——情况也是一样:只有关于 xmrwallet 的内容,以及专门关于 NameSilo 的内容。每个关键词都有超过 20 个链接,全都被屏蔽了。如果 NameSilo 和该运营商毫无关联——那么是谁在清理 NameSilo 的搜索结果?是该运营商在维护其域名注册商的声誉吗? 无关实体并不是这样运作的。

我们在第一封电子邮件中就直接提到了这一点,随后又在一篇公开文章中重申了这一点: “你们撒谎,逼得我们不得不展开调查。” 我们并没有隐瞒。他们就是不相信我们。那是他们的错。
为什么我们在各个平台上都撰写了关于 NameSilo 的文章

我们发布的每份分析报告中,都包含关于该注册商及其行为真相的警示。他们对此并不满意。但他们所认为的“战斗”——我们的帖子与他们的下架行动—— 这从来都不是一场战斗。这是一次精心策划的行动。 每次部署都只为一个目的:让他们自己留下自证其罪的证据。他们以为自己在应对攻击,其实是在上当。每一次下架请求、每一次从索引中移除、每一次DMCA通知—— 他们自己捏造的、针对自己的证据。

门罗币无法追踪。它没有区块链记录。传统的调查方法在这里行不通。因此,我们进行了调整: 如果无法追踪资金流向,我们就追踪行为。 我们成了他们的目标,这样他们才能展示出这种模式。猎人不会在森林里追捕难以追踪的猎物——他会设下陷阱,静候时机。他们一个接一个地落入了这些陷阱。

去中心化基础设施与风险缓解

因为我们不是一个人。 4名及以上研究人员 参与了此次调查。受害者提供了协助。已向多个国家的执法部门通报了情况。证据存储在IPFS上——不可篡改、去中心化,并具备自动监控功能。如果任何镜像站点宕机,系统会自动部署新的镜像站点。

他们以为删除链接就能让证据消失。 并非如此。这反而提供了更多证据。 每次删除都会被记录在案。每次试图隐瞒的行为,都是本案卷宗中的又一证据。

dev.to 上关于 xmrwallet 诈骗的文章

dev.to 发布内容——在多个平台同步发布,以生成多条抑制记录。

操作员威胁评估

该运营商通过电子邮件联系我们: “我请了一位律师和一位私家侦探。” 既没有律师现身,也没有私家侦探现身。真正出现的是:DMCA下架通知、大规模举报、来自 njal.la(一家 NameSilo 经销商)的 DDoS 攻击,以及有组织的 Trustpilot 评价操纵。 每一项威胁、每一项行动、每一个时间戳——都已记录在案。

Google Search Console 显示了 phisdestroy 的基础设施

Google 搜索控制台——这里显示的每个域名创建的目的只有一个:就是为了被下线。而它们确实都被下线了。一个不漏。

诱饵基础设施

看看这张截图。每一个 Azure 子域名、每一篇博文的 URL —— 我们特意创建了这些内容,就是为了让它们被举报并删除。 为什么有人要在不同平台上创建十几份相同内容的镜像?因为我们需要通过它们提交十几份独立的下架请求。每份请求都会被平台记录在案。每条记录都包含请求者的身份、IP地址、时间戳和请求方法。 平台会将《数字千年版权法案》(DMCA)和《通用数据保护条例》(GDPR)的相关下架记录保存数年之久。

他们根本没多想。一看到负面内容,就点击了“举报”。无论是NameSilo还是xmrwallet,都是同样的模式、同样的速度、同样的平台。他们从未停下来问过自己: 为什么 PhishDestroy 总是在创建新链接? 一个“疯狂的志愿者”为何还要继续制作那些屡遭下架的镜像网站?因为每次下架都是一次展示。每份《数字千年版权法案》(DMCA)投诉都是一个取证指纹。而当调查人员向谷歌、必应、推特、Trustpilot和Medium发出传票时—— 这两个实体中的模式将完全一致。 同一位申请方。相同的方法。相同的时间线。这并非两家互不相关的公司,而是一项统一行动。

这并非一次普通的诈骗活动

我们调查了数百起诈骗案件。 它们没有一个是这样的。 大多数网络钓鱼犯罪分子一旦暴露,就会逃之夭夭、销声匿迹或保持沉默。但这些人却并非如此。他们采取了截然相反的做法:

这正是该案件在法医层面引人入胜之处。该 NameSilo 和 xmrwallet 均呈现相同的屏蔽模式 这就是我们试图捕捉的“指纹”。我们无需通过电子邮件或支付记录来证明这种关联——而是通过行为来证明。我们给他们设定了目标。他们对这两个实体采取了完全相同的攻击方式——相同的平台、相同的速度、相同的方法。 这种行为模式就是证据。 而且这是他们无法删除的,因为它存在于每家向其举报我们的公司的平台日志中。

数据库中毒与遥测数据污染

因为 我们的目标是保护人民 ——只要 xmrwallet.com 网站还在运行,人们就会不断蒙受损失。 我们编写了一个 Cloudflare Workers 脚本,持续向每个 xmrwallet 域名(.com、.me、.cc、.biz、.net)的钱包输入数据——正是那些真实受害者输入自己实际密钥的输入字段。如果这真是一个合法的客户端钱包(正如他们所声称的那样),这根本不会产生任何影响。 在正规钱包中,助记词的输入是在本地处理的。 没什么可“攻击”的。

但 xmrwallet.com 会窃取用户输入的每一组助记词。我们实施了一次系统性的数据污染行动,向其中注入了 2100 万个加密诱饵,以 使他们窃取的数据集在实际应用中变得毫无用处。 我们绝不会停手。除非该网站彻底瘫痪。无论他们添加了 hCaptcha、Cloudflare Turnstile 还是其他任何防护措施——我们都会继续输入钱包地址,保护人们免受其害。这正是我们名称的字面含义。

不仅仅是输入——完整的行为训练课程

我们的钱包并非只是授权后就离开了。每次会话中 模拟了真实的用户行为 — 点击链接、浏览页面、等待不同时长、模拟不同类型的用户(探索者、发送者、资深用户、新手、多疑者)。我们了解分析系统的工作原理——而 xmrwallet.com 正是基于此运行的 Google Analytics、Google Tag Manager 和 Google 跟踪像素 在“匿名”钱包上。我们的会话设计采用了强随机化机制,因此操作员 无法将我们的记录与真实的受害者区分开来 根据会话行为、时间点或导航模式。他们日志中记录的每个被盗钱包,在我们这里都如同针尖般渺小,埋没在浩如烟海的数据中。

验证码证明了盗窃行为

我们的工具运行了几周后,操作员添加了一个验证码——这是一个粗糙的二次方暴力破解挑战,使用Python大约0.1秒就能破解。 正规的钱包在输入助记词时不需要验证码。 Ledger 没有这个功能。Trezor 没有这个功能。MyMonero 也没有这个功能。没有任何正规的钱包会有这个功能——因为正规的钱包都是在本地处理助记词的。添加验证码的唯一理由是,如果你 在服务器端收集并记录每个输入. 验证码本身就是盗窃机制的证据。

我们原本期待他们能部署一个真正的解决方案——比如 hCaptcha、Cloudflare Turnstile,或者其他靠谱的方案。但他们并没有。他们部署的却是一个在 0.1 秒内就能通过二次暴力破解解决的简单验证码。这足以说明他们的技术水平。 他们保护的是自己的盗取渠道,而不是用户。

运行统计数据 — 1,763 发(149 小时)
会议: 118,585认证成功: 67%操作总数: 2,595,623平均RPS: 5.4验证码已通过: 167,558 (95%)平均求解时间: 6.2秒在职员工: 306带宽: 107 GB操作人员失误: 0平均会话深度: 10.5 页熵生成: 具有密码学现实性的种子合成,以防止算法过滤

xmrwallet.com:4,743 次会话 · xmrwallet.me:114,031 次会话。 某次运行的日志示例。 该工具曾多次重启和更新——例如在移除或更改域名,以及引入验证码时。所有运行的完整日志总计约 2100万条有效记录 涵盖所有 xmrwallet 域名,时间为 2026 年 2 月至 4 月。执法部门可应要求获取完整数据集。

5.4 所有行动的RPS总和——但 每7至10秒最多允许1次授权。 对于在客户端运行的钱包来说,这不算什么问题,对吧?除非它在服务器端运行。除非它们记录了每一个输入。除非它们窃取了所有内容并写入了完整的日志。而这正是它们所做的。

这是攻击吗? 不。 我们只是在公共网页表单中填写了数据。仅此而已。 我们没有绕过身份验证,没有利用漏洞,也没有访问任何不该访问的系统。我们完全按照该网站的预期用途——作为“钱包”来使用它。如果该网站确实如宣传的那样(仅在客户端处理),那么我们的输入就毫无意义。如果我们的输入对他们来说很重要—— 这证明了盗窃机制确实存在。

我们已正式向 DDoS-Guard(其托管服务商)通报了我们的活动性质,说明了助记词收集机制,并提供了服务器 IP 地址。他们从未联系我们,也从未提出异议,更未要求我们停止。沉默即表示没有问题。 我们的脚本占用内存不到 50MB,运行速度为每秒 5.4 次请求—— 不到服务器容量的1%。 我们大致知道他们使用了哪台服务器。我们的流量是隐形的。

现在,最妙的地方就在这里。作为一款“私有客户端钱包”,xmrwallet.com 声称不保留日志。但如果他们 do 记录日志(因为他们会偷),他们现在的条目数量现在和我们差不多—— 2100万。 如果他们正试图处理、评估并清空每个钱包呢? 这意味着需要扫描、加载并查询2100万个门罗币钱包的余额。 评估2100万个钱包所需的计算成本极其巨大。每个空钱包都会浪费时间和资源。每个真实受害者的钱包都埋没在我们海量的记录之中。 这正是关键所在。

想指责我们发动了袭击吗? 请索取我们的日志。 我们将提供数吉字节的数据,显示有2100万条助记词被输入到您的“合法客户端钱包”中。请向法院解释,为什么一个客户端钱包会记录、处理并试图使用所有这些助记词。

2100万起成功的“盗窃”案——目标是我们的钱包

在所有 xmrwallet 域名(.com、.me、.cc、.biz、.net)中,我们的工具记录了大约 2100万次成功的钱包登录. “成功”是指 xmrwallet.com 接受了助记词,在服务器端进行了处理,并尝试访问该钱包——这与它对待真实受害者的做法完全一致。我们记录了每一笔操作的日志。 每一条记录都证明该网站在服务器端收集和处理助记词。 如果这真的只是“仅客户端”操作,那就没什么可记录的,也没什么可处理的,更没有理由添加验证码来阻止我们。

讽刺的是: 他们试图保护自己的盗窃手段,而不是保护自己。 他们添加了验证码,却依然在继续行窃。他们本该着手准备法律辩护。每次破解验证码、每次通过DDoS-Guard挑战、每次服务器端会话——都已被记录并标注了时间戳。他们忙于为自己“抢劫”他人的行为辩护,却忘了有人正在记录一切。

贪婪陷阱:密码学非对称性

门罗币的助记词不会存储钱包的创建日期(恢复高度)。这给攻击者带来了一个关键难题:如果他们只扫描最近的区块,就会遗漏更早的、规模可能巨大的钱包。 诈骗分子很贪婪。 为了确保不会遗漏长期持有者,他们不得不扫描整个门罗币区块链——从2014年的创世区块到目前为止——以查找每一个助记词。

即使在基础设施和本地节点都经过优化的情况下,一次全链加密扫描仍需大约 每个钱包的CPU负载高峰期持续2至5分钟。

21,000,000 个诱饵 × 2 分钟 = 700,000 CPU小时
1个月内处理完毕 = 约1,000个CPU核心,运行率100% 持续地

我们创建了 绝对的计算不对称性: 生成并植入一个有效的诱饵只需我们几毫秒的时间,但他们要评估它,却要付出切实的基础设施成本、数千美元的服务器费用以及巨大的运营风险。我们不仅污染了他们的数据库—— 我们利用了他们自身的贪婪,使他们的计算资源陷入瘫痪。

这就是为什么有些人认为我们的方法过于激进。我们则认为它们 恰当且完全符合伦理。 不使用代理服务器。不使用僵尸网络。不提供付费攻击服务。不使用非法基础设施。不与灰色市场服务商合作。所有服务均运行在标准的 Cloudflare Workers 上——轻量级、合法、透明。我们无需借助昂贵或非法的工具来保护用户。 简单、合法的解决方案更有效——而且在法庭上也站得住脚。

Google Search Console 显示 phisdestroy.github.io 已被收录

Google Search Console — phishdestroy.github.io/DO-NOT-USE-xmrwallet-com 的收录与性能数据。

在这件事上没有中间立场。

一个网站要么是骗局,要么不是。没有中间地带。我们不在乎谁从中获利、他们支付了多少,也不在乎谁在保护他们。 该运营商是个罪犯。 该登记员要么是不知道(疏忽),要么是知道(渎职)。证据指向后者。

你是故意犯错的吗?

是的。我们 故意保留可见的AI标记 并借鉴了其他调查中的行为模式——这些细微的失误让操作员和登记员对他们的压制行动充满信心。我们希望他们低估我们。我们希望他们满怀信心地点击“举报”按钮,确信这招会奏效,确信我们只是些半吊子,迟早会放弃。 他们采取的每一项自信的镇压行动,如今都已成为带有时间戳的证据。 相关细节将发表在一篇即将出版的关于网络欺诈取证的学术论文中——具体涉及对诈骗团伙成员的行为指纹分析。

最终目标是什么?

该证据已提交给 ICANN 合同合规性 以及 联邦执法机构. 调查仍在通过官方渠道进行。建立这个档案库,是为了确保没有任何内容被删除、修改或隐瞒。 每项声明都有依据。每张截图都经过哈希校验。每项操作都有记录。

如果他们否认删除评论——我们会出示“互联网档案馆”(Wayback Machine)的存档截图;如果他们否认忽视投诉——我们会出示送达回执;如果他们否认存在关联——我们会出示美通社(PR Newswire)的时间戳、压制模式匹配结果以及域名购买记录。

他们移除了 来自搜索结果的30-50+个链接 在谷歌、必应以及多个平台上——这两个实体均是如此。这证明了以下两种情况之一:要么他们极其愚蠢,没有意识到每份下架请求都会被记录并留下数字取证痕迹,要么 他们与某方达成了长期协议,由对方负责删除负面内容. 无论哪种情况,日志都确实存在,两家公司的模式完全一致,而且所有内容均可通过传票调取。整个调查的初衷正是为了生成这套数据集——既用于学术论文,也用于执法。

这从来都不是一场争吵。 这是一份案件档案。

PhishDestroy 中等轮廓

PhishDestroy 中等配置——用于记录和发布证据的多个发布平台之一。

他们以为能让我们噤声。其实,他们反而在为我们积攒胜诉的证据。

阅读相关证据

上述每项主张都有公开的证据。先从最具代表性的案例说起:

PhishDestroy 研究团队

独立反网络钓鱼倡议——成立于2019年

← 返回 PhishDestroy · 新闻存档 · abuse@phishdestroy.io