Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / VI / SCAM INFRASTRUCTURE EXPOSED

Vạch trần kẻ lừa đảo: Phân tích 4 hệ thống vận hành phía sau

The Enablers Registry·Editorial mirror·/vi/scam-infrastructure-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Firebase · Supabase · Express.js · Drainer-as-a-Service · Tháng 2 năm 2026

Vạch trần cơ sở hạ tầng lừa đảo
19,000+
Cụm từ hạt giống bị đánh cắp (1 chiến dịch)
4
Có quyền truy cập đầy đủ vào các hệ thống backend
0
Yêu cầu xác thực
267+
Các tên miền lừa đảo có liên quan

 Lưu ý: Đây là phân tích, không phải sự chỉ trích

Tất cả những nội dung được trình bày trong bài viết này là kết quả của phân tích thụ động và dữ liệu công khai. Không có hệ thống nào bị xâm nhập. Không có quy trình xác thực nào bị vượt qua. Trong từng trường hợp, chính việc cấu hình sai của những kẻ lừa đảo đã khiến cơ sở hạ tầng, dữ liệu nạn nhân và danh tính hoạt động của chúng bị phơi bày trước bất kỳ ai chỉ cần nhìn qua. Mọi khóa API đều được tìm thấy trong các gói JavaScript công khai. Mọi cơ sở dữ liệu đều được mở rộng rãi theo thiết kế của chính các nhà điều hành. Chúng tôi ghi chép lại điều này không phải để chỉ trích — mà để chứng minh rằng những kẻ đang đánh cắp tiền điện tử của bạn thậm chí còn không thể bảo quản được chính những dụng cụ của mình.

 Luận điểm chính: Những kẻ “Script Kiddies” sử dụng các công cụ đánh cắp được

Trong nhận thức của công chúng, vẫn tồn tại một lầm tưởng dai dẳng rằng những kẻ lừa đảo trực tuyến chính là những “hacker” — những thiên tài công nghệ có khả năng xâm nhập vào các hệ thống một cách khéo léo và tinh vi. Điều này là sai.

Những kẻ lừa đảo tiền điện tử hiện đại là những kẻ tấn công nghiệp dư sử dụng các bộ công cụ mua sẵn. Họ mua các gói “Drainer-as-a-Service” với giá từ 200 đến 500 đô la, triển khai chúng trên các dịch vụ lưu trữ miễn phí hoặc giá rẻ, rồi chỉ biết cầu mong nạn nhân của họ không phát hiện ra. Họ không viết mã. Họ không hiểu gì về mạng. Và họ chắc chắn cũng không hiểu gì về bảo mật.

Chúng tôi biết điều này bởi vì vào tháng 2 năm 2026, THE ENABLERS REGISTRY đã phân tích 4 đường dây lừa đảo hoạt động độc lập — và trong mọi trường hợp, chúng ta đều có thể:

  • Đọc toàn bộ dữ liệu của các nạn nhân bị đánh cắp (cụm từ hạt giống, địa chỉ email, địa chỉ IP, các loại ví)
  • Đã sửa đổi hoặc đã xóa cơ sở dữ liệu của kẻ lừa đảo
  • Đã xác định được người điều hành thông qua các khóa API bị lộ, địa chỉ email và dấu vân tay cơ sở hạ tầng
  • Tái hiện vụ tấn công nhằm vào kẻ lừa đảo — bằng cách lợi dụng chính những lỗ hổng bảo mật mà họ đã để hở

Không cần khai thác lỗ hổng. Không có lỗ hổng zero-day. Không có "hacking". Chỉ đơn giản là mở cánh cửa trước mà họ đã để không khóa.

 Trường hợp 1: API ảo — [REDACTED]

 Express.js trên Apache, An ninh thực tế bằng không

KHÔNG CẦN XÁC THỰCKHÔNG CÓ KIỂM TRA TÍNH HỢP LỆ CỦA DỮ LIỆU ĐẦU VÀOKHÔNG GIỚI HẠN TỐC ĐỘCORS: *
Tham sốGiá trị
Miền[REDACTED]
Địa chỉ IP108.181.185.225
Cấu trúc máy chủApache/2.4.58 (Ubuntu) → Express.js (Node.js)
Biểu ngữ SSHSSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13.11
Đơn vị cấp TLSLet's Encrypt (E7), có hiệu lực từ tháng 1 đến tháng 4 năm 2026
Nhà đăng ký DNSIANA #146 (ns39/ns40.[REDACTED])
Email (MX)[REDACTED]
Khách hàng Microsoft[REDACTED]
Các cổng mở22 (SSH), 80 (HTTP→301), 443 (HTTPS)

 "Xác thực" — Một trò đùa

API này được cung cấp kèm theo một mã thông báo Bearer được mã hóa cứng: thisisakeyforsecureserver. Nhưng đây mới là điểm mấu chốt — token này thực tế chưa được xác minh:

// No auth header → accepted POST / HTTP/1.1 Content-Type: application/json {"subject":"test","domain":"test","messages":["ping"]} → {"success":true}// Wrong token → also accepted Quyền truy cập: Người mang mã thông báo sai hoàn toàn → {"success":true}// Any content type → also accepted Loại nội dung: text/xml, text/plain, multipart/form-data → {"success":true}

 Không xác thực đầu vào

Mọi tải trọng tiêm chích mà chúng tôi đã thử nghiệm đều được chấp nhận mà không có bất kỳ phản hồi nào:

// SQL injection Chủ đề: "' HOẶC 1=1--"→ đã được chấp nhận Chủ đề: "'; DROP TABLE messages;--"→ đã được chấp nhận// SSTI (Server-Side Template Injection) Chủ đề: "{{7*7}}"→ đã được chấp nhận Chủ đề: "{{config}}"→ đã được chấp nhận Chủ đề: "{{self.__class__}}"→ đã được chấp nhận// SSRF (Server-Side Request Forgery) miền: “http://169.254.169.254/latest/meta-data/”→ đã được chấp nhận miền: "file:///etc/passwd"→ đã được chấp nhận// XSS stored payload Chủ đề: "<script>alert(1)</script>"→ đã được chấp nhận

 Dấu vân tay hiệu năng

Thời gian phản hồi ổn định khoảng 7,5 giây đối với yêu cầu POST, bất kể kích thước dữ liệu (chấp nhận từ 10 byte đến 10 MB), cho thấy có thể đang sử dụng tính năng chuyển tiếp email hoặc chuyển tiếp webhook ở phía máy chủ. Yêu cầu GET phản hồi trong 0,6 giây. 10 yêu cầu song song hoàn tất trong 9,1 giây — không áp dụng giới hạn tần suất.

 Khả năng xác định danh tính

ID người thuê Microsoft 365 NETORGFT19090185 là một liên kết trực tiếp đến tài khoản của tổ chức đã đăng ký tên miền này. Kết hợp với các bản ghi đăng ký của IANA #146 và một địa chỉ IP chuyên dụng (không nằm sau CDN), nhà điều hành này là dễ dàng xác định được thông qua các kênh pháp lý. Bản ghi SPF (include:[REDACTED]) xác nhận dịch vụ lưu trữ email của IANA #146 — tất cả siêu dữ liệu email đều có thể được truy cập thông qua trát đòi cung cấp thông tin.

 Trường hợp 2: Firebase hoàn toàn mở — [REDACTED]

 Firestore không có quy tắc bảo mật nào

QUY TẮC FIRESTORE: MỞTẤT CẢ DỮ LIỆU VỀ NẠN NHÂN ĐỀU CÓ THỂ ĐỌC ĐƯỢCKhóa API trong JavaScript công khai12 NẠN NHÂN BỊ PHƠI BÀY
Tham sốGiá trị
Tên miền lừa đảo[REDACTED] (tên miền giả mạo từ "[REDACTED]")
Tên miền thay thế[REDACTED]
Dự án Firebaseweb3ledger-210ab
Khóa APIAIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8
ID ứng dụng1:1054258933515:web:9fb193fcd0093023f7fc0e
Gói JS/static/js/main.7a5ec2fa.js
Quy tắc FirestoreMở rộng — đọc/ghi không cần xác thực
Tổng số nạn nhân12 bản ghi trong users bộ sưu tập
Các bộ sưu tập đã tìm thấyusers, transactions

 Dữ liệu về nạn nhân — Ai cũng có thể truy cập đầy đủ

Một yêu cầu GET duy nhất không được xác thực gửi đến API REST của Firestore đã trả về mỗi cụm từ hạt giống bị đánh cắp:

GET /v1/projects/web3ledger-210ab/databases/(default)/documents/users?pageSize=300 → 200 OK→ Tổng số tài liệu: 12// Sample victim record (seed phrase redacted for safety) { "walletId": "W3L-65285520", "loại ví": "WalletConnect", "email": "[ĐÃ BỊ CHE ĐI]@gmail.com", "cụm từ hạt giống": "████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", "createdAt": "2026-02-15T00:14:52.804Z", "trạng thái": "hoạt động" }

Trong số 12 bản ghi đó có một mục rất đáng chú ý — ai đó đã thử nghiệm hệ thống bằng cách fbi@fbi.gov như trong email. Kẻ lừa đảo hoặc là đã thử nghiệm hệ thống của chính mình (điều này hữu ích cho việc xác định danh tính), hoặc là ai đó đã thử nghiệm hệ thống đó trước đó.

 Quy trình tấn công

Trang web lừa đảo này bắt chước giao diện ví của [REDACTED]. Nạn nhân nhấp vào “Kết nối ví” → nhập cụm từ hạt giống → giao diện người dùng React ghi trực tiếp vào Firestore → kẻ lừa đảo đọc dữ liệu từ chính cơ sở dữ liệu đang mở đó. Hoàn toàn không có máy chủ phía sau. Toàn bộ hệ thống hoạt động trên gói dịch vụ miễn phí của Google.

 Khả năng xác định danh tính

ID dự án Firebase web3ledger-210ab và ID ứng dụng 1:1054258933515được liên kết với tài khoản Google. Google lưu trữ hồ sơ thanh toán, nhật ký IP và dữ liệu tạo tài khoản cho tất cả các dự án Firebase. Chỉ cần một yêu cầu từ cơ quan thực thi pháp luật gửi đến Google là danh tính của người vận hành sẽ bị tiết lộ. Hơn nữa, việc các quy tắc Firestore được mở rộng vô hạn có nghĩa là chúng tôi có thể đã ghi các bản ghi vào cơ sở dữ liệu của họ, thông báo cho các nạn nhân ngay lập tức, hoặc xóa toàn bộ bộ sưu tập.

 Trường hợp 3: Supabase Full CRUD — [REDACTED]

 Tính năng bảo mật cấp hàng (Row-Level Security) đã bị tắt, GraphQL hoàn toàn mở

RLS ĐÃ BỊ VÔ HIỆU HÓAQUYỀN TRUY CẬP CRUD ĐẦY ĐỦHỖ TRỢ GRAPHQLCÁC HÀM BIÊN ĐƯỢC PHƠI BÀYBẢN DỊCH TIẾNG NGA
Tham sốGiá trị
Tên miền lừa đảo[REDACTED] (tên miền giả mạo từ "[REDACTED]")
Dự án Supabasegzqsadraigchwdhblavp
Khóa ẩn danh Được tiết lộ trong /assets/index-b025f4a6.js (748 KB)
Bảng cơ sở dữ liệuseeds — mở để đọc, chèn, cập nhật, xóa
GraphQLĐã bật tính năng tự kiểm tra toàn diện + các biến thể
Chức năng biên send-wallet-import-email, send-email
Dịch vụ emailAPI gửi lại (RESEND_API_KEY trong biến môi trường)
Hồ sơ nạn nhânCác ID 130–131 (ID 129 đã bị xóa trước đó)
Ngôn ngữ giao diện người dùng Tiếng Nga (“Ví chính”, “Ví của bạn đang được tải...”)

 Quyền truy cập đầy đủ vào cơ sở dữ liệu — Đọc, Ghi, Xóa

Khóa ẩn danh Supabase, nằm trong gói JavaScript đã được nén, cho phép Quyền truy cập CRUD đầy đủ đến seeds bảng:

// READ — get all stolen seed phrases GET /rest/v1/seeds?select=*ℴ=id.asc → 200 OK [ {"id":130, "cụm từ":"████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", "tên":"Ví chính"}, {"id":131, "cụm từ":"████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", "tên":"Ví chính"} ] // INSERT — we can write to the scammer's database POST /rest/v1/seeds {"phrase":"[REDACTED]","name":"test"} → 201 Đã tạo {"id":132} // UPDATE via GraphQL mutation { updateseedsCollection(filter:{id:{eq:131}}, set:{name:"THE ENABLERS REGISTRY was here"}) { affectedCount } } → {"affectedCount": 1}// DELETE via GraphQL mutation { deleteFromseedsCollection(filter:{id:{eq:131}}, atMost:1) { affectedCount } } → {"affectedCount": 1}

Các ID bắt đầu từ 130 — có nghĩa là các bản ghi từ 1 đến 129 đã bị người vận hành xóa trước đó. Ít nhất 131 cụm từ hạt giống đã đi qua hệ thống này.

 Các chức năng của Edge: Dấu vết email

Hai hàm Supabase Edge đang hoạt động. Chúng tôi đã tiến hành phân tích ngược send-email định dạng đầu vào dự kiến của hàm bằng cách thử nghiệm các dữ liệu đầu vào:

// Probing send-email endpoint {"seed":"test phrase","name":"test"} → 200 OK {"id":"f2749592-..."} {"seed_phrase":"...","wallet_name":"..."} → 400 "Không có dữ liệu hạt giống được cung cấp." {"phrase":"...","name":"..."} → 400 "Không có dữ liệu hạt giống được cung cấp."// The function accepts {seed, name} and sends to attacker via Resend API// Edge Function source (reconstructed from JS bundle):// NB.functions.invoke("send-wallet-import-email",// {body: {wallet_name, secret_phrase, ip_address}})

Khóa API Gửi lại (RESEND_API_KEY) được lưu trữ trong các biến môi trường của Supabase. Resend lưu giữ các bản ghi xác minh người gửi và dữ liệu thanh toán — một cách tiếp cận trực tiếp khác để xác định danh tính của người điều hành.

 Khả năng xác định danh tính

Việc bản địa hóa giao diện người dùng tiếng Nga (“Основной кошелек”, “Ваш кошелек загружается...”) cho thấy một Nhân viên tổng đài nói tiếng Nga. Dự án Supabase (gzqsadraigchwdhblavp) được liên kết với một tài khoản có hồ sơ thanh toán. Dịch vụ “Gửi lại email” lưu trữ địa chỉ email của người nhận. Việc tự kiểm tra GraphQL cho thấy cấu trúc cơ sở dữ liệu đầy đủ. Chúng tôi đã chứng minh quyền truy cập ghi đầy đủ — chúng ta có thể đã thay thế mọi cụm từ hạt giống bị đánh cắp bằng một thông báo cảnh báo gửi đến các nạn nhân, hoặc xóa toàn bộ bảng. Người vận hành sẽ không có cách nào để khôi phục dữ liệu.

 Trường hợp 4: Thiết bị thoát nước quy mô công nghiệp — [REDACTED]

 19.000 cụm từ hạt giống trong 5,8 ngày

Hơn 19.000 hạt giống bị đánh cắpMÃ CÔNG VIỆC LIÊN TIẾPKHÔNG CÓ GIỚI HẠN CORSBộ công cụ DaaS ([REDACTED])11 tên miền đã được xác nhận
Tham sốGiá trị
Lĩnh vực Frontend [REDACTED] ("PolySniper | Các giao dịch nội gián của Frontrun")
API C2api.yfhikblkhghdyteiuyf54.run
Các địa chỉ IP C2 172.67.168.147, 104.21.26.231 (IANA #1910)
Hệ thống phía máy chủExpress.js (Node.js) phiên bản 1.0.0
Nhân viên đăng ký (Phía người dùng)Công ty Cổ phần Tập đoàn IANA #3858
Chuyên viên đăng ký (C2)[REDACTED] (IANA #303)
Thời gian hoạt động~139 giờ (bắt đầu vào khoảng 21:00 UTC ngày 10/02/2026)
Bộ phụ kiện thoát nước CDN [REDACTED] (601 KB mã JavaScript được mã hóa)
Bot [REDACTED]Đang hoạt động, đã tích hợp tính năng thông báo
Giới hạn số lần truy cập10 yêu cầu/60 giây (giới hạn duy nhất được phát hiện)

 Quy mô được thể hiện qua các ID tuần tự

Sai lầm nghiêm trọng nhất: ID công việc theo thứ tự. Mỗi lần gửi cụm từ hạt giống sẽ nhận được một ID tăng dần, nhờ đó bất kỳ ai cũng có thể tính được tổng khối lượng:

POST /api/check-seed-full { "cụm từ hạt giống": "cụm từ thử nghiệm ở đây", "bundleId": "88ef78f56e0837dd0339e40a882bf563", "độ sâu": 100, "miền": "[REDACTED]", "sourceInfo": {"tên ví":"[REDACTED]", "isBot":false} } → {"success":true, "message":"Đã kiểm tra hàng đợi", "jobId":"19358"}// Next request: jobId 19359, then 19360...// ~19,000 seed phrases in ~139 hours = ~137 per hour

 Kiến trúc đa chuỗi

Máy chủ C2 tạo khóa trên tất cả các chuỗi chính bằng cách sử dụng các đường dẫn tạo khóa có độ sâu 100:

⛓️
Các chuỗi bị nhắm mục tiêu
ETH/BTC/SOL/XMR
🔑
Độ sâu suy diễn
100
🌐
Các tên miền đã được xác nhận
11
🕸️
[REDACTED] Liên kết
255+

 Cơ sở hạ tầng chiến dịch

11 tên miền đã được xác nhận thuộc 2 nhóm nhà mạng, được theo dõi thông qua các ID gói ứng dụng:

ID gói ứng dụngTên miềnTình trạng
88ef78f5...[REDACTED]TRỰC TIẾP
4446ea5d...[REDACTED], [REDACTED]TRỰC TIẾP
Bộ sản phẩm [REDACTED] [REDACTED], [REDACTED], [REDACTED], [REDACTED], soljup.onspace.build Hỗn hợp

 Phân tích tải trọng JavaScript

Ba gói mã JavaScript được mã hóa phục vụ cho chương trình rút tiền:

  • wallet-connect.js (46 KB) — Quản lý giao diện người dùng kết nối ví, chặn dữ liệu hạt giống được nhập vào. Làm mờ mã bằng cách xoay mảng chuỗi.
  • wallet-specific-modals.js (134 KB) — Bao gồm Danh sách từ tiếng Anh đầy đủ theo tiêu chuẩn BIP39Danh sách từ vựng Monero (1.626 từ). Chống gỡ lỗi thông qua việc ghi đè console.log/trace. Hỗ trợ cửa sổ bật lên cho nhiều ví.
  • [REDACTED]/index.js (601 KB) — Được mã hóa theo tiêu chuẩn Unicode với các tên biến bằng tiếng Trung. Logic rút tiền dành riêng cho Solana. Bộ mã hóa Base58, các hàm cơ bản để dẫn xuất khóa mã hóa. Phiên bản 3.0.0.

 Khả năng xác định danh tính

Cái CORS: * tiêu đề và việc thiếu các phương thức xác thực Bất kỳ ai cũng có thể gửi yêu cầu và theo dõi sự gia tăng của mã công việc theo thời gian thực. Việc tích hợp bot [REDACTED] có nghĩa là tài khoản [REDACTED] của nhà điều hành sẽ nhận được thông báo — và dữ liệu meta của [REDACTED] có thể bị yêu cầu cung cấp theo trát tòa. IANA #3765 (nhà đăng ký tên miền cho phần frontend) là một nhà đăng ký tên miền “bulletproof” nổi tiếng mà chúng tôi đã đã được điều tra trước đây, nhưng [REDACTED] (nhà đăng ký tên miền C2) thực sự đáp ứng các yêu cầu từ cơ quan thực thi pháp luật. Cái [REDACTED] Bộ công cụ xả dữ liệu này phục vụ hơn 255 tên miền — việc làm lộ thông tin của [REDACTED] sẽ khiến toàn bộ hoạt động của dịch vụ DaaS và tất cả khách hàng của nó bị phơi bày.

 So sánh song song: 4 thao tác, cùng một mẫu

Hệ mét mn19indexpre
Express.js
web3ledgar
Firebase
web3safe-pal
Supabase
aipolypredictor
Bộ thoát nước C2
Xác thựcKhông có (mã thông báo bị bỏ qua)Không cóKhóa ẩn danh trong JavaScriptKhông có (CORS: *)
Dữ liệu có thể đọc đượcTin nhắn/chuyển tiếpTất cả các cụm từ hạt giốngTất cả các cụm từ hạt giốngMã công việc / mức lương
Dữ liệu có thể ghiCó (không giới hạn)Đúng vậyCó (CRUD đầy đủ)Có (gửi)
Xác thực đầu vàoKhôngKhôngKhôngTối giản
Giới hạn tốc độKhông cóKhông cóKhông có10 yêu cầu/60 giây
Có thể xác định danh tínhKhách hàng MS365Tài khoản GoogleGửi lại + Thanh toán SupabasePDR + [REDACTED]
Số nạn nhân ước tínhKhông rõ12131+19,000+
Ngôn ngữ của nhà điều hànhKhông rõTiếng AnhTiếng NgaKhông rõ

 Tại sao những kẻ lừa đảo không phải là tin tặc

Bằng chứng là vô cùng rõ ràng. Trong cả 4 chiến dịch, chúng tôi đều nhận thấy cùng một mô hình:

 Những kẻ lừa đảo làm gì
  • Mua bộ dụng cụ ráo nước làm sẵn (200–500 USD)
  • Triển khai trên các gói miễn phí (Firebase, Supabase)
  • Giữ nguyên các thiết lập mặc định
  • Sử dụng các mã thông báo được mã hóa cứng mà họ không xác minh
  • Không bao giờ kích hoạt RLS, không bao giờ hạn chế CORS
  • Tiết lộ danh tính của chính họ trong siêu dữ liệu
  • Sử dụng các mã định danh tuần tự thể hiện được quy mô của chúng
 Những điều tin tặc có thể làm
  • Viết các công cụ trích xuất dữ liệu tùy chỉnh
  • Sử dụng các kênh được mã hóa và xác thực
  • Ngẫu nhiên hóa các mã định danh, luân phiên sử dụng cơ sở hạ tầng
  • Áp dụng các biện pháp kiểm soát truy cập phù hợp
  • Sử dụng Tor/chuỗi proxy, thanh toán ẩn danh
  • Tách biệt danh tính hoạt động khỏi dịch vụ lưu trữ
  • Áp dụng các kỹ thuật chống điều tra pháp y

Khách hàng điển hình của dịch vụ “Drainer-as-a-Service” là một kẻ lừa đảo xã hội sử dụng thẻ tín dụng, chứ không phải là kỹ thuật viên. Họ biết cách đăng ký tên miền và chèn mã vào bảng điều khiển dịch vụ lưu trữ. Tuy nhiên, họ không biết cách:

  • Cấu hình các quy tắc bảo mật của Firestore (sẽ mất khoảng 2 phút)
  • Kích hoạt tính năng bảo mật cấp hàng (Row-Level Security) của Supabase (sẽ mất khoảng 5 phút)
  • Xác thực và làm sạch dữ liệu đầu vào (sẽ mất 30 phút)
  • Sử dụng UUID thay vì các số nguyên liên tiếp (chỉ cần 1 dòng mã)
  • Hạn chế CORS chỉ trong phạm vi các miền của chính họ (chỉ cần 1 dòng cấu hình)

Đây không phải là những đối thủ tinh vi. Đây là những người không thể thiết lập cơ sở dữ liệu.

 Các chỉ số cho thấy hệ thống bị xâm nhập (IOCs)

Tên miền

# Case 1: Express.js API [REDACTED] # Case 2: Firebase Stealer [REDACTED] [REDACTED] # Case 3: Supabase Stealer [REDACTED] # Case 4: Drainer Campaign [REDACTED] API.yfhikblkhghdyteiuyf54.run yfhikblkhghdyteiuyf54.run [REDACTED] [REDACTED] [REDACTED] [REDACTED] [REDACTED] stakepayment.icu [REDACTED] [REDACTED] [REDACTED] [REDACTED] soljup.onspace.build

Địa chỉ IP

108.181.185.225 # Case 1 — Express.js (dedicated) 172.67.168.147 / 104.21.26.231 # Case 4 — C2 API (IANA #1910) 172.67.178.251 / 104.21.67.171 # Case 4 — Frontend (IANA #1910) 172.67.209.39 / 104.21.37.139 # Case 4 — [REDACTED] (IANA #1910) 43.130.171.152 / 43.130.171.225 # Case 4 — onspace domains (Tencent)

Khóa API và ID dự án

# Firebase (Case 2) Dự án: web3ledger-210ab Khóa API: AIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8 ID ứng dụng: 1:1054258933515:web:9fb193fcd0093023f7fc0e # Supabase (Case 3) Dự án: gzqsadraigchwdhblavp Khóa ẩn danh: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9... # Campaign Tracking (Case 4) Gói 1: 88ef78f56e0837dd0339e40a882bf563 Gói 2: 4446ea5ddb308b2494db8ad4b12196c3 # Microsoft Tenant (Case 1) [REDACTED]

 Kết luận: Nhà vua không mặc quần áo

 Điểm chính

Mọi hoạt động lừa đảo mà chúng tôi đã phân tích đều có thể là bị xâm phạm hoàn toàn, bị lộ danh tính và bị phá vỡ chỉ bằng cách sử dụng trình duyệt web, curl và các tài liệu hướng dẫn công khai. Trong mọi trường hợp, những kẻ tấn công đều để cơ sở dữ liệu của mình hoàn toàn mở, để lộ khóa API trong các tệp JavaScript công khai, để lộ danh tính trong siêu dữ liệu, và khiến dữ liệu của nạn nhân có thể truy cập được bởi bất kỳ ai chỉ cần bận tâm tìm kiếm.

Bài học rất đơn giản: Những kẻ lừa đảo không phải là tin tặc. Họ là những kẻ trộm vặt đã mua một bộ dụng cụ mở khóa trên AliExpress nhưng lại quên khóa cửa trước nhà mình. Những công cụ họ sử dụng rất tinh vi — bởi vì chúng do người khác chế tạo. Bản thân những kẻ điều hành này chỉ là những tay nghiệp dư, thường xuyên để lộ cơ sở hạ tầng của chính họ, dữ liệu của nạn nhân và danh tính của bản thân cho bất kỳ ai có kiến thức kỹ thuật cơ bản.

Nếu bạn đã nhập cụm từ khôi phục trên bất kỳ trang web nào trong số này — hãy coi như ví của bạn đã bị xâm phạm và chuyển tiền ngay lập tức.

Tất cả các phát hiện đã được báo cáo cho các nhà cung cấp dịch vụ liên quan (Google/Firebase, Supabase, IANA #1910, các đơn vị đăng ký tên miền) và được ghi chép lại để phục vụ công tác thực thi pháp luật. Các chỉ số IOC nêu trên đã được bổ sung vào THE ENABLERS REGISTRY danh sách tiêu diệt.

Chia sẻ cuộc điều tra này

X / Twitter [REDACTED] Reddit LinkedIn

Các cuộc điều tra liên quan

[REDACTED] bị phanh phui: 55 tên miền & kẻ đánh cắp quyền phê duyệt TRON
ĐIỀU TRA
[REDACTED] bị phanh phui: 55 tên miền & kẻ đánh cắp quyền phê duyệt TRON
ĐIỀU TRA SÂU RỘNG
Bộ công cụ Crypto Drainer: Vạch trần các đại lý phân phối Angel Drainer
[REDACTED] TDS: 1.500 tấm bị lộ, không có ứng dụng hợp pháp nào
ĐIỀU TRA
[REDACTED] TDS: 1.500 tấm bị lộ, không có ứng dụng hợp pháp nào

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings