Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / AR / XMRWALLET NAMESILO EXPOSED

نهاية موقع [REDACTED]: كشف النقاب عن IANA #1479

The Enablers Registry·Editorial mirror·/ar/xmrwallet-namesilo-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

نهاية موقع [REDACTED][.]com: «IANA #1479» كذبت لحماية سارق سرق 2 مليون دولار

بعد 10 سنوات من سرقة مفاتيح «مونيرو» الخاصة، تم إحباط العملية. فقد اتخذت ثلاث شركات تسجيل إجراءات في غضون أيام. أما الشركة الرابعة — «IANA #1479» — فقد اتصلت بالمحتال، وصدقت روايته، وأصبحت المتحدث الرسمي باسمه.

27 مارس 2026 أبحاث THE ENABLERS REGISTRY 12 دقيقة للقراءة
تحقيق حول موقع [REDACTED] — كشف النقاب عن IANA #1479
نظرة عامة على التحقيق: انهيار موقع [REDACTED][.]com ودور IANA #1479 في حماية المحتال.
$2M+
تقديرات المسروقات
10
سنوات النشاط
3/4
المسجلون الموقوفون
7
تثبت كذبة «IANA #1479»
8
سرقة نقاط نهاية PHP

ما الذي فعله موقع [REDACTED][.]com بالفعل

منذ عام 2016، كان موقع [REDACTED][.]com يروّج لنفسه باعتباره محفظة «مونيرو» مجانية ومفتوحة المصدر. وقد التسجيل المباشر لشبكة الإنترنت في 18 فبراير 2026 أثبتت أنها كانت تقوم بشيء مختلف تمامًا: سرقة مفاتيح العرض الخاصة بعملة «مونيرو» عند كل عملية تسجيل دخول، واختطاف المعاملات من جانب الخادم.

هجوم استخراج مفاتيح «Monero View» — جهاز كمبيوتر محمول ينقل المفاتيح المسروقة إلى خادم المحتال
لقطة الشاشة 1 — آلية السرقة: كان كل تسجيل دخول إلى المحفظة ينقل مفتاح العرض الخاص للضحية في شبكة مونيرو إلى خادم المحتال عبر ترميز Base64.
آلية السرقة الأساسية

ليس كودًا مُدرجًا — الـ البنية الأساسية. نظام جلسات يمتد عبر 8 نقاط نهاية PHP، يقوم بنقل مفتاح العرض الخاص للضحية أكثر من 40 مرة في كل جلسة. عندما كان المستخدمون يرسلون XMR، كانت معاملاتهم تُستبعد دون إشعار (raw_tx_and_hash.raw = 0) واستُبدلت ببيانات المحتال.

يقوم المستخدم بفتح المحفظة
تم استخراج المفتاح (Base64)
تم اختراق TX من جانب الخادم
XMR المرسلة إلى المحتال
8 نقاط نهاية لـ API لبرمجة تطبيقات PHP استُخدمت لسرقة مفاتيح العرض — مستودع الأدلة على GitHub
لقطة الشاشة 2 — نقاط النهاية الثماني لـ PHP الموثقة في مستودع الأدلة الخاص بنا على GitHub. تشارك كل نقطة نهاية في سلسلة تسريب session_key/view_key.

أشارت ستة شركات متخصصة في مجال الأمن على موقع VirusTotal إلى أنه برنامج ضار. وهناك خمسة عشر ضحية موثقة عبر مواقع Trustpilot وSitejabber وBitcoinTalk. وقد خسر أحد الضحايا 590 XMR (حوالي 177,000 دولار) في عملية سرقة واحدة.

يُظهر فحص VirusTotal أن 6 من أصل 93 مزودًا قد صنفوا موقع [REDACTED] على أنه ضار، بما في ذلك نظام الكشف عن التصيد الاحتيالي من Fortinet
لقطة الشاشة 3 — VirusTotal: أشار 6 من أصل 93 مزودًا إلى أن موقع [REDACTED] خبيث. وصنفته شركة Fortinet على أنه «تصيد احتيالي».
يُظهر موقع ScamAdviser أن موقع [REDACTED] «غير آمن على الأرجح» مع درجة ثقة تبلغ 1 من أصل 100
لقطة الشاشة 4 — ScamAdviser: درجة الثقة 1/100. «من المرجح جدًّا أن يكون غير آمن.»

ثلاثة مسجلين أدوا واجبهم

لقد قدمنا بلاغات متطابقة بشأن إساءة الاستخدام إلى جميع جهات التسجيل الأربع التي تستضيف نطاقات [REDACTED]. وقد اتخذت ثلاث منها إجراءات فورية:

ثلاثة أبواب مغلقة تمثل المسجلين الموقوفين عن العمل، وباب واحد مفتوح يمثل رفض IANA #1479 اتخاذ أي إجراء
لقطة الشاشة 5 — قام ثلاثة مسجلي نطاقات بإغلاق أبوابهم. أما IANA #1479 فقد تركت أبوابها مفتوحة على مصراعيها أمام المحتال.

سجل الملكية العامة

معلق

الهند · الأيام المتبقية لاتخاذ إجراء

IANA #460

معلق

ماليزيا · عدد الأيام المتبقية لاتخاذ إجراء

IANA #3765

تعطل نظام أسماء النطاقات (DNS)

الصين · لم يتبق سوى أسابيع لاتخاذ الإجراءات اللازمة

IANA #1479

مرفوض

الولايات المتحدة الأمريكية · محتال تمت تبرئته

ثلاث دول. ثلاث استنتاجات مستقلة.

الهند، ماليزيا، الصين — قامت هذه الدول بمراجعة الأدلة، وتوصلت إلى وجود احتيال، وقامت بتعليق النطاقات. دون طرح أي أسئلة.

«IANA #1479» اختارت مسارًا مختلفًا

المسجل الرابع — شركة [REDACTED] (الولايات المتحدة الأمريكية) — التي تستضيف النطاق الرئيسي الذي يحتوي على أكبر قدر من الأدلة ويضم أكبر عدد من الضحايا — فعلت العكس تمامًا. فقد اتصلت بالمحتال، وصدقت روايته، ونشرت بيانًا عامًا تدافع فيه عنه:

بيان عام صادر عن «IANA #1479» على منصة «X» (Twitter) دفاعًا عن مشغل موقع [REDACTED]، مدعيًا أن النطاق تعرض للاختراق
لقطة الشاشة 6 — البيان العام الصادر عن IANA #1479 على X (Twitter)، 12 مارس 2026. كانت جميع الادعاءات الواردة في هذا المنشور كاذبة.
"أجرى فريق مكافحة إساءة الاستخدام لدينا مراجعة متعمقة لهذه الحالة، ويبدو أن هذا النطاق قد تعرض للاختراق قبل بضعة أشهر... وبعد تحقيق شامل، توصل فريقنا إلى أدلة تشير إلى أن الاختراق لم يكن له علاقة بمالك النطاق... كما يعمل مالك النطاق حالياً على إزالة الموقع من قوائم تقارير VT."

IANA #1479، عبر X (Twitter)

قمنا بتحليل هذا البيان سطراً سطراً. كل هذه الادعاءات كانت كاذبة.

كلمات المشغل نفسه

قبل تدخل IANA #1479، رد المشغل مباشرةً على تقريرنا المتعلق بالإساءة. وتؤكد رسائله الإلكترونية علمه بالأمر ونيته:

رد عبر البريد الإلكتروني من مشغل [REDACTED] يؤكد أن هذا ليس عملية تصيد احتيالي وأن الخدمة تعمل منذ 8 سنوات
لقطة الشاشة 7 — رد المشغل: «هذا ليس تصيدًا احتياليًّا، فنحن نعمل منذ أكثر من 8 سنوات.»
رد عبر البريد الإلكتروني من مشغل [REDACTED] ينفي فيه اتهامات السرقة ويدافع عن ممارسات جمع البيانات
لقطة الشاشة 8 — الرد الثاني للمشغل: «هذه هي البيانات التي نحتاجها لتقديم الخدمة». وكانت «البيانات» هي مفتاح العرض الخاص للضحية.

سبع أكاذيب، تم كشفها

الكذبة رقم 1: «تعرض النطاق للاختراق»

تُعد آلية السرقة هي البنية الأساسية — 8 نقاط نهاية PHP، وتسريب مفتاح Base64، و فجوة في عمليات الإرسال على GitHub مدتها 5.3 سنة. تم بناء هذا النظام على مدار سنوات، ولم يتم إنشاؤه بين عشية وضحاها.

الكذبة رقم 2: «لم نتلقَ أي بلاغات سابقة عن حالات إساءة معاملة»

ستة مزودي خدمة VirusTotal، وشكاوى على موقع Trustpilot تعود إلى سنوات مضت، وموضوع تحذيري على منتدى BitcoinTalk، والمشغل تم حظره من r/Monero في عام 2018. كان من الممكن معرفة ذلك بمجرد إجراء بحث واحد على جوجل.

الكذبة رقم 3: «عدم إشراك صاحب التسجيل»

تم تسجيل المشغل 4 نطاقات «escape» موزعة على 4 جهات تسجيل (مدفوعة مسبقًا لمدة 5-10 سنوات لكل منها) قبل تم نشر نتائج التحقيق. تم حذف أكثر من 21 مشكلة على GitHub. تم توظيف مطورين لإنشاء نظام «كابتشا». هذا ليس ضحية — بل عملية.

الكذبة رقم 4: «اتخذوا إجراءات فورية لإلغاء ذلك»

كان «كود السرقة» قيد التشغيل في بيئة الإنتاج خلال بيان «IANA #1479». لم يتم إجراء أي عمليات «كوميت» على GitHub تتعلق بأي حادث. ولم يتم التراجع عن أي شيء.

الكذبة رقم 5: «نعمل على إزالة موقعنا من قائمة VirusTotal»

أشادت شركة IANA #1479 بالمحتال لجهوده في الضغط من أجل إزالة ميزة «Possibly phishing» الخاصة بشركة Fortinet — دون إزالة كود التصيد الاحتيالي. هذا ليس تصرفًا ينم عن حسن نية. بل هو إخفاء للتحذيرات الأمنية.

الكذبة رقم 6: «هل حدثت الإساءة مؤخرًا؟»

تحويل عبء الإثبات إلى المبلغ حتى يتمكنوا من إغلاق القضية. فقد كانت الأدلة موجودة في التقرير. ولم يكن هناك داعٍ لأن يسأل ثلاثة من المسجلين الزملاء.

الكذبة رقم 7: «سنعيد فتح التحقيق»

عبارة «إعادة فتح» تعني أنه كان مفتوحًا في السابق. وقد تمثلت تحقيقاتهم في الاتصال بالمحتال وتدوين ما قاله. هذا ليس تحقيقًا — بل مجرد تدوين.

أدلة تتعلق بالبنية التحتية

مخطط شبكة النطاقات الذي يوضح نطاقات [REDACTED] المعلقة ونطاقات «الهروب» التي تم تسجيلها قبل بدء التحقيق
لقطة الشاشة 9 — شبكة الهروب عبر النطاقات: 4 نطاقات موزعة على 4 جهات تسجيل، تشير جميعها إلى نفس الخوادم. تم تعطيل ثلاثة منها.
نتائج URLScan تُظهر أن نطاقات [REDACTED] تُحل إلى عناوين IP واحدة عبر عدة نطاقات من المستوى الأعلى (TLD)
لقطة الشاشة 10 — بيانات URLScan: جميع نطاقات [REDACTED] (.com، .cc، .biz، .net، .me، .app) تُحل إلى نفس البنية التحتية.
مستودع أدلة على GitHub يعرض نقاط النهاية التي تم توثيق سرقاتها ولقطات من الشبكة
لقطة الشاشة 11 — مستودع الأدلة الخاص بنا على GitHub الذي يحتوي على التحليل الكامل لبيانات الشبكة الملتقطة. تم توثيق 109 طلبات و43 عملية إرسال لمفاتيح العرض خلال جلسة واحدة.

الخط الزمني: سقوط [REDACTED]

2016
بدأ موقع [REDACTED][.]com العمل، ويُروَّج لنفسه باعتباره «محفظة مونيرو مجانية ومفتوحة المصدر»
2018
المشغل تم حظره من r/Monero. ظهرت أولى تقارير الضحايا على موقع Trustpilot
4 فبراير 2026
تم تسجيل نطاق Escape [REDACTED].cc (مدفوع مسبقًا لمدة 8 سنوات) — قبل نشر نتائج التحقيق
13 فبراير 2026
صدر العدد رقم 35 — الكشف عن آلية اختطاف TX بالكامل
18 فبراير 2026
العدد رقم 36 — التسجيل المباشر: 109 طلبات، و43 عملية إرسال لـ«viewkey» في جلسة واحدة
23 فبراير 2026
[REDACTED].cc مُعلَّق (PDR). [REDACTED].biz مُعلَّق (IANA #460). قام المشغل بحذف القضيتين رقم #35 و#36 على عجل
26 فبراير 2026
المزيد من الذعر: تم تسجيل [REDACTED].net و.me (مدفوع مسبقًا لمدة 10 سنوات، وعناوين IP هي نفسها الخاصة بالنطاقات الموقوفة)
8 مارس 2026
[REDACTED].net: نظام أسماء النطاقات (DNS) معطل (IANA #3765). تم تحييد 3 من أصل 4 مجالات هروب
مارس 2026
«IANA #1479» تصدر بيانًا: "المسجل هو الضحية." يساعد في منع اكتشافات VirusTotal
27 مارس 2026
تقديم شكوى رسمية إلى ICANN (المادة 3.18 من قانون RAA). الأدلة المقدمة إلى سلطات إنفاذ القانون. تم نشر هذا التقرير.

الحكم

لم تتجاهل شركة IANA #1479 الأدلة. فقد قرأوها، واتصلوا بالمحتال، وصدقوه، وأعلنوا براءته، وساعدوا في إخفاء التحذيرات الأمنية. ثم طلبوا من الباحثين إثبات أن الانتهاك «حدث مؤخرًا».

هذا ليس إهمالاً. بل هو شراكة.

الموقع معطل. وقد انتهت عملية الاحتيال. لكن حقيقة أن شركة تسجيل نطاقات أمريكية اختارت أن تختلق علنًا قصة تغطية لحماية سارق عملات مشفرة سرق مبلغ 2 مليون دولار — فهذا أمر سيظل يلاحق IANA #1479 لفترة طويلة جدًّا. وسيكون بيانهم الدليل الأول في كل دعوى قضائية تُرفع من الآن فصاعدًا.

إذا دافعت عن السارق، فستتحمل نصيبك من المسؤولية.

الأدلة والموارد

التحقيقات ذات الصلة

يستند هذا التحقيق إلى أدلة متاحة للجمهور، وتسجيلات حية للشبكة، ومعلومات استخباراتية مفتوحة المصدر (OSINT)، ومنصات المراجعة العامة، والبيان العام الحرفي الصادر عن IANA #1479 نفسها. ولم يتم إجراء أي وصول غير مصرح به. ويمكن إعادة التحقق من جميع النتائج بشكل مستقل.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings