
Das Ende von [REDACTED][.]com: IANA #1479 hat gelogen, um einen Dieb zu schützen, der 2 Millionen Dollar gestohlen hatte
Nach zehn Jahren, in denen private Monero-Schlüssel gestohlen wurden, wurde die Operation zerschlagen. Drei Registrare handelten innerhalb weniger Tage. Der vierte – IANA #1479 – nahm Kontakt zu dem Betrüger auf, glaubte ihm seine Geschichte und fungierte fortan als sein Pressesprecher.
Was [REDACTED][.]com tatsächlich getan hat
Seit 2016 bewarb sich [REDACTED][.]com als kostenlose Open-Source-Monero-Wallet. Unsere Live-Netzwerkaufzeichnung am 18. Februar 2026 Es stellte sich heraus, dass es etwas ganz anderes tat: Bei jeder Anmeldung wurden private Monero-View-Keys gestohlen und Transaktionen serverseitig manipuliert.
Kein eingefügter Code — der Kernarchitektur. Ein Session-System, das sich über 8 PHP-Endpunkte erstreckt und den privaten View-Schlüssel des Opfers überträgt Mehr als 40 Mal pro Trainingseinheit. Wenn Nutzer XMR sendeten, wurde ihre Transaktion stillschweigend verworfen (raw_tx_and_hash.raw = 0) und durch die des Betrügers ersetzt.
Sechs Sicherheitsanbieter auf VirusTotal haben die Datei als schädlich eingestuft. Auf Trustpilot, Sitejabber und BitcoinTalk wurden fünfzehn Opfer dokumentiert. Ein Opfer verlor 590 XMR (~177.000 $) bei einem einzigen Diebstahl.
Drei Standesbeamte haben ihre Arbeit getan
Wir haben bei allen vier Registraren, die [REDACTED]-Domains hosten, identische Missbrauchsmeldungen eingereicht. Drei davon haben sofort reagiert:
Indien, Malaysia, China – haben die Beweise geprüft, Betrug festgestellt und die Domains gesperrt. Ohne weitere Fragen zu stellen.
IANA #1479 hat einen anderen Weg eingeschlagen
Der vierte Standesbeamte — [REDACTED] (USA) — der Betreiber der Hauptdomain, für die es die meisten Beweise und die meisten Opfer gab — tat genau das Gegenteil. Er nahm Kontakt zum Betrüger auf, glaubte dessen Geschichte und veröffentlichte eine öffentliche Erklärung, in der er ihn verteidigte:
„Unser Team für Missbrauchsfälle hat diesen Fall eingehend geprüft, und es scheint, dass die Domain vor einigen Monaten kompromittiert wurde … Nach umfangreichen Ermittlungen hat unser Team Hinweise darauf gefunden, dass der Registrant nicht an der Kompromittierung beteiligt war … Der Registrant bemüht sich zudem darum, die Website aus den VT-Berichten entfernen zu lassen.“
— IANA #1479, via X (Twitter)
Wir haben diese Aussage Zeile für Zeile analysiert. Jede Behauptung war falsch.
Die eigenen Worte des Betreibers
Bevor IANA #1479 einschritt, reagierte der Betreiber direkt auf unsere Missbrauchsmeldung. Seine E-Mails bestätigen, dass er sich der Sachlage bewusst war und entsprechende Absichten hatte:
Sieben Lügen, entlarvt
Der Diebstahlmechanismus bildet den Kern der Architektur – 8 PHP-Endpunkte, Exfiltration von Base64-Schlüsseln, ein 5,3 Jahre Lücke bei den GitHub-Commits. Dieses System wurde über Jahre hinweg aufgebaut und nicht in aller Eile zusammengeschustert.
Sechs VirusTotal-Anbieter, seit Jahren vorliegende Beschwerden auf Trustpilot, ein Warn-Thread auf BitcoinTalk, der Betreiber 2018 aus r/Monero gesperrt. Eine einzige Google-Suche hätte das gezeigt.
Der Betreiber hat sich registriert 4 Escape-Domains bei 4 Registraren (jeweils 5–10 Jahre im Voraus bezahlt) vorher Die Untersuchung wurde veröffentlicht. Über 21 GitHub-Issues wurden gelöscht. Es wurden Entwickler für ein CAPTCHA-System eingestellt. Das ist kein Opfer – das ist eine Operation.
Der Diebstahlcode lief in der Produktionsumgebung. in der Stellungnahme von IANA #1479. Es gab keine GitHub-Commits, die sich auf einen Vorfall bezogen. Es wurde nichts rückgängig gemacht.
IANA #1479 lobte den Betrüger dafür, dass er sich dafür eingesetzt hatte, die „Possibly phishing“-Erkennung von Fortinet zu entfernen — ohne den Possibly phishing-Code zu entfernen. Das ist kein Handeln in gutem Glauben. Das ist das Unterdrücken von Sicherheitswarnungen.
Die Beweislast wurde auf den Berichterstatter verlagert, damit der Fall abgeschlossen werden konnte. Die Beweise waren im Bericht enthalten. Die drei kollegialen Registratoren hätten gar nicht erst nachfragen müssen.
„Wiedereröffnung“ impliziert, dass es einmal geöffnet war. Ihre Ermittlungen bestanden darin, den Betrüger anzurufen und seine Aussagen zu notieren. Das sind keine Ermittlungen – das ist Diktat.
Nachweise zur Infrastruktur
Chronologie: Der Niedergang von [REDACTED]
Das Urteil
IANA #1479 hat die Beweise nicht ignoriert. Sie haben sie gelesen, den Betrüger angerufen, ihm geglaubt, ihn für unschuldig erklärt und dazu beigetragen, Sicherheitswarnungen zu unterdrücken. Anschließend forderten sie die Forscher auf, nachzuweisen, dass der Missbrauch „kürzlich“ stattgefunden habe.
Das ist keine Nachlässigkeit. Das ist eine Partnerschaft.
Die Domain ist offline. Der Betrug ist vorbei. Doch die Tatsache, dass ein US-Registrar sich dazu entschlossen hat, öffentlich eine Tarngeschichte zu erfinden, um einen Krypto-Dieb zu schützen, der 2 Millionen Dollar erbeutet hat – das wird IANA #1479 noch sehr lange nachhängen. Ihre Stellungnahme wird von nun an in jedem Schriftsatz als Beweisstück A dienen.
Wer sich für den Dieb verbürgt, muss mit ihm die Rechnung teilen.
Belegmaterial und Quellen
Verwandte Ermittlungen
Diese Untersuchung stützt sich auf öffentlich zugängliche Beweise, Live-Netzwerkaufzeichnungen, OSINT, öffentliche Bewertungsplattformen sowie die wortgetreue öffentliche Stellungnahme von IANA #1479. Es erfolgte kein unbefugter Zugriff. Alle Ergebnisse sind unabhängig reproduzierbar.