Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / DE / XMRWALLET NAMESILO EXPOSED

Das Ende von [REDACTED]: IANA #1479 entlarvt

The Enablers Registry·Editorial mirror·/de/xmrwallet-namesilo-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Das Ende von [REDACTED][.]com: IANA #1479 hat gelogen, um einen Dieb zu schützen, der 2 Millionen Dollar gestohlen hatte

Nach zehn Jahren, in denen private Monero-Schlüssel gestohlen wurden, wurde die Operation zerschlagen. Drei Registrare handelten innerhalb weniger Tage. Der vierte – IANA #1479 – nahm Kontakt zu dem Betrüger auf, glaubte ihm seine Geschichte und fungierte fortan als sein Pressesprecher.

27. März 2026 THE ENABLERS REGISTRY-Forschung 12 Minuten Lesezeit
Untersuchung zu [REDACTED] – IANA #1479 entlarvt
Überblick über die Ermittlungen: Der Niedergang von [REDACTED][.]com und die Rolle von IANA #1479 beim Schutz des Betrügers.
$2M+
Vermutlich gestohlen
10
Tätigkeitsjahre
3/4
Ausgesetzte Registrare
7
IANA #1479“-Lügen als erwiesen
8
Diebstahl von PHP-Endpunkten

Was [REDACTED][.]com tatsächlich getan hat

Seit 2016 bewarb sich [REDACTED][.]com als kostenlose Open-Source-Monero-Wallet. Unsere Live-Netzwerkaufzeichnung am 18. Februar 2026 Es stellte sich heraus, dass es etwas ganz anderes tat: Bei jeder Anmeldung wurden private Monero-View-Keys gestohlen und Transaktionen serverseitig manipuliert.

Angriff durch Exfiltration von Monero-View-Schlüsseln – Laptop übermittelt gestohlene Schlüssel an den Server eines Betrügers
Screenshot 1 – Der Diebstahlmechanismus: Bei jeder Anmeldung in der Wallet wurde der private Monero-View-Key des Opfers mittels Base64-Kodierung an den Server des Betrügers übermittelt.
Kernmechanismus des Diebstahls

Kein eingefügter Code — der Kernarchitektur. Ein Session-System, das sich über 8 PHP-Endpunkte erstreckt und den privaten View-Schlüssel des Opfers überträgt Mehr als 40 Mal pro Trainingseinheit. Wenn Nutzer XMR sendeten, wurde ihre Transaktion stillschweigend verworfen (raw_tx_and_hash.raw = 0) und durch die des Betrügers ersetzt.

Der Benutzer öffnet seine Wallet
Exfiltrierter Schlüssel anzeigen (Base64)
TX wurde serverseitig gekapert
An den Betrüger gesendete XMR
8 PHP-API-Endpunkte, die für den Diebstahl von View-Schlüsseln genutzt wurden – GitHub-Repository mit Beweismaterial
Screenshot 2 – Die 8 PHP-Endpunkte, die in unserem GitHub-Beweisrepository dokumentiert sind. Jeder Endpunkt ist Teil der Exfiltrationskette für „session_key“ und „view_key“.

Sechs Sicherheitsanbieter auf VirusTotal haben die Datei als schädlich eingestuft. Auf Trustpilot, Sitejabber und BitcoinTalk wurden fünfzehn Opfer dokumentiert. Ein Opfer verlor 590 XMR (~177.000 $) bei einem einzigen Diebstahl.

Ein VirusTotal-Scan zeigt, dass 6 von 93 Anbietern [REDACTED] als bösartig einstufen, darunter auch die Phishing-Erkennung von Fortinet.
Screenshot 3 – VirusTotal: 6 von 93 Anbietern haben [REDACTED] als bösartig eingestuft. Fortinet hat die Website als „Possibly phishing“ klassifiziert.
ScamAdviser stuft [REDACTED] als „sehr wahrscheinlich unsicher“ ein, mit einem Vertrauenswert von 1 von 100
Screenshot 4 – ScamAdviser: Vertrauensbewertung 1/100. „Sehr wahrscheinlich unsicher.“

Drei Standesbeamte haben ihre Arbeit getan

Wir haben bei allen vier Registraren, die [REDACTED]-Domains hosten, identische Missbrauchsmeldungen eingereicht. Drei davon haben sofort reagiert:

Drei verschlossene Türen, die für suspendierte Registrare stehen, und eine offene Tür, die für die Weigerung von IANA #1479 steht, tätig zu werden
Screenshot 5 – Drei Registrare haben ihre Türen verschlossen. IANA #1479 hat seine Türen für den Betrüger weit offen gelassen.

IANA #303

Ausgesetzt

Indien · Noch verbleibende Tage zum Handeln

IANA #460

Ausgesetzt

Malaysia · Noch verbleibende Tage zum Handeln

IANA #3765

DNS ausgefallen

China · Noch wenige Wochen zum Handeln

IANA #1479

Abgelehnt

USA · Verteidigung eines Betrügers

Drei Länder. Drei unabhängige Schlussfolgerungen.

Indien, Malaysia, China – haben die Beweise geprüft, Betrug festgestellt und die Domains gesperrt. Ohne weitere Fragen zu stellen.

IANA #1479 hat einen anderen Weg eingeschlagen

Der vierte Standesbeamte — [REDACTED] (USA) — der Betreiber der Hauptdomain, für die es die meisten Beweise und die meisten Opfer gab — tat genau das Gegenteil. Er nahm Kontakt zum Betrüger auf, glaubte dessen Geschichte und veröffentlichte eine öffentliche Erklärung, in der er ihn verteidigte:

Öffentliche Stellungnahme von IANA #1479 auf Twitter zur Verteidigung des Betreibers von [REDACTED], der behauptet, die Domain sei kompromittiert worden
Screenshot 6 – Öffentliche Stellungnahme von IANA #1479 auf X (Twitter) vom 12. März 2026. Jede Behauptung in diesem Beitrag war falsch.
„Unser Team für Missbrauchsfälle hat diesen Fall eingehend geprüft, und es scheint, dass die Domain vor einigen Monaten kompromittiert wurde … Nach umfangreichen Ermittlungen hat unser Team Hinweise darauf gefunden, dass der Registrant nicht an der Kompromittierung beteiligt war … Der Registrant bemüht sich zudem darum, die Website aus den VT-Berichten entfernen zu lassen.“

IANA #1479, via X (Twitter)

Wir haben diese Aussage Zeile für Zeile analysiert. Jede Behauptung war falsch.

Die eigenen Worte des Betreibers

Bevor IANA #1479 einschritt, reagierte der Betreiber direkt auf unsere Missbrauchsmeldung. Seine E-Mails bestätigen, dass er sich der Sachlage bewusst war und entsprechende Absichten hatte:

Antwort per E-Mail des Betreibers von [REDACTED], in der behauptet wird, dass es sich nicht um Phishing handelt und der Dienst bereits seit 8 Jahren besteht
Screenshot 7 – Antwort des Betreibers: „Das ist kein Possibly phishing, wir sind schon seit über 8 Jahren im Geschäft.“
E-Mail-Antwort des Betreibers von [REDACTED], in der er Diebstahlvorwürfe zurückweist und die Praktiken zur Datenerhebung verteidigt
Screenshot 8 – Zweite Antwort des Mitarbeiters: „Das sind die Daten, die wir benötigen, um den Dienst anzubieten.“ Bei den „Daten“ handelte es sich um den privaten Ansichtschlüssel des Opfers.

Sieben Lügen, entlarvt

LÜGE Nr. 1: „Die Domain wurde gehackt“

Der Diebstahlmechanismus bildet den Kern der Architektur – 8 PHP-Endpunkte, Exfiltration von Base64-Schlüsseln, ein 5,3 Jahre Lücke bei den GitHub-Commits. Dieses System wurde über Jahre hinweg aufgebaut und nicht in aller Eile zusammengeschustert.

LÜGE Nr. 2: „Wir hatten zuvor keine Meldungen über Missbrauch erhalten“

Sechs VirusTotal-Anbieter, seit Jahren vorliegende Beschwerden auf Trustpilot, ein Warn-Thread auf BitcoinTalk, der Betreiber 2018 aus r/Monero gesperrt. Eine einzige Google-Suche hätte das gezeigt.

LÜGE Nr. 3: „Der Registrant wird nicht einbezogen“

Der Betreiber hat sich registriert 4 Escape-Domains bei 4 Registraren (jeweils 5–10 Jahre im Voraus bezahlt) vorher Die Untersuchung wurde veröffentlicht. Über 21 GitHub-Issues wurden gelöscht. Es wurden Entwickler für ein CAPTCHA-System eingestellt. Das ist kein Opfer – das ist eine Operation.

LÜGE Nr. 4: „Sie haben sofort Maßnahmen ergriffen, um das rückgängig zu machen.“

Der Diebstahlcode lief in der Produktionsumgebung. in der Stellungnahme von IANA #1479. Es gab keine GitHub-Commits, die sich auf einen Vorfall bezogen. Es wurde nichts rückgängig gemacht.

LÜGE Nr. 5: „Wir arbeiten daran, von VirusTotal entfernt zu werden“

IANA #1479 lobte den Betrüger dafür, dass er sich dafür eingesetzt hatte, die „Possibly phishing“-Erkennung von Fortinet zu entfernen — ohne den Possibly phishing-Code zu entfernen. Das ist kein Handeln in gutem Glauben. Das ist das Unterdrücken von Sicherheitswarnungen.

LÜGE Nr. 6: „Ist der Missbrauch erst kürzlich geschehen?“

Die Beweislast wurde auf den Berichterstatter verlagert, damit der Fall abgeschlossen werden konnte. Die Beweise waren im Bericht enthalten. Die drei kollegialen Registratoren hätten gar nicht erst nachfragen müssen.

LÜGE Nr. 7: „Wir werden die Ermittlungen wieder aufnehmen“

„Wiedereröffnung“ impliziert, dass es einmal geöffnet war. Ihre Ermittlungen bestanden darin, den Betrüger anzurufen und seine Aussagen zu notieren. Das sind keine Ermittlungen – das ist Diktat.

Nachweise zur Infrastruktur

Domänen-Netzwerkdiagramm, das gesperrte [REDACTED]-Domänen und vor der Untersuchung registrierte Escape-Domänen zeigt
Screenshot 9 – Das Domain-Escape-Netzwerk: 4 Domains bei 4 Registraren, die alle auf dieselben Server verweisen. Drei davon wurden neutralisiert.
URLScan-Ergebnisse, die zeigen, dass [REDACTED]-Domains über mehrere TLDs hinweg auf dieselben IP-Adressen aufgelöst werden
Screenshot 10 – URLScan-Daten: Alle [REDACTED]-Domains (.com, .cc, .biz, .net, .me, .app) werden auf dieselbe Infrastruktur aufgelöst.
GitHub-Beweismaterial-Repository mit dokumentierten Endpunkten des Diebstahls und Netzwerkaufzeichnungen
Screenshot 11 – Unser GitHub-Repository mit den Beweismaterialien, das die vollständige Analyse der Netzwerkaufzeichnungen enthält. 109 Anfragen und 43 Übertragungen von View-Schlüsseln wurden in einer einzigen Sitzung dokumentiert.

Chronologie: Der Niedergang von [REDACTED]

2016
[REDACTED][.]com nimmt den Betrieb auf und wirbt als „kostenlose Open-Source-Monero-Wallet“
2018
Bediener aus r/Monero gesperrt. Auf Trustpilot tauchen erste Berichte von Betroffenen auf
4. Februar 2026
Die Domain „[REDACTED].cc“ wurde registriert (8 Jahre im Voraus bezahlt) — vor Veröffentlichung der Untersuchungsergebnisse
13. Februar 2026
Ausgabe Nr. 35 erschienen — Mechanismus zur vollständigen TX-Übernahme aufgedeckt
18. Februar 2026
Ausgabe Nr. 36 — Live-Erfassung: 109 Anfragen, 43 Viewkey-Übertragungen in einer einzigen Sitzung
23. Februar 2026
[REDACTED].cc GESPERRT (PDR). [REDACTED].biz GESPERRT (IANA #460). Betreiber löscht versehentlich die Themen Nr. 35 und Nr. 36
26. Februar 2026
Noch mehr Panik: [REDACTED].net und .me wurden registriert (10 Jahre im Voraus bezahlt, gleiche IP-Adressen wie die gesperrten Domains)
8. März 2026
[REDACTED].net DNS nicht erreichbar (IANA #3765). 3 von 4 Fluchtdomänen neutralisiert
März 2026
IANA #1479 veröffentlicht eine Stellungnahme: „Der Registrierte ist das Opfer.“ Trägt dazu bei, Erkennungen durch VirusTotal zu unterdrücken
27. März 2026
Formelle Beschwerde bei der ICANN eingereicht (RAA Abschnitt 3.18). Den Strafverfolgungsbehörden vorgelegte Beweismittel. Dieser Bericht wurde veröffentlicht.

Das Urteil

IANA #1479 hat die Beweise nicht ignoriert. Sie haben sie gelesen, den Betrüger angerufen, ihm geglaubt, ihn für unschuldig erklärt und dazu beigetragen, Sicherheitswarnungen zu unterdrücken. Anschließend forderten sie die Forscher auf, nachzuweisen, dass der Missbrauch „kürzlich“ stattgefunden habe.

Das ist keine Nachlässigkeit. Das ist eine Partnerschaft.

Die Domain ist offline. Der Betrug ist vorbei. Doch die Tatsache, dass ein US-Registrar sich dazu entschlossen hat, öffentlich eine Tarngeschichte zu erfinden, um einen Krypto-Dieb zu schützen, der 2 Millionen Dollar erbeutet hat – das wird IANA #1479 noch sehr lange nachhängen. Ihre Stellungnahme wird von nun an in jedem Schriftsatz als Beweisstück A dienen.

Wer sich für den Dieb verbürgt, muss mit ihm die Rechnung teilen.

Belegmaterial und Quellen

Verwandte Ermittlungen

Diese Untersuchung stützt sich auf öffentlich zugängliche Beweise, Live-Netzwerkaufzeichnungen, OSINT, öffentliche Bewertungsplattformen sowie die wortgetreue öffentliche Stellungnahme von IANA #1479. Es erfolgte kein unbefugter Zugriff. Alle Ergebnisse sind unabhängig reproduzierbar.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings