Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / FR / XMRWALLET NAMESILO EXPOSED

La fin de [REDACTED] : IANA #1479 démasqué

The Enablers Registry·Editorial mirror·/fr/xmrwallet-namesilo-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

La fin de [REDACTED][.]com : IANA #1479 a menti pour protéger un voleur qui avait dérobé 2 millions de dollars

Après 10 ans passés à voler des clés privées Monero, l'opération a été démantelée. Trois bureaux d'enregistrement ont réagi en l'espace de quelques jours. Le quatrième — IANA #1479 — a contacté l'escroc, a cru à son histoire et est devenu son attaché de presse.

27 mars 2026 THE ENABLERS REGISTRY Research 12 minutes de lecture
Enquête sur [REDACTED] — IANA #1479 démasqué
Aperçu de l'enquête : la chute de [REDACTED][.]com et le rôle de IANA #1479 dans la protection de l'escroc.
$2M+
Vol présumé
10
Années d'activité
3/4
Bureaux d'enregistrement suspendus
7
Les mensonges de IANA #1479 ont été démasqués
8
Points de terminaison PHP volés

Ce qu'a réellement fait [REDACTED][.]com

Depuis 2016, [REDACTED][.]com se présentait comme un portefeuille Monero gratuit et open source. Notre capture en direct du réseau le 18 février 2026 il s'est avéré qu'il menait une activité tout à fait différente : il volait les clés de consultation privées de Monero à chaque connexion et détournait les transactions côté serveur.

Attaque par exfiltration de clés « Monero View » — un ordinateur portable transmet des clés volées au serveur d'un escroc
Capture d'écran n° 1 — Le mécanisme de vol : chaque connexion au portefeuille transmettait la clé de vue privée Monero de la victime au serveur de l'escroc via un encodage Base64.
Mécanisme central de vol

Code non injecté — le architecture de base. Un système de session réparti sur 8 points de terminaison PHP, transmettant la clé de visualisation privée de la victime Plus de 40 fois par séance. Lorsque les utilisateurs envoyaient des XMR, leur transaction était discrètement rejetée (raw_tx_and_hash.raw = 0) et remplacé par celui de l'escroc.

L'utilisateur ouvre son portefeuille
Clé exfiltrée (Base64)
TX détourné côté serveur
XMR envoyés à un escroc
8 points de terminaison de l'API PHP utilisés pour le vol de clés de vue — Référentiel de preuves sur GitHub
Capture d'écran n° 2 — Les 8 points de terminaison PHP répertoriés dans notre référentiel de preuves sur GitHub. Chaque point de terminaison intervient dans la chaîne d'exfiltration des clés session_key et view_key.

Six éditeurs de logiciels de sécurité sur VirusTotal l'ont signalé comme malveillant. Quinze victimes ont été recensées sur Trustpilot, Sitejabber et BitcoinTalk. Une victime a perdu 590 XMR (environ 177 000 $) lors d'un seul vol.

L'analyse effectuée par VirusTotal montre que 6 fournisseurs sur 93 signalent [REDACTED] comme malveillant, notamment la détection de phishing de Fortinet.
Capture d'écran n° 3 — VirusTotal : 6 fournisseurs sur 93 ont signalé [REDACTED] comme malveillant. Fortinet l'a classé dans la catégorie « Hameçonnage ».
ScamAdviser classe [REDACTED] comme « très probablement dangereux », avec un score de confiance de 1 sur 100.
Capture d'écran n° 4 — ScamAdviser : note de confiance 1/100. « Très probablement dangereux. »

Trois greffiers ont fait leur travail

Nous avons déposé des signalements d'abus identiques auprès des quatre bureaux d'enregistrement hébergeant des domaines [REDACTED]. Trois d'entre eux ont réagi immédiatement :

Trois portes verrouillées symbolisant les registraires suspendus et une porte ouverte symbolisant le refus de IANA #1479 d'agir
Capture d'écran n° 5 — Trois registraires ont verrouillé leurs portes. IANA #1479, quant à lui, a laissé la sienne grande ouverte au fraudeur.

Registre du domaine public

Suspendu

Inde · Il reste encore quelques jours pour agir

IANA #460

Suspendu

Malaisie · Il reste encore quelques jours pour agir

IANA #3765

DNS hors service

Chine · Il reste quelques semaines pour agir

IANA #1479

Refusé

États-Unis · A défendu un escroc

Trois pays. Trois conclusions indépendantes.

L'Inde, la Malaisie, la Chine… ont examiné les éléments de preuve, constaté une fraude et suspendu les noms de domaine. Sans poser de questions.

IANA #1479 a choisi une autre voie

Le quatrième greffier — [REDACTED] (États-Unis) — l'hébergeur du domaine principal, celui qui présentait le plus d'éléments de preuve et comptait le plus grand nombre de victimes — a fait exactement le contraire. Il a contacté l'escroc, a cru à son histoire et a publié un communiqué public pour le défendre :

Déclaration publique de IANA #1479 sur X (Twitter) défendant l'opérateur de [REDACTED], qui affirme que le domaine a été piraté
Capture d'écran n° 6 — Déclaration publique de IANA #1479 sur X (Twitter), le 12 mars 2026. Toutes les affirmations contenues dans ce message étaient fausses.
« Notre équipe chargée de la lutte contre les abus a mené une analyse approfondie de ce cas et il semble que ce domaine ait été piraté il y a quelques mois… À l’issue d’une enquête approfondie, notre équipe a trouvé des preuves indiquant que le titulaire du domaine n’était pas impliqué dans ce piratage… Le titulaire s’efforce par ailleurs de faire retirer le site web des rapports VT. »

IANA #1479, via X (Twitter)

Nous avons analysé cette déclaration ligne par ligne. Toutes ces allégations étaient fausses.

Les propres mots de l'opérateur

Avant l'intervention de IANA #1479, l'opérateur a répondu directement à notre signalement d'abus. Ses e-mails confirment qu'il était au courant et qu'il avait l'intention d'agir :

Réponse par e-mail de l'opérateur de [REDACTED] affirmant qu'il ne s'agit pas d'une tentative d'hameçonnage et que le service fonctionne depuis 8 ans
Capture d'écran n° 7 — Réponse de l'opérateur : « Ce n'est pas une tentative d'hameçonnage, nous existons depuis plus de 8 ans. »
Réponse par e-mail de l'opérateur de [REDACTED] réfutant les accusations de vol et défendant ses pratiques en matière de collecte de données
Capture d'écran n° 8 — Deuxième réponse de l'opérateur : « Voici les données dont nous avons besoin pour vous fournir ce service. » Ces « données » correspondaient à la clé de visualisation privée de la victime.

Sept mensonges dévoilés

MENSONGE N° 1 : « Le nom de domaine a été piraté »

Le mécanisme de vol constitue l'architecture centrale : 8 points de terminaison PHP, l'exfiltration de clés en Base64, un Un écart de 5,3 ans entre les commits sur GitHub. Ce système a été mis en place au fil des années, et non pas mis en place à la va-vite.

MENSONGE N° 2 : « Nous n’avions reçu aucun signalement d’abus auparavant »

Six fournisseurs sur VirusTotal, des plaintes sur Trustpilot remontant à plusieurs années, un fil de discussion d'alerte sur BitcoinTalk, l'opérateur banni de r/Monero en 2018. Une simple recherche sur Google aurait suffi pour le découvrir.

MYTHE N° 3 : « Ne pas impliquer le déclarant »

L'opérateur s'est inscrit 4 domaines « escape » répartis sur 4 bureaux d'enregistrement (prépayés pour une durée de 5 à 10 ans chacun) avant L'enquête a été rendue publique. J'ai supprimé plus de 21 tickets GitHub. J'ai recruté des développeurs pour mettre en place un système de captcha. Ce n'est pas une victime, c'est une opération.

MENSONGE N° 4 : « Ils ont immédiatement pris des mesures pour y remédier »

Le code de vol était en exécution en environnement de production dans la déclaration de IANA #1479. Aucun commit GitHub ne fait état d'un incident quelconque. Rien n'a été annulé.

MYTHE N° 5 : « Nous nous efforçons d'être retirés de la liste de VirusTotal »

IANA #1479 a félicité l'escroc pour avoir fait pression en vue de supprimer la détection du « possibly phishing » de Fortinet — sans supprimer le code de hameçonnage. Ce n'est pas faire preuve de bonne foi. C'est masquer les avertissements de sécurité.

MENSONGE N° 6 : « Ces abus sont-ils récents ? »

Ils ont fait peser la charge de la preuve sur le plaignant afin de pouvoir classer l'affaire. Les éléments de preuve figuraient dans le rapport. Les trois greffiers chargés de l'examen par les pairs n'avaient pas besoin de poser de questions.

MENSONGE N° 7 : « Nous allons rouvrir l'enquête »

« Réouverture » sous-entend que l'établissement avait déjà été ouvert. Leur enquête a consisté à appeler l'escroc et à noter ce qu'il disait. Ce n'est pas une enquête, c'est de la dictée.

Données relatives aux infrastructures

Schéma du réseau de domaines indiquant les domaines [REDACTED] suspendus et les domaines « d'échappement » enregistrés avant l'enquête
Capture d'écran n° 9 — Le réseau d'évasion de domaines : 4 domaines répartis entre 4 bureaux d'enregistrement, pointant tous vers les mêmes serveurs. Trois d'entre eux ont été neutralisés.
Résultats d'URLScan indiquant que les domaines [REDACTED] pointent vers les mêmes adresses IP sur plusieurs TLD
Capture d'écran 10 — Données d'URLScan : tous les domaines [REDACTED] (.com, .cc, .biz, .net, .me, .app) renvoient vers la même infrastructure.
Dépôt de preuves sur GitHub présentant les points d'accès liés au vol ainsi que des captures réseau
Capture d'écran n° 11 — Notre référentiel de preuves sur GitHub contenant l'analyse complète des données de capture réseau. 109 requêtes et 43 transmissions de clés de consultation ont été recensées au cours d'une seule session.

Chronologie : La chute de [REDACTED]

2016
[REDACTED][.]com est désormais opérationnel et se présente comme un « portefeuille Monero gratuit et open source »
2018
Opérateur banni de r/Monero. Les premiers témoignages de victimes apparaissent sur Trustpilot
4 février 2026
Enregistrement du nom de domaine [REDACTED].cc (8 ans prépayés) — avant la publication des résultats de l'enquête
13 février 2026
Parution du n° 35 — Le mécanisme complet de détournement des paquets TX a été mis au jour
18 février 2026
Numéro 36 — capture en direct : 109 requêtes, 43 transmissions de « viewkey » au cours d'une même session
23 février 2026
[REDACTED].cc SUSPENDU (PDR). [REDACTED].biz SUSPENDU (IANA #460). Un opérateur supprime par erreur les numéros #35 et #36
26 février 2026
Encore plus de panique : les noms de domaine [REDACTED].net et .me ont été enregistrés (abonnement prépayé de 10 ans, mêmes adresses IP que les domaines suspendus)
8 mars 2026
[REDACTED].net : DNS INACTIF (IANA #3765). 3 des 4 domaines d'échappement ont été neutralisés
mars 2026
IANA #1479 publie un communiqué : « C'est la personne inscrite au registre qui est la victime. » Permet de contourner les détections de VirusTotal
27 mars 2026
Dépôt d'une plainte officielle auprès de l'ICANN (RAA, section 3.18). Éléments de preuve transmis aux forces de l'ordre. Publication du présent rapport.

Le verdict

IANA #1479 n'a pas ignoré les preuves. Ils les ont lues, ont appelé l'escroc, l'ont cru, l'ont déclaré innocent et ont contribué à étouffer les alertes de sécurité. Ils ont ensuite demandé aux chercheurs de prouver que l'abus était « récent ».

Ce n'est pas de la négligence. C'est un partenariat.

Le domaine est hors service. L'arnaque est terminée. Mais le fait qu'un registraire américain ait choisi d'inventer publiquement une histoire de façade pour protéger un voleur de cryptomonnaies ayant dérobé 2 millions de dollars — voilà quelque chose qui hantera IANA #1479 pendant très longtemps. Leur communiqué constituera désormais la pièce à conviction n° 1 dans toutes les procédures judiciaires.

Si tu te porte garant pour le voleur, tu devras payer sa part.

Données et ressources

Enquêtes connexes

Cette enquête s'appuie sur des éléments de preuve accessibles au public, des captures en temps réel du réseau, des données OSINT, des plateformes d'avis publiques, ainsi que sur la déclaration publique intégrale de IANA #1479. Aucun accès non autorisé n'a été effectué. Toutes les conclusions sont reproductibles de manière indépendante.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings