
La fin de [REDACTED][.]com : IANA #1479 a menti pour protéger un voleur qui avait dérobé 2 millions de dollars
Après 10 ans passés à voler des clés privées Monero, l'opération a été démantelée. Trois bureaux d'enregistrement ont réagi en l'espace de quelques jours. Le quatrième — IANA #1479 — a contacté l'escroc, a cru à son histoire et est devenu son attaché de presse.
Ce qu'a réellement fait [REDACTED][.]com
Depuis 2016, [REDACTED][.]com se présentait comme un portefeuille Monero gratuit et open source. Notre capture en direct du réseau le 18 février 2026 il s'est avéré qu'il menait une activité tout à fait différente : il volait les clés de consultation privées de Monero à chaque connexion et détournait les transactions côté serveur.
Code non injecté — le architecture de base. Un système de session réparti sur 8 points de terminaison PHP, transmettant la clé de visualisation privée de la victime Plus de 40 fois par séance. Lorsque les utilisateurs envoyaient des XMR, leur transaction était discrètement rejetée (raw_tx_and_hash.raw = 0) et remplacé par celui de l'escroc.
Six éditeurs de logiciels de sécurité sur VirusTotal l'ont signalé comme malveillant. Quinze victimes ont été recensées sur Trustpilot, Sitejabber et BitcoinTalk. Une victime a perdu 590 XMR (environ 177 000 $) lors d'un seul vol.
Trois greffiers ont fait leur travail
Nous avons déposé des signalements d'abus identiques auprès des quatre bureaux d'enregistrement hébergeant des domaines [REDACTED]. Trois d'entre eux ont réagi immédiatement :
L'Inde, la Malaisie, la Chine… ont examiné les éléments de preuve, constaté une fraude et suspendu les noms de domaine. Sans poser de questions.
IANA #1479 a choisi une autre voie
Le quatrième greffier — [REDACTED] (États-Unis) — l'hébergeur du domaine principal, celui qui présentait le plus d'éléments de preuve et comptait le plus grand nombre de victimes — a fait exactement le contraire. Il a contacté l'escroc, a cru à son histoire et a publié un communiqué public pour le défendre :
« Notre équipe chargée de la lutte contre les abus a mené une analyse approfondie de ce cas et il semble que ce domaine ait été piraté il y a quelques mois… À l’issue d’une enquête approfondie, notre équipe a trouvé des preuves indiquant que le titulaire du domaine n’était pas impliqué dans ce piratage… Le titulaire s’efforce par ailleurs de faire retirer le site web des rapports VT. »
— IANA #1479, via X (Twitter)
Nous avons analysé cette déclaration ligne par ligne. Toutes ces allégations étaient fausses.
Les propres mots de l'opérateur
Avant l'intervention de IANA #1479, l'opérateur a répondu directement à notre signalement d'abus. Ses e-mails confirment qu'il était au courant et qu'il avait l'intention d'agir :
Sept mensonges dévoilés
Le mécanisme de vol constitue l'architecture centrale : 8 points de terminaison PHP, l'exfiltration de clés en Base64, un Un écart de 5,3 ans entre les commits sur GitHub. Ce système a été mis en place au fil des années, et non pas mis en place à la va-vite.
Six fournisseurs sur VirusTotal, des plaintes sur Trustpilot remontant à plusieurs années, un fil de discussion d'alerte sur BitcoinTalk, l'opérateur banni de r/Monero en 2018. Une simple recherche sur Google aurait suffi pour le découvrir.
L'opérateur s'est inscrit 4 domaines « escape » répartis sur 4 bureaux d'enregistrement (prépayés pour une durée de 5 à 10 ans chacun) avant L'enquête a été rendue publique. J'ai supprimé plus de 21 tickets GitHub. J'ai recruté des développeurs pour mettre en place un système de captcha. Ce n'est pas une victime, c'est une opération.
Le code de vol était en exécution en environnement de production dans la déclaration de IANA #1479. Aucun commit GitHub ne fait état d'un incident quelconque. Rien n'a été annulé.
IANA #1479 a félicité l'escroc pour avoir fait pression en vue de supprimer la détection du « possibly phishing » de Fortinet — sans supprimer le code de hameçonnage. Ce n'est pas faire preuve de bonne foi. C'est masquer les avertissements de sécurité.
Ils ont fait peser la charge de la preuve sur le plaignant afin de pouvoir classer l'affaire. Les éléments de preuve figuraient dans le rapport. Les trois greffiers chargés de l'examen par les pairs n'avaient pas besoin de poser de questions.
« Réouverture » sous-entend que l'établissement avait déjà été ouvert. Leur enquête a consisté à appeler l'escroc et à noter ce qu'il disait. Ce n'est pas une enquête, c'est de la dictée.
Données relatives aux infrastructures
Chronologie : La chute de [REDACTED]
Le verdict
IANA #1479 n'a pas ignoré les preuves. Ils les ont lues, ont appelé l'escroc, l'ont cru, l'ont déclaré innocent et ont contribué à étouffer les alertes de sécurité. Ils ont ensuite demandé aux chercheurs de prouver que l'abus était « récent ».
Ce n'est pas de la négligence. C'est un partenariat.
Le domaine est hors service. L'arnaque est terminée. Mais le fait qu'un registraire américain ait choisi d'inventer publiquement une histoire de façade pour protéger un voleur de cryptomonnaies ayant dérobé 2 millions de dollars — voilà quelque chose qui hantera IANA #1479 pendant très longtemps. Leur communiqué constituera désormais la pièce à conviction n° 1 dans toutes les procédures judiciaires.
Si tu te porte garant pour le voleur, tu devras payer sa part.
Données et ressources
Enquêtes connexes
Cette enquête s'appuie sur des éléments de preuve accessibles au public, des captures en temps réel du réseau, des données OSINT, des plateformes d'avis publiques, ainsi que sur la déclaration publique intégrale de IANA #1479. Aucun accès non autorisé n'a été effectué. Toutes les conclusions sont reproductibles de manière indépendante.