Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / IT / XMRWALLET NAMESILO EXPOSED

La fine di [REDACTED]: IANA #1479 smascherato

The Enablers Registry·Editorial mirror·/it/xmrwallet-namesilo-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

La fine di [REDACTED][.]com: IANA #1479 ha mentito per proteggere un ladro che aveva rubato 2 milioni di dollari

Dopo 10 anni passati a rubare chiavi private di Monero, l’operazione è stata smantellata. Tre registrar sono intervenuti nel giro di pochi giorni. Il quarto — IANA #1479 — ha contattato il truffatore, ha creduto alla sua versione dei fatti e ne è diventato l’addetto stampa.

27 marzo 2026 Ricerca THE ENABLERS REGISTRY 12 minuti di lettura
Indagine su [REDACTED] — IANA #1479 smascherato
Panoramica dell'indagine: Il crollo di [REDACTED][.]com e il ruolo di IANA #1479 nella protezione del truffatore.
$2M+
Stima dei furti
10
Anni di attività
3/4
Registrari sospesi
7
Le menzogne di IANA #1479 sono state smascherate
8
Endpoint PHP per il furto

Cosa ha fatto in realtà [REDACTED][.]com

Dal 2016, [REDACTED][.]com si è presentato come un portafoglio Monero gratuito e open source. Il nostro acquisizione in tempo reale della rete il 18 febbraio 2026 ha dimostrato che stava facendo qualcosa di molto diverso: rubare le chiavi di visualizzazione private di Monero ad ogni accesso e dirottare le transazioni a livello di server.

Attacco di esfiltrazione delle chiavi di Monero — un portatile che trasmette le chiavi rubate al server del truffatore
Screenshot 1 — Il meccanismo di furto: ogni accesso al portafoglio trasmetteva la chiave privata "view key" di Monero della vittima al server del truffatore tramite codifica Base64.
Meccanismo di base del furto

Codice non iniettato — il architettura di base. Un sistema di sessioni che coinvolge 8 endpoint PHP, che trasmette la chiave privata di visualizzazione della vittima Oltre 40 volte per sessione. Quando gli utenti inviavano XMR, la loro transazione veniva silenziosamente scartata (raw_tx_and_hash.raw = 0) e sostituito con quello del truffatore.

L'utente apre il portafoglio
Chiave visualizzata (Base64)
TX dirottato lato server
XMR inviati al truffatore
8 endpoint dell'API PHP utilizzati per il furto delle chiavi di visualizzazione — Repository delle prove su GitHub
Screenshot 2 — Gli 8 endpoint PHP documentati nel nostro repository di prove su GitHub. Ciascun endpoint fa parte della catena di esfiltrazione di session_key/view_key.

Sei fornitori di soluzioni di sicurezza su VirusTotal lo hanno segnalato come dannoso. Quindici vittime documentate su Trustpilot, Sitejabber e BitcoinTalk. Una vittima ha perso 590 XMR (~177.000 $) in un unico furto.

La scansione di VirusTotal mostra che 6 fornitori su 93 segnalano [REDACTED] come sito dannoso, tra cui il sistema di rilevamento del phishing di Fortinet
Screenshot 3 — VirusTotal: 6 fornitori su 93 hanno segnalato [REDACTED] come sito dannoso. Fortinet lo ha classificato come “Possibly phishing”.
ScamAdviser indica [REDACTED] come "molto probabilmente non sicuro", con un punteggio di affidabilità pari a 1 su 100
Screenshot 4 — ScamAdviser: Punteggio di affidabilità 1/100. “Molto probabilmente non sicuro.”

Tre funzionari dell’anagrafe hanno fatto il loro dovere

Abbiamo presentato segnalazioni di abuso identiche a tutti e quattro i registrar che ospitano domini [REDACTED]. Tre di essi hanno agito immediatamente:

Tre porte chiuse a chiave, che simboleggiano i registrar sospesi, e una porta aperta, che simboleggia il rifiuto di IANA #1479 di intervenire
Screenshot 5 — Tre registrar hanno chiuso a chiave le porte. IANA #1479 ha lasciato la propria spalancata al truffatore.

Registro del pubblico dominio

Sospeso

India · Giorni per agire

IANA #460

Sospeso

Malesia · Giorni per agire

IANA #3765

DNS non funzionante

Cina · Ancora poche settimane per agire

IANA #1479

Rifiutato

Stati Uniti · Truffatore difeso

Tre paesi. Tre conclusioni indipendenti.

India, Malesia, Cina: hanno esaminato le prove, hanno riscontrato una frode e hanno sospeso i domini. Senza fare domande.

IANA #1479 ha scelto una strada diversa

Il quarto cancelliere — [REDACTED] (USA) — che ospitava il dominio principale, quello con il maggior numero di prove e di vittime — ha fatto esattamente il contrario. Ha contattato il truffatore, ha creduto alla sua versione dei fatti e ha pubblicato una dichiarazione pubblica in sua difesa:

Dichiarazione pubblica di IANA #1479 su Twitter in difesa del gestore di [REDACTED], il quale sostiene che il dominio sia stato compromesso
Screenshot 6 — Dichiarazione pubblica di IANA #1479 su X (Twitter), 12 marzo 2026. Tutte le affermazioni contenute in questo post erano false.
“Il nostro team dedicato agli abusi ha condotto un’analisi approfondita del caso e sembra che il dominio sia stato compromesso alcuni mesi fa... A seguito di un’indagine approfondita, il nostro team ha trovato prove che indicano che la compromissione non ha coinvolto il registrante... Il registrante sta inoltre provvedendo a far rimuovere il sito web dai rapporti di VT.”

IANA #1479, su X (Twitter)

Abbiamo analizzato questa affermazione riga per riga. Tutte le affermazioni erano false.

Le parole dello stesso operatore

Prima che IANA #1479 intervenisse, l'operatore ha risposto direttamente alla nostra segnalazione di abuso. Le sue e-mail confermano che era a conoscenza della situazione e che aveva intenzione di agire:

Risposta via e-mail dell'amministratore di [REDACTED] in cui si sostiene che non si tratti di phishing e che il servizio sia attivo da 8 anni
Screenshot 7 — Risposta dell'operatore: «Non si tratta di possibly phishing, siamo attivi da oltre 8 anni».
Risposta via e-mail dell'operatore di [REDACTED] in cui si negano le accuse di furto e si difendono le pratiche di raccolta dei dati
Screenshot 8 — Seconda risposta dell'operatore: «Questi sono i dati di cui abbiamo bisogno per fornire il servizio». I «dati» erano la chiave di visualizzazione privata della vittima.

Sette bugie smascherate

BUGIA N. 1: “Il dominio è stato compromesso”

Il meccanismo di furto costituisce l'architettura centrale: 8 endpoint PHP, esfiltrazione di chiavi Base64, un Un intervallo di 5,3 anni tra i commit su GitHub. Questo sistema è stato sviluppato nel corso degli anni, non messo insieme in fretta e furia.

BUGIA N. 2: «Non avevamo ricevuto alcuna segnalazione di abusi in precedenza»

Sei fornitori su VirusTotal, reclami su Trustpilot che risalgono a diversi anni fa, un thread di avvertimento su BitcoinTalk, l'operatore bannato da r/Monero nel 2018. Bastava una semplice ricerca su Google per scoprirlo.

BUGIA N. 3: “Non coinvolgere il soggetto registrato”

L'operatore si è registrato 4 domini di escape distribuiti su 4 registrar (prepagati per 5-10 anni ciascuno) prima L'indagine è stata resa pubblica. Sono state eliminate oltre 21 segnalazioni su GitHub. Sono stati assunti degli sviluppatori per realizzare un sistema CAPTCHA. Non si tratta di una vittima, ma di un'operazione.

BUGIA N. 4: «Hanno immediatamente adottato misure per porvi rimedio»

Il codice relativo al furto era in esecuzione nell'ambiente di produzione nel corso della dichiarazione di IANA #1479. Nessun commit su GitHub relativo a alcun incidente. Non è stato annullato nulla.

BUGIA N. 5: “Ci stiamo adoperando per essere rimossi dall’elenco di VirusTotal”

IANA #1479 ha elogiato il truffatore per aver esercitato pressioni affinché venisse rimossa la funzione di rilevamento del “possibly phishing” di Fortinet — senza rimuovere il codice di possibly phishing. Questa non è buona fede. Si tratta di nascondere gli avvisi di sicurezza.

BUGIA N. 6: «L’abuso è recente?»

Spostare l’onere della prova sul segnalante per poter archiviare il caso. Le prove erano contenute nella segnalazione. Non era necessario che i tre colleghi addetti alla registrazione facessero ulteriori domande.

BUGIA N. 7: «Riapriremo l’indagine»

"Riaprire" implica che un tempo fosse aperto. La loro indagine è consistita nel chiamare il truffatore e prendere nota di ciò che diceva. Quella non è un'indagine: è un dettato.

Dati relativi alle infrastrutture

Diagramma della rete dei domini che mostra i domini [REDACTED] sospesi e i domini di fuga registrati prima dell'indagine
Screenshot 9 — La rete di evasione dei domini: 4 domini distribuiti su 4 registrar, tutti puntanti agli stessi server. Tre sono stati neutralizzati.
Risultati di URLScan che mostrano come i domini [REDACTED] rimandino agli stessi indirizzi IP su più TLD
Screenshot 10 — Dati di URLScan: tutti i domini [REDACTED] (.com, .cc, .biz, .net, .me, .app) puntano alla stessa infrastruttura.
Repository di prove su GitHub che mostra gli endpoint oggetto di furto documentati e le acquisizioni di rete
Screenshot 11 — Il nostro repository di prove su GitHub con l'analisi completa della cattura di rete. 109 richieste e 43 trasmissioni di chiavi di visualizzazione documentate in un'unica sessione.

Cronologia: La caduta di [REDACTED]

2016
[REDACTED][.]com entra in funzione, presentandosi come “portafoglio Monero gratuito e open source”
2018
Operatore bannato da r/Monero. Su Trustpilot compaiono le prime recensioni delle vittime
4 febbraio 2026
Dominio Escape [REDACTED].cc registrato (8 anni prepagati) — prima della pubblicazione dei risultati dell'indagine
13 febbraio 2026
Pubblicato il numero 35 — Meccanismo completo di dirottamento TX scoperto
18 febbraio 2026
Numero 36 — acquisizione in tempo reale: 109 richieste, 43 trasmissioni di viewkey in una singola sessione
23 febbraio 2026
[REDACTED].cc SOSPESO (PDR). [REDACTED].biz SOSPESO (IANA #460). L'operatore cancella in preda al panico i numeri #35 e #36
26 febbraio 2026
Ancora panico: [REDACTED].net e .me sono stati registrati (abbonamento prepagato di 10 anni, stessi indirizzi IP dei domini sospesi)
8 marzo 2026
[REDACTED].net DNS NON FUNZIONANTE (IANA #3765). 3 dei 4 domini di fuga neutralizzati
Marzo 2026
IANA #1479 pubblica una dichiarazione: «Il soggetto registrato è la vittima.» Aiuta a eludere i rilevamenti di VirusTotal
27 marzo 2026
Presentato reclamo formale all’ICANN (Sezione 3.18 del RAA). Prove trasmesse alle forze dell'ordine. Pubblicazione del presente rapporto.

Il verdetto

IANA #1479 non ha ignorato le prove. Le ha esaminate, ha contattato il truffatore, gli ha creduto, lo ha dichiarato innocente e ha contribuito a insabbiare gli avvisi di sicurezza. Poi ha chiesto ai ricercatori di dimostrare che l’abuso fosse “recente”.

Questa non è negligenza. È una collaborazione.

Il dominio è fuori servizio. La truffa è finita. Ma il fatto che un registrar statunitense abbia deciso di inventare pubblicamente una storia di copertura per proteggere un ladro di criptovalute che ha rubato 2 milioni di dollari — questo è qualcosa che perseguiterà IANA #1479 per molto tempo. La loro dichiarazione sarà la prova numero uno in ogni atto processuale da questo momento in poi.

Se fai da garante per il ladro, ti ritrovi a pagare la sua parte.

Prove e risorse

Indagini correlate

La presente indagine si basa su prove di dominio pubblico, acquisizioni in tempo reale della rete, OSINT, piattaforme di recensioni pubbliche e sulla dichiarazione pubblica integrale rilasciata dalla stessa IANA #1479. Non è stato effettuato alcun accesso non autorizzato. Tutti i risultati sono riproducibili in modo indipendente.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings