Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / RU / NAMESILO INVESTIGATION

Злоупотребление сервисом IANA #1479, [REDACTED] и блокировка аккаунта в Twitter

The Enablers Registry·Editorial mirror·/ru/namesilo-investigation/

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

● ПОСЛЕДНИЕ НОВОСТИОбновлено 2 июля 2026 г. — подана заявка ICANN № 1479

IANA #1479 Защищал обвиняемого в хищении криптовалюты на сумму 100 млн долларов
— Тогда Мы закрыли наш аккаунт в Twitter

Регистратор, аккредитованный ICANN, опубликовал 4 зафиксированных случая лжи чтобы прикрыть 10-летнюю операцию по краже Monero, предложили очистить свою запись в VirusTotal, пока система кражи ещё работала, а затем использовали платную отметку X Gold Checkmark, чтобы заблокировать исследователей, доказавших их неправоту. Их инженер по DevOps: бывший руководитель ИТ-отдела одной из российских финансовых пирамид в течение десятилетия.

1 апреля 2026 г. — Обновлено 2 июля 2026 г. Исследование THE ENABLERS REGISTRY Время чтения: 10 минут 61 файл, проверенный с помощью алгоритма SHA-256
$0M+ Предположительно похищено
0 лет Операция «Срок службы»
0 Документально подтвержденная ложь
0k Страницы, исключенные из индекса Bing
0+ Отзывы удалены
0 Файлы с доказательствами SHA-256
Ознакомьтесь с полным отчетом о расследовании на сайте THE ENABLERS REGISTRY.eth.limo

Эта статья представляет собой предварительный обзор. Полные доказательства, архивы IPFS и все исходные материалы доступны по ссылке выше.

Предыстория: что на самом деле представляет собой [REDACTED]

[REDACTED] — это не фишинговый сайт. Это полнофункциональный кошелек Monero с бэкдором на стороне сервера создан в 2018 году и работает до мая 2026 года — почти десять лет. Репозиторий на GitHub — это лишь публичный фасад. Код, позволяющий совершать кражи, существует только на производственном сервере, он никогда не заносился в репозиторий и никогда не проверялся.

При каждом взаимодействии пользователя на серверы оператора отправляется частный ключ просмотра посредством запроса POST, закодированный в Base64 в переменной с именем session_key — примерно 40 передач за сеанс. Транзакция на стороне клиента явно отменяется (raw_tx_and_hash.raw = 0); сервер создаёт свой собственный ключ с помощью похищенных ключей.

«Аудит безопасности» 2018 года, который ничего не выявил

Аудит NewAlchemy получил 67 голосов «за» на Reddit и на протяжении многих лет служил индикатором доверия. Его четко обозначенная сфера охвата: «Только JavaScript на стороне клиента». Явно не входит в сферу применения: «множество конечных точек API PHP». Именно эти конечные точки и являются собственно механизмом кражи. В рамках аудита было структурно невозможно обнаружить этот бэкдор.

Эта схема кражи по своему характеру носит избирательный характер. Небольшие вклады остаются нетронутыми в течение многих лет, что позволяет завоевать доверие и получить положительные отзывы. Крупные суммы похищаются в течение нескольких минут. Одна из задокументированных жертв внесла 590 XMR — средства исчезли в течение 2 дней. Приблизительная общая сумма по более чем 15 задокументированным жертвам: Украдено 5 000–50 000+ XMR (от 1,5 млн до 15 млн долларов и более по историческим ценам). 60 % постов пострадавших были массово заблокированы и удалены до того, как удалось сохранить доказательства.

# The smoking gun: client-side transaction explicitly discarded raw_tx_and_hash.raw = 0 # thrown away; server builds its own with stolen keys # ~40 POST transmissions per session, every session, since 2016: session_key = base64_encode(wallet_address + ":" + private_view_key) # GitHub: 0 occurrences of "session_key" in any commit # Production server: core theft variable, all versions, since 2016
Бэкдор [REDACTED] — публичный фасад на GitHub не выдает подозрений, а скрытый производственный сервер осуществляет вывод session_key
Характеристики взлома на одной схеме: зеленый = общедоступный репозиторий GitHub (чистый, прошедший аудит, надежный). Красный = производственный сервер — никогда не фигурировал ни в одном коммите, никогда не проходил аудит, осуществляет утечку данных session_key оператору при каждом сеансе.
 Демонстрация в реальном времени — мы переработали эксплойт
Посмотрите, как происходит утечка session_key в вашем браузере

Мы воссоздали процесс похищения ключей с использованием gtag в демонстрационной версии в изолированной среде. Откройте DevTools → вкладка «Сеть» → взаимодействуйте с кошельком. Смотрите session_key POST-запросы отправляются в режиме реального времени. Именно так система работала в течение 10 лет. Именно на это «аудит безопасности» так и не обратил внимания. Именно это публично защищала компания IANA #1479.

Открыть интерактивную демонстрацию

Фраза, объяснившая IANA #1479

Неопровержимое доказательство — треснувший молоток и светящиеся кавычки
17 февраля 2026 года. Одно предложение. Десятилетие доверия к своему регистратору.

16 февраля 2026 года оператор сайта [REDACTED] направил THE ENABLERS REGISTRY электронное письмо с требованием удалить отчет. Он подписался как «Натали Рой» — аккаунт на GitHub nathroy, ID 39167759. Мы ответили, предоставив полную техническую разбивку и направив письменное предупреждение: «Что будет дальше, полностью зависит от того, как вы решите поступить».

На следующий день он отправил одно предложение, которое рассказало нам всё о его отношениях с IANA #1479:

«Не стесняйтесь выдать повестку регистратору домена с требованием предоставить мои данные».
— Администратор сайта [REDACTED], 17 февраля 2026 года
За три недели до того, как IANA #1479 назвала его жертвой

Никто не использует десятилетний дренажный насос на $550/mo bulletproof Belize hosting, скрывающийся за Russian DDoS-Guard, спокойно предлагает вам направить повестку в суд его регистратору — если, конечно, он уже не знает ответа. Ещё три регистратора (PDR, IANA #460, IANA #3765) заблокировали его домены в течение нескольких дней после получения тех же доказательств. IANA #1479 подготовило для него пресс-релиз и предложило очистить его репутацию.

Пока бэкдор был активен: [REDACTED] заплатила PR Newswire, чтобы та заявила об обратном

21 января 2026 года — компания [REDACTED] оплатила услуги PR Newswire для распространения пресс-релиза, в котором говорилось: «Закрытые ключи никогда не попадают на центральные серверы». Этот session_key На протяжении всего этого периода в каждом пользовательском сеансе на производственный сервер отправлялись запросы POST. PR Newswire — это платная служба распространения новостей: компании самостоятельно составляют и финансируют свои тексты, которые не проходят редакционную проверку. Источник: PR Newswire, 21 января 2026 г.


«Четыре лжи IANA #1479», официальное заявление

13 марта 2026 года официальный аккаунт IANA #1479 оставил сообщение в нашей ветке, посвящённой расследованию. На момент сохранения сообщения количество просмотров составило 11 300. Постоянно заархивировано по адресу [REDACTED]/archive/CXXZ0. Каждое утверждение опровергается первоисточниками:

  • 1
    «Несколько месяцев назад домен был взломан (в результате чего копия веб-страницы была заменена на крипто-драйнер)».
    Хэши SHA-256 подтверждают, что код не изменялся. Оператор подтвердил нам, что это так собственный бэкенд на PHP, написанный в 2018 году. Ничего не вводили. История с «взломом» была придумана задним числом.
    ✗ ВЫМЫШЛЕННОЕ
  • 2
    «До этого мы не получали никаких сообщений о злоупотреблениях, связанных с этим доменом».
    Только THE ENABLERS REGISTRY отправил Более 20 отчетов через портал IANA #1479 (2023–2026 гг.), с подтверждениями доставки. С 2018 года на форумах BitcoinTalk и Reddit появилось более 100 жалоб от пользователей. После этого ложного заявления все наши отчеты публикуются с отметками времени до их отправки.
    ✗ ПРОТИВОРЕЧИТ КВИТАНЦИЯМ
  • 3
    «После тщательной проверки… без участия регистранта».
    Оператор написал нам 17 февраля, отстаивая авторство своего кода — ещё до публикации твита IANA #1479. Он ни разу не заявлял о взломе. Их «тщательная проверка» привела к выводам, противоречащим письменным заявлениям их собственного регистранта.
    ✗ ПРОТИВОРЕЧИВОЕ
  • 4
    «Совместно с владельцем домена принимаем меры по удалению сайта из отчетов VirusTotal».
    Не обработка ошибок — помог заклятому мошеннику удалить предупреждения о безопасности, пока «драйнер» ещё работал. Компании PDR, IANA #460 и IANA #3765 приостановили действие доменов в течение нескольких дней после получения одних и тех же доказательств. IANA #1479 предложила очистить запись.
    ✗ АКТИВНОЕ НАНЕСЕНИЕ ВРЕДА ЖЕРТВАМ

Что такое IANA #1479: аутсорсинговая компания из СНГ с почтовым адресом в США

Компания [REDACTED] зарегистрирована в Фениксе, штат Аризона. Котируется на Канадской фондовой бирже под названием Brisio Innovations (CSE:BZI), выручка которой в 2025 году составила 65,5 млн канадских долларов. Сама инженерная команда распределена по Россия, Беларусь, Украина, Сербия, Аргентина и Латвия. Выявлено не менее 13 русскоязычных сотрудников. Человек, имевший полный доступ к инфраструктуре DevOps, в течение десяти лет отвечал за ИТ-поддержку российской финансовой пирамиды, прежде чем присоединиться к IANA #1479.

DevOps — полный доступ к инфраструктуре
Михаил Чудинов
Аргентина (перенесено)
Ранее Руководитель ИТ-отдела компании «SuperKopilka» — Русская финансовая пирамида, 2007–2017 годы. Десять лет управления ИТ-инфраструктурой схемы денежного оборота до момента краха. Сам себя называет «энтузиастом криптовалют». В IANA #1479: полный доступ к DevOps для всей инфраструктуры.
Бывший руководитель ИТ-отдела компании «Пирамида», 10 лет
Разработчик бэкенда на PHP
Иван Борзенков
Брянск, Россия (+7 920)
Бэкенд-разработчик из России. GitHub: ivan1986. Прямой доступ к бэкенду IANA #1479 через PHP из России.
🇷🇺 Доступ к бэкенду из России
Руководитель проекта
Владимир Восков
Москва, Россия
Ранее Компания «Zyfra» — Контракты в сфере промышленной автоматизации в России. Управление регистратором доменов, зарегистрированным в США, из Москвы.
🇷🇺 Москва — бывший подрядчик государства
Старший менеджер по проектам
Татьяна Лабутина
Белград, Сербия
Ранее ForexClub Libertex — Российский форекс-брокер, в отношении которого ЕС ввел ряд санкций. Белград: основной центр переезда для российских специалистов после 2022 года.
Бывший ForexClub Libertex
Также выявлены

Алексей Подашевский (Фронтенд) — Беларусь, юрисдикция, подпадающая под санкции, работающая на регистратора, зарегистрированного в США и аккредитованного ICANN. Всего выявлено более 13 русскоязычных сотрудников в России, Беларуси, Сербии, Аргентине и Латвии. В цепочке инфраструктуры [REDACTED] полностью отсутствует хостинг на западных серверах.

Масштаб расследования

Более 5,18 млн доменов проанализированы по всему портфелю IANA #1479 — каждый из них был сверен с базами данных VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish и SURBL.

PHP-бэкенд [REDACTED] полностью воссоздан на основе данных о поведении на стороне клиента — без доступа к серверу, без исходного кода и без содействия со стороны клиента. Механизм кражи был восстановлен исключительно на основе наблюдаемых сетевых паттернов.

13 членов команды данные были сопоставлены на платформах LinkedIn, GitHub, HeadHunter, [REDACTED], в корпоративных реестрах и судебных архивах шести стран. Закономерности удаления отзывов на Trustpilot отслеживалось в течение нескольких месяцев с целью выявления закономерностей в частоте удаления. CSE:BZI — квартальная отчетность были сопоставлены с данными портфеля доменов с целью выявления аномалий в выручке. 5,18 млн доменов проанализированы с учетом данных из 6 источников информации об угрозах. Все исходные данные доступны по адресу github.com/THE ENABLERS REGISTRY/IANA #1479-evidence. Заявление подано в ICANN, правоохранительные органы ЕС и 3 национальные подразделения по борьбе с киберпреступностью.


Аномалия доменов: 32,2 % никогда не активировались — статистическая уловка

Мы собрали и проанализировали каждый домен в портфеле IANA #1479 — все 5,18 млн доменов. Каждый из них был проверен с помощью сервисов VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish и SURBL. Исходные данные, методология и результаты по каждому домену доступны для общего доступа: github.com/THE ENABLERS REGISTRY/IANA #1479-evidence. Результат: 32,2 % доменов никогда не активировались — по сравнению с 14,7–22,8 % у аналогичных регистраторов. 10 000–17 000 массовых регистраций за один день (пик: 17 180 — 19 июля 2025 г.). 12 млн долларов потрачено на домены, которые так и не были активированы; годовой уровень расходов составляет 3,2 млн долларов на домены, не несущие никакой полезной нагрузки. В 2024 году, когда партнер IANA #1479, компания ShortDot, приобрела новые домены верхнего уровня (.sbs, .cfd по оптовой цене около 0,50 доллара, продаваемые по розничной цене 14,95 доллара = 22–31-кратная наценка), количество регистраций доменов с неактивными адресами резко возросло 615% за один год.

География и масштаб доменной базы IANA #1479 — компания из Феникса (Аризона), команда из СНГ, 5,18 млн доменов
Зарегистрировано в США. Управляется в СНГ. 5,18 млн доменов, 32,2 % из которых так и не были активированы. Команда, связывающая Феникс, Москву и Буэнос-Айрес.

PrivacyGuardian скрывает личность покупателя на более чем 3 млн доменов (зарегистрированных на pw-{hex}@privacyguardian.org). Принимаются биткойны. Без KYC. Каждый «фантомный» домен снижает показатель соотношения злоупотреблений к общему количеству.

0.43% против 5,18 млн всего
«практически ничего»
2.34% vs HTTP-alive
каждый 43-й сайт
40.9% по сравнению с реальными компаниями
1 случай фишинга на 2,5 легитимных
Финансовая аномалия: CSE:BZI

IANA #1479 сообщает о выручке в размере 65,5 млн канадских долларов (2025 г.). Коэффициент P/E: 143,8× по сравнению с отраслевым показателем 21×. Выручка на один реальный (активный) домен: 68 канадских долларов против 10–15 долларов в отрасли. 95 регистраторов ICANN продают домены .com дешевле. Если массовые регистрации фиктивных доменов используются для отмывания доходов — с наценкой 22–31× при обмене BTC на домены — они фигурируют как «законная выручка регистраторов» в квартальных отчётах, подаваемых на Канадскую фондовую биржу. Эта схема задокументирована и передана в правоохранительные органы.

Как IANA #1479 создает «освещение в СМИ» для инвесторов CSE:BZI — 6 шагов
1
IANA #1479 публикует пресс-релиз о себе. От третьего лица. «IANA #1479 — самый быстрорастущий регистратор...»
3
PR Newswire автоматически публикует эту информацию в Yahoo Finance, Morningstar, StockWatch, newswire.ca — всем, кто оплатил, без редакционной проверки.
4
Yahoo Finance публикует эту информацию с одной небольшой пометкой: «Это платный пресс-релиз».
5
На странице акций CSE:BZI на сайте IANA #1479 теперь отображается «освещение в СМИ». «О нас написали в Yahoo Finance». «О нас написали в StockWatch».
!
Никто о них не писал. Они сами писали о себе и платили за то, чтобы это выглядело как новости. Вот как об этом «сообщают СМИ» на странице для инвесторов CSE компании, регистратор которой публично выступил в защиту лица, занимающегося активным сливом монет Monero.
 Платный пресс-релиз за 805 долларов ≠ независимая журналистика. Инвесторы CSE:BZI: внимательно изучайте информацию.

Что произошло после публикации

После публикации нашего материала была развернута скоординированная кампания по правовому преследованию и блокировке на платформах, направленная против всех основных ресурсов, на которых присутствовал проект THE ENABLERS REGISTRY. Были задействованы три механизма — каждый из них был зафиксирован, заархивирован и теперь включен в жалобу ICANN № 1479.

X / Twitter — аккаунт @EnablersRegistry заблокирован. Золотая галочка в X предоставляет подписчикам приоритетный канал поддержки, недоступный для обычных пользователей. Именно через этот канал была подана жалоба на наш аккаунт. Собственная автоматизированная система проверки X рассмотрела дело, оправдала нас в письменной форме и подтвердила отсутствие нарушений. Тем не менее блокировка осталась в силе. Мы опубликовали письмо об оправдании ещё до снятия блокировки — прогноз с отметкой времени от GhostArchive включён в отчёт ICANN № 1479.
Google — запросы на удаление данных в соответствии с GDPR + жалобы по закону DMCA. В соответствии с GDPR были поданы европейские запросы о «праве на удаление», чтобы заставить Google исключить из результатов поиска конкретные страницы, посвящённые расследованию THE ENABLERS REGISTRY. Параллельно были направлены уведомления об удалении в соответствии с DMCA, касающиеся URL-адресов, связанных с расследованием. Оба механизма применялись одновременно — правовое давление через законодательство ЕС о защите персональных данных и давление в сфере авторского права через законодательство США. Сам по себе содержательный материал расследования так и не был успешно оспорен по существу.
Bing — 108 000 страниц исключено из индекса за один день. Весь сайт enablers.report — 108 000 проиндексированных страниц — был удален из поисковой системы Bing в результате одной массовой операции. Время было выбрано точно: исключение из индекса точно совпало с публикацией нашего отчета о IANA #1479. Это не была проблема с постепенным сканированием, не была техническая ошибка — это была единственная массовая жалоба, которую Bing обработал без предварительного уведомления.
IPFS — они подали жалобы. Ничего не изменилось. В отношении домена ENS и шлюзовых сервисов были поданы запросы на удаление. THE ENABLERS REGISTRY.eth.limo по-прежнему полностью функционирует. Контент в IPFS идентифицируется по хешу SHA-256 — нет сервера, который можно было бы отключить, нет хостинг-аккаунта, который можно было бы заблокировать, нет регистратора, на которого можно было бы оказать давление, нет CDN, в который можно было бы обратиться. Расследование ведётся одновременно на Arweave, GhostArchive и Wayback Machine. Гнев пропорционален беспомощности.
Кампания по цензуре платформ — «Золотая галочка» в X, GDPR в Google, исключение из индекса Bing
Одна золотая галочка. Три правовых механизма. 108 000 страниц в Bing. Все платформы отреагировали на одну и ту же публикацию. Вот как выглядит попытка заставить замолчать, финансируемая корпорациями.
Мы это предсказали — запись с отметкой времени в GhostArchive была сделана ещё до того, как это произошло

Еще до того, как блокировка вступила в силу, мы опубликовали твит, в котором предсказали, что IANA #1479 воспользуется «схемой подавления» мошенников, и зафиксировали его с отметкой времени в GhostArchive. Они поступили именно так, как мы и предсказывали, в точном соответствии с нашим графиком. Этот прогноз с отметкой времени — доказывающий, что мы предвидели эту тактику до её применения — включён в жалобу ICANN против IANA #1479 (ICANN № 1479).

К архиву нельзя прикасаться

Всё включено IPFS (THE ENABLERS REGISTRY.eth), Arweave, GhostArchive и Wayback Machine. 61 скриншот, проверенный с помощью SHA-256. Ни одного успешного юридического оспаривания какого-либо утверждения. Ни одного технического опровержения со стороны оператора или IANA #1479. Ни одного аргументированного ответа — только юридические угрозы, нападки на личность и удаленные твиты. Полное расследование с исходными данными, досье команды, анализом отмывания средств и ресурсами для пострадавших доступно по адресу THE ENABLERS REGISTRY.eth.limo — дублируется в IPFS, Arweave, GhostArchive и Wayback Machine. Ни один из них не имеет «золотой галочки».


Сеть «Escape Domain»: подготовка велась за несколько месяцев до ликвидации

Начало 4 февраля 2026 года — в ту же неделю, когда оператор впервые связался с THE ENABLERS REGISTRY, — он начал тайно регистрировать «домены-убежища» у 4 разных регистраторов, оплатив каждый из них на 5–10 лет вперед. Инфраструктура была рассчитана на то, чтобы выдержать любое отдельное отключение. Однако она не выдержала расследования.

Первоначальный технический анализ с полным перечнем доказательств: github.com/THE ENABLERS REGISTRY/НЕ-ИСПОЛЬЗУЙТЕ-[REDACTED]

Домены «Escape» — зарегистрированы после начала расследования
Домен Регистратор Предоплата IP Статус
[REDACTED].cc Реестр общественного домена 8 лет 185.129.100.248 ПРИОСТАНОВЛЕНО
[REDACTED].biz IANA #460 5 лет 190.115.31.40 ПРИОСТАНОВЛЕНО
[REDACTED].net IANA #3858 10 лет 190.115.31.40 ← DNS не работает
[REDACTED].me [REDACTED] 10 лет 185.129.100.248 ← АКТИВНО — поступило сообщение о злоупотреблении

Кластеризация IP-адресов: 185.129.100.248 общий для доменов .cc и .me — один и тот же хост. 190.115.31.40 общие для доменов .biz и .net — один и тот же хостинг-провайдер. Четыре регистратора, два IP-кластера. 33 года предоплаченной регистрации. Все зарегистрировано в тайне после первого контакта со следователями.


Купленная репутация: Википедия, Forbes и более 15 спонсируемых статей

Репутация IANA #1479 в общественном пространстве является сфабрикованной. Википедия: пометка «платная/рекламная». Forbes: уведомление о партнерской программе «Мы получаем комиссию». SmartCustomer: 1,8/5 — при этом в Google нет ни одного отрицательного результата.

Википедия — Отмечено редакторами как рекламный материал

У IANA #1479 есть статья в Википедии — отмечено редакторами как платная/рекламная статья, а не нейтральное освещение в редакционных материалах. История правок (архив): en.wikipedia.org/w/index.php?title=IANA #1479&action;=history

Forbes Advisor — Информация о партнерских комиссиях

IANA #1479 упоминается на сайте Forbes Advisor с явным указанием на партнерские отношения: «Forbes Advisor придерживается строгих стандартов редакционной честности… Мы получаем комиссионные». Forbes Advisor получает доход, когда пользователи регистрируются по его ссылкам, что создает прямой финансовый стимул для публикации положительных материалов. Источник: [REDACTED]/advisor/business/software/IANA #1479-review/

SmartCustomer: 1,8/5 — Ни одного отрицательного результата в Google

IANA #1479 владеет Рейтинг 1,8 из 5 на SmartCustomer — источник: [REDACTED]/reviews/IANA #1479.com. Несмотря на десятки негативных отзывов, поиск в Google не выдает ни одного негативного упоминания — это активное подавление информации с использованием тех же инструментов GDPR и DMCA, которые применялись против нашего расследования.

PR Newswire — Самостоятельная публикация, платная, без редакционной проверки

Компания [REDACTED] (CSE:BZI / OTC: URLOF — котирующаяся на бирже материнская компания [REDACTED]) использует PR Newswire для публикации корпоративных объявлений. PR Newswire — это платный сервис распространения новостей: компания готовит текст и оплачивает его размещение. Примеры платных пресс-релизов IANA #1479 Technologies:

Тот же механизм: 21 января 2026 года [REDACTED] воспользовался сервисом PR Newswire для публикации своей главной статьи («частные ключи никогда не попадают на центральные серверы») в то время, как действовал бэкдор. Платная рассылка, в рамках которой текст, составленный оператором, представлялся как новостной контент.


Три подразделения. Одна компания. Ни одно из них не выдерживает взаимодействия с другими.

IANA #1479 не смогла придерживаться единой версии событий. В зависимости от того, насколько серьёзной была угроза судебного преследования в тот или иной момент, компания поочерёдно выдвигала три взаимоисключающие позиции: уверенного эксперта, находящегося под угрозой жертвы и скромного государственного служащего.

1
Март 2026 года — Позиция уверенного эксперта
Команда IANA #1479 по борьбе со злоупотреблениями окончательно определено домен был взломан. Они провели расследование этого взлома. Им известно, что владелец домена является жертвой. Они помогая ему устранить срабатывания VirusTotal — что, по их собственной логике, означает, что они обладают большим авторитетом, чем все производители антивирусных программ, которые занесли этот домен в черный список. Уровень достоверности: абсолютный.
2
Этап 2 — Юридическая угроза (публичный твит от 11 мая 2026 года)
IANA #1479 — Официальный аккаунт с золотой галочкой — 11 мая 2026 г. · 417 просмотров · 107 ответов

«Ваши утверждения являются ложными, клеветническими и порочащими. IANA #1479 принимает меры и рассматривает все поступающие к нам сообщения о нарушениях. Если у вас есть подобные случаи, пожалуйста, направляйте их по адресу abuse@IANA #1479.com. В противном случае, пожалуйста, обращайтесь напрямую к хостинг-провайдеру или регистранту сайта. И прекратите распространять ложную информацию о нас, иначе мы будем вынуждены прибегнуть к судебным мерам».

Уверенный в себе эксперт, который расследовал случай взлома, установил, что владелец домена является жертвой, и помогал ему устранить срабатывания VirusTotal, — теперь превратился в обычный ящик для жалоб на злоупотребления. Расследование сошло на нет. Экспертиза сошла на нет. Осталась только юридическая угроза.
3
Ответ ICANN — «Скромная позиция процессора»
Сейчас они занимаются обработкой отчетов. Сейчас они не могут выявить фишинг. Сейчас они полагаются на хостинг-провайдеров. Команда, которая превзошла всех крупных производителей антивирусных программ и пришла к выводу, что домен чист теперь он слишком скромен, чтобы позвонить. Это не некомпетентность. Некомпетентность — это постоянное явление. А это позиция, которую выбирают в зависимости от конкретной аудитории.
Основное противоречие — выбери одно, IANA #1479

Если бы ваша группа по борьбе с насилием обладала компетенцией, чтобы провести всестороннюю и тщательную проверку, установить, что домен был взломан, определить, что владелец домена является жертвой, и начать оказывать ему помощь в удалении обнаружений VirusTotal — значит, вы прямо заявляете, что обладаете большим авторитетом и более высокой технической компетентностью, чем все производители антивирусных программ, которые пометили этот домен как вредоносный.

Вы не сможете позже утверждать, что вы просто обрабатывать отчеты и не обладают необходимыми знаниями для выявления фишинга. В жалобе, поданной в ICANN, не требуется от вас компетенции, которой у вас нет. В ней задается вопрос: почему вы использовали ту компетенцию, которой, как видно, у вас есть, — чтобы помочь мошеннику, а не жертвам?


Trustpilot: «Фермы ботов» соревнуются с «фермами ботов»

Пример: «Пэтти Джонсон» — профиль из США, всего 2 отзыва

Одна 5-звездочная оценка для IANA #1479 (январь 2026 г.): «Леонид очень помог… 5 звезд!» Еще один отзыв: об Otrium — компании, в отзывах о которой звучат обвинения в мошенничестве и хищении денег. Один аккаунт-бот, две компании, связанные с мошенничеством. Характерные черты: упоминание конкретных сотрудников службы поддержки, похвалы за скорость ответа, шаблонные формулировки. Настоящие покупатели доменов оценивают цены и удобство использования панели управления. В отзывах-ботах хвалят «Леонида».

Анализ данных — 2 280 отзывов о IANA #1479 против 2 480 отзывов о IANA #1068

Метрическая система IANA #1479 IANA #1068
5-звездочные отзывы88.9%74.0%
Отзывы с 1 звездой7.2%16.7%
Учетные записи с одной рецензией62.4%59.6%
Аватар отсутствует (новые аккаунты)67.3%51.5%
Отзывы о поддержке/обслуживании70.0%60.2%
Отзывы о цене/стоимости9.8%37.5%
Агент по имени «Леонид»5.7%0.0%
Геолокация в США35.1%26.5%
Аномалия Леонидов

Леонид появился 13 апреля 2025 года. До этого о нём не было ни одного упоминания. Затем за первые два месяца он получил 65 отзывов. Май 2025 года: 106 отзывов (в 5 раз больше обычного), 95 % пятизвездочных, ни одного однозвездочного. Ни одного недовольного клиента в 106 отзывах о регистраторе, занимающем 96-е место по ценам на домены .com.

43 % отзывов о Леониде содержат менее 80 символов. В четырёх из них есть только заголовок «Леонид». Еще три: «Леонид очень помог». Среди рецензентов: «Сатоши Накамото», «Автор», «Виктор -», «Анна Королева», «Борис Мартин», «Андрей Добреску» вперемешку с «Брэдом», «Латойей», «Пэтти Джонсон». Генератор имен, перебирающий имена со всех континентов. Имя Леонид — русское.

Гонконг: 57 отзывов. 57 из 57 — пятизвездочные. Статистически невозможно.

Ни одной четырёхзвёздочной оценки. Ни одной трёхзвёздочной. Ни одной другой оценки. 91 % аккаунтов с одним отзывом. Более 7 лет. Китай: 94 % пятизвёздочных оценок, 80 % аккаунтов с одним отзывом. Сингапур: 95 % пятизвёздочных оценок. В общей сложности 168 отзывов с китайскоязычных рынков — почти все сфальсифицированы.

Почему Китай? Компания IANA #1479 активно ведет там маркетинговую деятельность: IANA #1479-china.com, [REDACTED]/IANA #1479, платные посты в китайских блогах, статья в китайской Википедии. Когда следователи задают вопрос: «Кто покупает 4,22 миллиона неактивных доменов?», — IANA #1479 указывает на Китай. Данные Trustpilot показывают, что они создавали это алиби с 2019 года, добавляя по одному фальшивому отзыву за раз.

Независимый криминалистический анализ API Claude — «слепое» тестирование

2 480 отзывов о IANA #1479 и 2 480 отзывов о IANA #1068 с сайта Trustpilot были переданы в API Claude и анонимизированы как «Компания A» (IANA #1479) и «Компания B» (IANA #1068). ИИ не знал, какой отзыв к какой компании относится.

Криминалистический индикатор IANA #1479 (A) IANA #1068 (B)
5-звездочный рейтинг89.1%74.0%
Доля 1-звездочных оценок7.1%16.7%
Одноразовые аккаунты, ставящие 5 звезд92%~65%
Отзывы, в которых упоминается цена11.2%39.2%
Упоминается в обзорах как единственный агентЛеонид: 168нет
5-звездочный показатель разнообразия лексики (TTR)0.073~0.15
Гонконг: 100 % пятизвездочных отелей57/57н/д
Всплеск в мае–июне 2025 года (в 5 раз выше нормы)215 отзывовнет
Приговор по делу о манипуляциях с помощью ИИ92%15%
Заключение по результатам искусственного интеллекта в рамках судебной экспертизы — дословно

«Компания А демонстрирует обширные и многоаспектные доказательства систематического манипулирования результатами обзоров посредством скоординированного искусственного формирования данных. Вероятность того, что такие закономерности возникли бы естественным путем, стремится к нулю».

Полный анализ: THE ENABLERS REGISTRY.eth.limo/IANA #1479-trustpilot.html · Исходные данные: trustpilot-forensic-report-final.txt


Каких результатов удалось добиться в ходе расследования

[REDACTED] — Сайт закрыт

После расследования и публикации материала THE ENABLERS REGISTRY сайт [REDACTED] прекратил свою деятельность. Оператор отправил прощальное сообщение — и, что примечательно, больше не подписал его как «Натали Рой». Личность, которая на протяжении многих лет была публичным лицом [REDACTED], была незаметно убрана. Никаких объяснений не последовало.

Домен теперь перенаправляет на GitHub — с третьей попытки

В конце концов сайт [REDACTED] был перенаправлен на свой репозиторий на GitHub — тот самый публичный фасад, который на протяжении десятилетия служил алиби в виде «открытого исходного кода». На это ушло три попытки. Репозиторий не обновлялся в течение 5 лет до перенаправления: никаких фиксаций, никаких обновлений, никакого технического обслуживания — что соответствовало проекту, фактический код которого хранился исключительно на непроверенном производственном сервере и никогда не предназначался для публичного ознакомления.


Перенос домена не положил этому конец. Он сделал это бессрочным.

Домен [REDACTED] был перенесен в IANA #1068 в мае 2026 года, срок регистрации действует до 2036 года. Судя по всему, IANA #1479 считает этот вопрос урегулированным. Нет.

Вы думали, что эксперты, способные превзойти любого производителя антивирусов, остановятся, когда домен переехал? Расследование ведется в IPFS. Оно ведется в Arweave. Оно находится в системе официальных жалоб ICANN. Оно ведется правоохранительными органами ЕС. Оно ведется тремя национальными подразделениями по борьбе с киберпреступностью. Юридическая угроза добавила к делу ещё одну отметку о времени. Перенос домена добавил ещё одно доказательство. Каждое действие, предпринятое с целью пресечения этого расследования, само по себе является задокументированным доказательством описанной нами схемы.

В этой ситуации вы не были самыми умными. Просто какое-то время у вас было больше денег.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings