
IANA #1479 Защищал обвиняемого в хищении криптовалюты на сумму 100 млн долларов
— Тогда Мы закрыли наш аккаунт в Twitter
Регистратор, аккредитованный ICANN, опубликовал 4 зафиксированных случая лжи чтобы прикрыть 10-летнюю операцию по краже Monero, предложили очистить свою запись в VirusTotal, пока система кражи ещё работала, а затем использовали платную отметку X Gold Checkmark, чтобы заблокировать исследователей, доказавших их неправоту. Их инженер по DevOps: бывший руководитель ИТ-отдела одной из российских финансовых пирамид в течение десятилетия.
Эта статья представляет собой предварительный обзор. Полные доказательства, архивы IPFS и все исходные материалы доступны по ссылке выше.
Предыстория: что на самом деле представляет собой [REDACTED]
[REDACTED] — это не фишинговый сайт. Это полнофункциональный кошелек Monero с бэкдором на стороне сервера создан в 2018 году и работает до мая 2026 года — почти десять лет. Репозиторий на GitHub — это лишь публичный фасад. Код, позволяющий совершать кражи, существует только на производственном сервере, он никогда не заносился в репозиторий и никогда не проверялся.
При каждом взаимодействии пользователя на серверы оператора отправляется частный ключ просмотра посредством запроса POST, закодированный в Base64 в переменной с именем session_key — примерно 40 передач за сеанс. Транзакция на стороне клиента явно отменяется (raw_tx_and_hash.raw = 0); сервер создаёт свой собственный ключ с помощью похищенных ключей.
Аудит NewAlchemy получил 67 голосов «за» на Reddit и на протяжении многих лет служил индикатором доверия. Его четко обозначенная сфера охвата: «Только JavaScript на стороне клиента». Явно не входит в сферу применения: «множество конечных точек API PHP». Именно эти конечные точки и являются собственно механизмом кражи. В рамках аудита было структурно невозможно обнаружить этот бэкдор.
Эта схема кражи по своему характеру носит избирательный характер. Небольшие вклады остаются нетронутыми в течение многих лет, что позволяет завоевать доверие и получить положительные отзывы. Крупные суммы похищаются в течение нескольких минут. Одна из задокументированных жертв внесла 590 XMR — средства исчезли в течение 2 дней. Приблизительная общая сумма по более чем 15 задокументированным жертвам: Украдено 5 000–50 000+ XMR (от 1,5 млн до 15 млн долларов и более по историческим ценам). 60 % постов пострадавших были массово заблокированы и удалены до того, как удалось сохранить доказательства.
session_key оператору при каждом сеансе.Мы воссоздали процесс похищения ключей с использованием gtag в демонстрационной версии в изолированной среде. Откройте DevTools → вкладка «Сеть» → взаимодействуйте с кошельком. Смотрите session_key POST-запросы отправляются в режиме реального времени. Именно так система работала в течение 10 лет. Именно на это «аудит безопасности» так и не обратил внимания. Именно это публично защищала компания IANA #1479.
Фраза, объяснившая IANA #1479
16 февраля 2026 года оператор сайта [REDACTED] направил THE ENABLERS REGISTRY электронное письмо с требованием удалить отчет. Он подписался как «Натали Рой» — аккаунт на GitHub nathroy, ID 39167759. Мы ответили, предоставив полную техническую разбивку и направив письменное предупреждение: «Что будет дальше, полностью зависит от того, как вы решите поступить».
На следующий день он отправил одно предложение, которое рассказало нам всё о его отношениях с IANA #1479:
За три недели до того, как IANA #1479 назвала его жертвой
Никто не использует десятилетний дренажный насос на $550/mo bulletproof Belize hosting, скрывающийся за Russian DDoS-Guard, спокойно предлагает вам направить повестку в суд его регистратору — если, конечно, он уже не знает ответа. Ещё три регистратора (PDR, IANA #460, IANA #3765) заблокировали его домены в течение нескольких дней после получения тех же доказательств. IANA #1479 подготовило для него пресс-релиз и предложило очистить его репутацию.
21 января 2026 года — компания [REDACTED] оплатила услуги PR Newswire для распространения пресс-релиза, в котором говорилось: «Закрытые ключи никогда не попадают на центральные серверы». Этот session_key На протяжении всего этого периода в каждом пользовательском сеансе на производственный сервер отправлялись запросы POST. PR Newswire — это платная служба распространения новостей: компании самостоятельно составляют и финансируют свои тексты, которые не проходят редакционную проверку. Источник: PR Newswire, 21 января 2026 г.
«Четыре лжи IANA #1479», официальное заявление
13 марта 2026 года официальный аккаунт IANA #1479 оставил сообщение в нашей ветке, посвящённой расследованию. На момент сохранения сообщения количество просмотров составило 11 300. Постоянно заархивировано по адресу [REDACTED]/archive/CXXZ0. Каждое утверждение опровергается первоисточниками:
-
1«Несколько месяцев назад домен был взломан (в результате чего копия веб-страницы была заменена на крипто-драйнер)».Хэши SHA-256 подтверждают, что код не изменялся. Оператор подтвердил нам, что это так собственный бэкенд на PHP, написанный в 2018 году. Ничего не вводили. История с «взломом» была придумана задним числом.✗ ВЫМЫШЛЕННОЕ
-
2«До этого мы не получали никаких сообщений о злоупотреблениях, связанных с этим доменом».Только THE ENABLERS REGISTRY отправил Более 20 отчетов через портал IANA #1479 (2023–2026 гг.), с подтверждениями доставки. С 2018 года на форумах BitcoinTalk и Reddit появилось более 100 жалоб от пользователей. После этого ложного заявления все наши отчеты публикуются с отметками времени до их отправки.✗ ПРОТИВОРЕЧИТ КВИТАНЦИЯМ
-
3«После тщательной проверки… без участия регистранта».Оператор написал нам 17 февраля, отстаивая авторство своего кода — ещё до публикации твита IANA #1479. Он ни разу не заявлял о взломе. Их «тщательная проверка» привела к выводам, противоречащим письменным заявлениям их собственного регистранта.✗ ПРОТИВОРЕЧИВОЕ
-
4«Совместно с владельцем домена принимаем меры по удалению сайта из отчетов VirusTotal».Не обработка ошибок — помог заклятому мошеннику удалить предупреждения о безопасности, пока «драйнер» ещё работал. Компании PDR, IANA #460 и IANA #3765 приостановили действие доменов в течение нескольких дней после получения одних и тех же доказательств. IANA #1479 предложила очистить запись.✗ АКТИВНОЕ НАНЕСЕНИЕ ВРЕДА ЖЕРТВАМ
Что такое IANA #1479: аутсорсинговая компания из СНГ с почтовым адресом в США
Компания [REDACTED] зарегистрирована в Фениксе, штат Аризона. Котируется на Канадской фондовой бирже под названием Brisio Innovations (CSE:BZI), выручка которой в 2025 году составила 65,5 млн канадских долларов. Сама инженерная команда распределена по Россия, Беларусь, Украина, Сербия, Аргентина и Латвия. Выявлено не менее 13 русскоязычных сотрудников. Человек, имевший полный доступ к инфраструктуре DevOps, в течение десяти лет отвечал за ИТ-поддержку российской финансовой пирамиды, прежде чем присоединиться к IANA #1479.
Алексей Подашевский (Фронтенд) — Беларусь, юрисдикция, подпадающая под санкции, работающая на регистратора, зарегистрированного в США и аккредитованного ICANN. Всего выявлено более 13 русскоязычных сотрудников в России, Беларуси, Сербии, Аргентине и Латвии. В цепочке инфраструктуры [REDACTED] полностью отсутствует хостинг на западных серверах.
Более 5,18 млн доменов проанализированы по всему портфелю IANA #1479 — каждый из них был сверен с базами данных VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish и SURBL.
PHP-бэкенд [REDACTED] полностью воссоздан на основе данных о поведении на стороне клиента — без доступа к серверу, без исходного кода и без содействия со стороны клиента. Механизм кражи был восстановлен исключительно на основе наблюдаемых сетевых паттернов.
13 членов команды данные были сопоставлены на платформах LinkedIn, GitHub, HeadHunter, [REDACTED], в корпоративных реестрах и судебных архивах шести стран. Закономерности удаления отзывов на Trustpilot отслеживалось в течение нескольких месяцев с целью выявления закономерностей в частоте удаления. CSE:BZI — квартальная отчетность были сопоставлены с данными портфеля доменов с целью выявления аномалий в выручке. 5,18 млн доменов проанализированы с учетом данных из 6 источников информации об угрозах. Все исходные данные доступны по адресу github.com/THE ENABLERS REGISTRY/IANA #1479-evidence. Заявление подано в ICANN, правоохранительные органы ЕС и 3 национальные подразделения по борьбе с киберпреступностью.
Аномалия доменов: 32,2 % никогда не активировались — статистическая уловка
Мы собрали и проанализировали каждый домен в портфеле IANA #1479 — все 5,18 млн доменов. Каждый из них был проверен с помощью сервисов VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish и SURBL. Исходные данные, методология и результаты по каждому домену доступны для общего доступа: github.com/THE ENABLERS REGISTRY/IANA #1479-evidence. Результат: 32,2 % доменов никогда не активировались — по сравнению с 14,7–22,8 % у аналогичных регистраторов. 10 000–17 000 массовых регистраций за один день (пик: 17 180 — 19 июля 2025 г.). 12 млн долларов потрачено на домены, которые так и не были активированы; годовой уровень расходов составляет 3,2 млн долларов на домены, не несущие никакой полезной нагрузки. В 2024 году, когда партнер IANA #1479, компания ShortDot, приобрела новые домены верхнего уровня (.sbs, .cfd по оптовой цене около 0,50 доллара, продаваемые по розничной цене 14,95 доллара = 22–31-кратная наценка), количество регистраций доменов с неактивными адресами резко возросло 615% за один год.
PrivacyGuardian скрывает личность покупателя на более чем 3 млн доменов (зарегистрированных на pw-{hex}@privacyguardian.org). Принимаются биткойны. Без KYC. Каждый «фантомный» домен снижает показатель соотношения злоупотреблений к общему количеству.
«практически ничего»
каждый 43-й сайт
1 случай фишинга на 2,5 легитимных
IANA #1479 сообщает о выручке в размере 65,5 млн канадских долларов (2025 г.). Коэффициент P/E: 143,8× по сравнению с отраслевым показателем 21×. Выручка на один реальный (активный) домен: 68 канадских долларов против 10–15 долларов в отрасли. 95 регистраторов ICANN продают домены .com дешевле. Если массовые регистрации фиктивных доменов используются для отмывания доходов — с наценкой 22–31× при обмене BTC на домены — они фигурируют как «законная выручка регистраторов» в квартальных отчётах, подаваемых на Канадскую фондовую биржу. Эта схема задокументирована и передана в правоохранительные органы.
[REDACTED] — Заказ от Reach Systems / НАСА, 23 июня 2026 г.
newswire.ca — Приобретение компании SewerVUE, 12 сентября 2025 г.
[REDACTED] — [REDACTED]: «Личные ключи никогда не попадают на серверы», 21 января 2026 г.
Что произошло после публикации
После публикации нашего материала была развернута скоординированная кампания по правовому преследованию и блокировке на платформах, направленная против всех основных ресурсов, на которых присутствовал проект THE ENABLERS REGISTRY. Были задействованы три механизма — каждый из них был зафиксирован, заархивирован и теперь включен в жалобу ICANN № 1479.
Еще до того, как блокировка вступила в силу, мы опубликовали твит, в котором предсказали, что IANA #1479 воспользуется «схемой подавления» мошенников, и зафиксировали его с отметкой времени в GhostArchive. Они поступили именно так, как мы и предсказывали, в точном соответствии с нашим графиком. Этот прогноз с отметкой времени — доказывающий, что мы предвидели эту тактику до её применения — включён в жалобу ICANN против IANA #1479 (ICANN № 1479).
Всё включено IPFS (THE ENABLERS REGISTRY.eth), Arweave, GhostArchive и Wayback Machine. 61 скриншот, проверенный с помощью SHA-256. Ни одного успешного юридического оспаривания какого-либо утверждения. Ни одного технического опровержения со стороны оператора или IANA #1479. Ни одного аргументированного ответа — только юридические угрозы, нападки на личность и удаленные твиты. Полное расследование с исходными данными, досье команды, анализом отмывания средств и ресурсами для пострадавших доступно по адресу THE ENABLERS REGISTRY.eth.limo — дублируется в IPFS, Arweave, GhostArchive и Wayback Machine. Ни один из них не имеет «золотой галочки».
Сеть «Escape Domain»: подготовка велась за несколько месяцев до ликвидации
Начало 4 февраля 2026 года — в ту же неделю, когда оператор впервые связался с THE ENABLERS REGISTRY, — он начал тайно регистрировать «домены-убежища» у 4 разных регистраторов, оплатив каждый из них на 5–10 лет вперед. Инфраструктура была рассчитана на то, чтобы выдержать любое отдельное отключение. Однако она не выдержала расследования.
Первоначальный технический анализ с полным перечнем доказательств: github.com/THE ENABLERS REGISTRY/НЕ-ИСПОЛЬЗУЙТЕ-[REDACTED]
| Домен | Регистратор | Предоплата | IP | Статус |
|---|---|---|---|---|
| [REDACTED].cc | Реестр общественного домена | 8 лет | 185.129.100.248 | ПРИОСТАНОВЛЕНО |
| [REDACTED].biz | IANA #460 | 5 лет | 190.115.31.40 | ПРИОСТАНОВЛЕНО |
| [REDACTED].net | IANA #3858 | 10 лет | 190.115.31.40 ← | DNS не работает |
| [REDACTED].me | [REDACTED] | 10 лет | 185.129.100.248 ← | АКТИВНО — поступило сообщение о злоупотреблении |
Кластеризация IP-адресов: 185.129.100.248 общий для доменов .cc и .me — один и тот же хост. 190.115.31.40 общие для доменов .biz и .net — один и тот же хостинг-провайдер. Четыре регистратора, два IP-кластера. 33 года предоплаченной регистрации. Все зарегистрировано в тайне после первого контакта со следователями.
Купленная репутация: Википедия, Forbes и более 15 спонсируемых статей
Репутация IANA #1479 в общественном пространстве является сфабрикованной. Википедия: пометка «платная/рекламная». Forbes: уведомление о партнерской программе «Мы получаем комиссию». SmartCustomer: 1,8/5 — при этом в Google нет ни одного отрицательного результата.
У IANA #1479 есть статья в Википедии — отмечено редакторами как платная/рекламная статья, а не нейтральное освещение в редакционных материалах. История правок (архив): en.wikipedia.org/w/index.php?title=IANA #1479&action;=history
IANA #1479 упоминается на сайте Forbes Advisor с явным указанием на партнерские отношения: «Forbes Advisor придерживается строгих стандартов редакционной честности… Мы получаем комиссионные». Forbes Advisor получает доход, когда пользователи регистрируются по его ссылкам, что создает прямой финансовый стимул для публикации положительных материалов. Источник: [REDACTED]/advisor/business/software/IANA #1479-review/
IANA #1479 владеет Рейтинг 1,8 из 5 на SmartCustomer — источник: [REDACTED]/reviews/IANA #1479.com. Несмотря на десятки негативных отзывов, поиск в Google не выдает ни одного негативного упоминания — это активное подавление информации с использованием тех же инструментов GDPR и DMCA, которые применялись против нашего расследования.
Компания [REDACTED] (CSE:BZI / OTC: URLOF — котирующаяся на бирже материнская компания [REDACTED]) использует PR Newswire для публикации корпоративных объявлений. PR Newswire — это платный сервис распространения новостей: компания готовит текст и оплачивает его размещение. Примеры платных пресс-релизов IANA #1479 Technologies:
- Приобретение компании [REDACTED] — newswire.ca, 12 сентября 2025 г.
- Дочерняя компания Reach Systems получила заказ от НАСА — [REDACTED], 23 июня 2026 г.
Тот же механизм: 21 января 2026 года [REDACTED] воспользовался сервисом PR Newswire для публикации своей главной статьи («частные ключи никогда не попадают на центральные серверы») в то время, как действовал бэкдор. Платная рассылка, в рамках которой текст, составленный оператором, представлялся как новостной контент.
Три подразделения. Одна компания. Ни одно из них не выдерживает взаимодействия с другими.
IANA #1479 не смогла придерживаться единой версии событий. В зависимости от того, насколько серьёзной была угроза судебного преследования в тот или иной момент, компания поочерёдно выдвигала три взаимоисключающие позиции: уверенного эксперта, находящегося под угрозой жертвы и скромного государственного служащего.
«Ваши утверждения являются ложными, клеветническими и порочащими. IANA #1479 принимает меры и рассматривает все поступающие к нам сообщения о нарушениях. Если у вас есть подобные случаи, пожалуйста, направляйте их по адресу abuse@IANA #1479.com. В противном случае, пожалуйста, обращайтесь напрямую к хостинг-провайдеру или регистранту сайта. И прекратите распространять ложную информацию о нас, иначе мы будем вынуждены прибегнуть к судебным мерам».
Если бы ваша группа по борьбе с насилием обладала компетенцией, чтобы провести всестороннюю и тщательную проверку, установить, что домен был взломан, определить, что владелец домена является жертвой, и начать оказывать ему помощь в удалении обнаружений VirusTotal — значит, вы прямо заявляете, что обладаете большим авторитетом и более высокой технической компетентностью, чем все производители антивирусных программ, которые пометили этот домен как вредоносный.
Вы не сможете позже утверждать, что вы просто обрабатывать отчеты и не обладают необходимыми знаниями для выявления фишинга. В жалобе, поданной в ICANN, не требуется от вас компетенции, которой у вас нет. В ней задается вопрос: почему вы использовали ту компетенцию, которой, как видно, у вас есть, — чтобы помочь мошеннику, а не жертвам?
Trustpilot: «Фермы ботов» соревнуются с «фермами ботов»
Одна 5-звездочная оценка для IANA #1479 (январь 2026 г.): «Леонид очень помог… 5 звезд!» Еще один отзыв: об Otrium — компании, в отзывах о которой звучат обвинения в мошенничестве и хищении денег. Один аккаунт-бот, две компании, связанные с мошенничеством. Характерные черты: упоминание конкретных сотрудников службы поддержки, похвалы за скорость ответа, шаблонные формулировки. Настоящие покупатели доменов оценивают цены и удобство использования панели управления. В отзывах-ботах хвалят «Леонида».
Анализ данных — 2 280 отзывов о IANA #1479 против 2 480 отзывов о IANA #1068
| Метрическая система | IANA #1479 | IANA #1068 |
|---|---|---|
| 5-звездочные отзывы | 88.9% | 74.0% |
| Отзывы с 1 звездой | 7.2% | 16.7% |
| Учетные записи с одной рецензией | 62.4% | 59.6% |
| Аватар отсутствует (новые аккаунты) | 67.3% | 51.5% |
| Отзывы о поддержке/обслуживании | 70.0% | 60.2% |
| Отзывы о цене/стоимости | 9.8% | 37.5% |
| Агент по имени «Леонид» | 5.7% | 0.0% |
| Геолокация в США | 35.1% | 26.5% |
Леонид появился 13 апреля 2025 года. До этого о нём не было ни одного упоминания. Затем за первые два месяца он получил 65 отзывов. Май 2025 года: 106 отзывов (в 5 раз больше обычного), 95 % пятизвездочных, ни одного однозвездочного. Ни одного недовольного клиента в 106 отзывах о регистраторе, занимающем 96-е место по ценам на домены .com.
43 % отзывов о Леониде содержат менее 80 символов. В четырёх из них есть только заголовок «Леонид». Еще три: «Леонид очень помог». Среди рецензентов: «Сатоши Накамото», «Автор», «Виктор -», «Анна Королева», «Борис Мартин», «Андрей Добреску» вперемешку с «Брэдом», «Латойей», «Пэтти Джонсон». Генератор имен, перебирающий имена со всех континентов. Имя Леонид — русское.
Ни одной четырёхзвёздочной оценки. Ни одной трёхзвёздочной. Ни одной другой оценки. 91 % аккаунтов с одним отзывом. Более 7 лет. Китай: 94 % пятизвёздочных оценок, 80 % аккаунтов с одним отзывом. Сингапур: 95 % пятизвёздочных оценок. В общей сложности 168 отзывов с китайскоязычных рынков — почти все сфальсифицированы.
Почему Китай? Компания IANA #1479 активно ведет там маркетинговую деятельность: IANA #1479-china.com, [REDACTED]/IANA #1479, платные посты в китайских блогах, статья в китайской Википедии. Когда следователи задают вопрос: «Кто покупает 4,22 миллиона неактивных доменов?», — IANA #1479 указывает на Китай. Данные Trustpilot показывают, что они создавали это алиби с 2019 года, добавляя по одному фальшивому отзыву за раз.
Независимый криминалистический анализ API Claude — «слепое» тестирование
2 480 отзывов о IANA #1479 и 2 480 отзывов о IANA #1068 с сайта Trustpilot были переданы в API Claude и анонимизированы как «Компания A» (IANA #1479) и «Компания B» (IANA #1068). ИИ не знал, какой отзыв к какой компании относится.
| Криминалистический индикатор | IANA #1479 (A) | IANA #1068 (B) |
|---|---|---|
| 5-звездочный рейтинг | 89.1% | 74.0% |
| Доля 1-звездочных оценок | 7.1% | 16.7% |
| Одноразовые аккаунты, ставящие 5 звезд | 92% | ~65% |
| Отзывы, в которых упоминается цена | 11.2% | 39.2% |
| Упоминается в обзорах как единственный агент | Леонид: 168 | нет |
| 5-звездочный показатель разнообразия лексики (TTR) | 0.073 | ~0.15 |
| Гонконг: 100 % пятизвездочных отелей | 57/57 | н/д |
| Всплеск в мае–июне 2025 года (в 5 раз выше нормы) | 215 отзывов | нет |
| Приговор по делу о манипуляциях с помощью ИИ | 92% | 15% |
«Компания А демонстрирует обширные и многоаспектные доказательства систематического манипулирования результатами обзоров посредством скоординированного искусственного формирования данных. Вероятность того, что такие закономерности возникли бы естественным путем, стремится к нулю».
Полный анализ: THE ENABLERS REGISTRY.eth.limo/IANA #1479-trustpilot.html · Исходные данные: trustpilot-forensic-report-final.txt
Каких результатов удалось добиться в ходе расследования
После расследования и публикации материала THE ENABLERS REGISTRY сайт [REDACTED] прекратил свою деятельность. Оператор отправил прощальное сообщение — и, что примечательно, больше не подписал его как «Натали Рой». Личность, которая на протяжении многих лет была публичным лицом [REDACTED], была незаметно убрана. Никаких объяснений не последовало.
В конце концов сайт [REDACTED] был перенаправлен на свой репозиторий на GitHub — тот самый публичный фасад, который на протяжении десятилетия служил алиби в виде «открытого исходного кода». На это ушло три попытки. Репозиторий не обновлялся в течение 5 лет до перенаправления: никаких фиксаций, никаких обновлений, никакого технического обслуживания — что соответствовало проекту, фактический код которого хранился исключительно на непроверенном производственном сервере и никогда не предназначался для публичного ознакомления.
Домен [REDACTED] был перенесен в IANA #1068 в мае 2026 года, срок регистрации действует до 2036 года. Судя по всему, IANA #1479 считает этот вопрос урегулированным. Нет.
Вы думали, что эксперты, способные превзойти любого производителя антивирусов, остановятся, когда домен переехал? Расследование ведется в IPFS. Оно ведется в Arweave. Оно находится в системе официальных жалоб ICANN. Оно ведется правоохранительными органами ЕС. Оно ведется тремя национальными подразделениями по борьбе с киберпреступностью. Юридическая угроза добавила к делу ещё одну отметку о времени. Перенос домена добавил ещё одно доказательство. Каждое действие, предпринятое с целью пресечения этого расследования, само по себе является задокументированным доказательством описанной нами схемы.
В этой ситуации вы не были самыми умными. Просто какое-то время у вас было больше денег.