Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / RU / XMRWALLET NAMESILO EXPOSED

Конец [REDACTED]: IANA #1479 разоблачено

The Enablers Registry·Editorial mirror·/ru/xmrwallet-namesilo-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Конец [REDACTED][.]com: IANA #1479 солгал, чтобы защитить вора, похитившего 2 млн долларов

После 10 лет кражи закрытых ключей Monero эта схема была ликвидирована. Три регистратора приняли меры в течение нескольких дней. Четвёртый — IANA #1479 — связался с мошенником, поверил его истории и стал его пресс-секретарём.

27 марта 2026 года Исследование THE ENABLERS REGISTRY Время чтения: 12 минут
Расследование [REDACTED] — IANA #1479 разоблачено
Обзор расследования: крах сайта [REDACTED][.]com и роль IANA #1479 в защите мошенника.
$2M+
Предположительно похищено
10
Годы деятельности
3/4
Регистраторы, деятельность которых приостановлена
7
Ложность теории «IANA #1479» доказана
8
Кража конечных точек PHP

Что на самом деле сделал сайт [REDACTED][.]com

С 2016 года сайт [REDACTED][.]com позиционировал себя как бесплатный кошелек Monero с открытым исходным кодом. Наш запись сетевого трафика в реальном времени 18 февраля 2026 года доказало, что занимается совсем другим: крадет личные ключи просмотра Monero при каждом входе в систему и перехватывает транзакции на стороне сервера.

Атака с похищением ключей просмотра Monero — ноутбук передает украденные ключи на сервер мошенника
Скриншот 1 — Механизм кражи: при каждом входе в кошелек личный ключ просмотра Monero жертвы передавался на сервер мошенника с использованием кодировки Base64.
Основной механизм кражи

Не вставленный код — это основная архитектура. Система сеансов, охватывающая 8 конечных точек PHP, передающая закрытый ключ просмотра жертвы Более 40 раз за сеанс. Когда пользователи отправляли XMR, их транзакции незаметно отбрасывались (raw_tx_and_hash.raw = 0) и заменено на данные мошенника.

Пользователь открывает кошелек
Просмотр выведенного ключа (Base64)
TX взломан на стороне сервера
XMR, отправленные мошеннику
8 конечных точек API PHP, использованных для кражи ключей доступа — репозиторий доказательств на GitHub
Скриншот 2 — 8 конечных точек PHP, описанных в нашем репозитории доказательств на GitHub. Каждая из этих конечных точек участвует в цепочке экфильтрации session_key/view_key.

Шесть поставщиков решений для обеспечения безопасности на сайте VirusTotal классифицировали его как вредоносный. На сайтах Trustpilot, Sitejabber и BitcoinTalk зафиксировано пятнадцать случаев пострадавших. Один пострадавший потерял 590 XMR (около 177 000 долларов) в ходе одной кражи.

Результаты сканирования VirusTotal показывают, что 6 из 93 поставщиков обозначили сайт [REDACTED] как вредоносный, в том числе система обнаружения фишинга Fortinet
Снимок экрана 3 — VirusTotal: 6 из 93 поставщиков обозначили сайт [REDACTED] как вредоносный. Компания Fortinet классифицировала его как «фишинг».
ScamAdviser оценивает сайт [REDACTED] как «Очень вероятно небезопасный» с показателем доверия 1 из 100
Скриншот 4 — ScamAdviser: Рейтинг доверия 1/100. «С высокой вероятностью небезопасно».

Трое регистраторов выполнили свою работу

Мы направили одинаковые заявления о злоупотреблении во все четыре регистратора, обслуживающие домены [REDACTED]. Три из них отреагировали незамедлительно:

Три запертые двери, символизирующие приостановленную деятельность регистраторов, и одна открытая дверь, символизирующая отказ IANA #1479 от принятия мер
Скриншот 5 — Три регистратора заперли двери. IANA #1479 же оставил свои двери широко распахнутыми для мошенника.

Реестр общественного домена

Приостановлено

Индия · Осталось времени на действия

IANA #460

Приостановлено

Малайзия · Осталось времени на действия

IANA #3765

DNS не работает

Китай · Осталось несколько недель на принятие мер

IANA #1479

Отклонено

США · Осужденный мошенник

Три страны. Три независимых вывода.

Индия, Малайзия, Китай — изучили доказательства, выявили мошенничество, заблокировали домены. Никаких вопросов не задавали.

IANA #1479 выбрал иной путь

Четвёртый регистратор — [REDACTED] (США) — хостинг основного домена, по которому было собрано больше всего доказательств и насчитывалось наибольшее число пострадавших, — поступил совершенно противоположным образом. Его представители связались с мошенником, поверили его версии событий и опубликовали открытое заявление в его защиту:

Публичное заявление IANA #1479 в Twitter (X) в защиту оператора [REDACTED], утверждающего, что домен был взломан
Скриншот 6 — Публичное заявление IANA #1479 в X (Twitter), 12 марта 2026 года. Все утверждения в этом посте оказались ложными.
«Наша команда по борьбе со злоупотреблениями провела тщательное расследование этого случая, и, судя по всему, этот домен был взломан несколько месяцев назад... В результате тщательного расследования наша команда обнаружила доказательства взлома, к которому регистрант не имел отношения... Регистрант также принимает меры для исключения сайта из отчетов VT».

IANA #1479, в X (Twitter)

Мы проанализировали это утверждение построчно. Все утверждения оказались ложными.

Слова самого оператора

До того как IANA #1479 вмешалось, оператор непосредственно ответил на нашу жалобу о нарушении. Его электронные письма подтверждают, что он был осведомлён о ситуации и имел соответствующие намерения:

Ответ по электронной почте от оператора [REDACTED], в котором утверждается, что это не фишинг и что сервис работает уже 8 лет
Скриншот 7 — Ответ оператора: «Это не фишинг, мы работаем уже более 8 лет».
Ответ оператора [REDACTED] по электронной почте, в котором он опровергает обвинения в краже и оправдывает практику сбора данных
Скриншот 8 — Второй ответ оператора: «Вот данные, которые нам нужны для предоставления услуги». Под «данными» подразумевался личный ключ просмотра жертвы.

Семь разоблаченных лжи

ЛОЖЬ № 1: «Домен был взломан»

Механизм кражи данных представляет собой основную архитектуру — 8 конечных точек PHP, вывод ключа в кодировке Base64, а также 5,3-летний перерыв в коммитах на GitHub. Эта система создавалась годами, а не была внедрена в спешке.

ЛОЖЬ № 2: «Мы не получали ранее никаких сообщений о случаях жестокого обращения»

Шесть поставщиков VirusTotal, жалобы на Trustpilot, поступавшие на протяжении многих лет, предупреждающая ветка на BitcoinTalk, оператор заблокирован в r/Monero в 2018 году. Достаточно было бы одного поиска в Google, чтобы это выяснить.

ЛОЖЬ № 3: «Без участия регистранта»

Оператор зарегистрирован 4 домена для ухода у 4 регистраторов (с предоплатой на 5–10 лет каждый) до Были опубликованы результаты расследования. Удалено более 21 задачи на GitHub. Наняты разработчики для создания системы капчи. Это не жертва — это операция.

ЛОЖЬ № 4: «Они сразу же приняли меры, чтобы исправить ситуацию»

Код, связанный с кражей, работал в производственной среде в ходе заявления компании IANA #1479. На GitHub нет ни одного коммита, связанного с каким-либо инцидентом. Ничто не было отменено.

ЛОЖЬ № 5: «Работаем над тем, чтобы нас исключили из списка VirusTotal»

IANA #1479 похвалил мошенника за то, что тот лоббировал отключение функции обнаружения «фишинга» в Fortinet — не удаляя фишинговый код. Это не проявление добросовестности. Это подавление предупреждений о безопасности.

ЛОЖЬ № 6: «Это насилие произошло недавно?»

Переложили бремя доказывания на автора заявления, чтобы закрыть дело. Доказательства содержались в самом заявлении. Трем коллегам-регистраторам не нужно было ничего спрашивать.

ЛОЖЬ № 7: «Мы возобновим расследование»

«Вновь открыть» подразумевает, что оно когда-то было открыто. Их «расследование» сводилось к тому, что они позвонили мошеннику и записали его слова. Это не расследование — это диктовка.

Данные об инфраструктуре

Схема доменной сети, на которой показаны приостановленные домены [REDACTED] и домены-убегающие, зарегистрированные до начала расследования
Скриншот 9 — Сеть обхода доменных ограничений: 4 домена у 4 регистраторов, все указывающие на одни и те же серверы. Три из них нейтрализованы.
Результаты URLScan, показывающие, что домены [REDACTED] разрешаются в одни и те же IP-адреса в различных доменах верхнего уровня
Скриншот 10 — Данные URLScan: все домены [REDACTED] (.com, .cc, .biz, .net, .me, .app) разрешаются в одну и ту же инфраструктуру.
Репозиторий доказательств на GitHub, содержащий задокументированные конечные точки кражи данных и записи сетевого трафика
Скриншот 11 — Наш репозиторий доказательств на GitHub с полным анализом сетевых данных. Зафиксировано 109 запросов и 43 передачи ключей просмотра за один сеанс.

Хронология событий: крах [REDACTED]

2016
Сайт [REDACTED][.]com начал работу, позиционируя себя как «бесплатный кошелек Monero с открытым исходным кодом»
2018
Оператор заблокирован в r/Monero. На сайте Trustpilot появляются первые отзывы пострадавших
4 февраля 2026 года
Зарегистрирован домен escape.[REDACTED].cc (предоплата на 8 лет) — до публикации результатов расследования
13 февраля 2026 года
Вышел № 35 — раскрыт механизм полного перехвата TX
18 февраля 2026 года
Выпуск № 36 — отслеживание в реальном времени: 109 запросов, 43 передачи ключа просмотра за один сеанс
23 февраля 2026 года
[REDACTED].cc ПРИОСТАНОВЛЕНО (PDR). [REDACTED].biz ПРИОСТАНОВЛЕНО (IANA #460). Оператор по ошибке удалил проблемы № 35 и № 36
26 февраля 2026 года
Еще больше паники: зарегистрированы домены [REDACTED].net и .me (с предоплатой на 10 лет, с теми же IP-адресами, что и у заблокированных доменов)
8 марта 2026 г.
DNS-сервер [REDACTED].net не работает (IANA #3765). 3 из 4 доменов ускользания нейтрализованы
Март 2026 года
IANA #1479 опубликовало заявление: «Регистрант является потерпевшим». Помогает обойти обнаружение VirusTotal
27 марта 2026 года
Подана официальная жалоба в ICANN (РАА, раздел 3.18). Доказательства переданы правоохранительным органам. Настоящий отчет опубликован.

Вердикт

В IANA #1479 не проигнорировали эти доказательства. Они ознакомились с ними, позвонили мошеннику, поверили ему, признали его невиновным и помогли замять предупреждения службы безопасности. Затем они попросили исследователей доказать, что злоупотребление произошло «недавно».

Это не халатность. Это партнерство.

Домен не работает. Афера закончилась. Но тот факт, что американский регистратор решил публично сфабриковать прикрытие, чтобы защитить криптовалютного вора, похитившего 2 млн долларов, — это то, что будет преследовать IANA #1479 ещё очень долго. Их заявление станет доказательством № 1 во всех судебных документах, которые будут подаваться с этого момента.

Если ты заступаешься за вора, тебе придется платить вместе с ним.

Доказательства и ресурсы

Связанные расследования

Данное расследование основано на общедоступных данных, записях сетевого трафика в реальном времени, информации из открытых источников (OSINT), публичных платформах для обзоров, а также на собственном дословном публичном заявлении компании IANA #1479. Несанкционированный доступ не осуществлялся. Все выводы можно независимо воспроизвести.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings