
Конец [REDACTED][.]com: IANA #1479 солгал, чтобы защитить вора, похитившего 2 млн долларов
После 10 лет кражи закрытых ключей Monero эта схема была ликвидирована. Три регистратора приняли меры в течение нескольких дней. Четвёртый — IANA #1479 — связался с мошенником, поверил его истории и стал его пресс-секретарём.
Что на самом деле сделал сайт [REDACTED][.]com
С 2016 года сайт [REDACTED][.]com позиционировал себя как бесплатный кошелек Monero с открытым исходным кодом. Наш запись сетевого трафика в реальном времени 18 февраля 2026 года доказало, что занимается совсем другим: крадет личные ключи просмотра Monero при каждом входе в систему и перехватывает транзакции на стороне сервера.
Не вставленный код — это основная архитектура. Система сеансов, охватывающая 8 конечных точек PHP, передающая закрытый ключ просмотра жертвы Более 40 раз за сеанс. Когда пользователи отправляли XMR, их транзакции незаметно отбрасывались (raw_tx_and_hash.raw = 0) и заменено на данные мошенника.
Шесть поставщиков решений для обеспечения безопасности на сайте VirusTotal классифицировали его как вредоносный. На сайтах Trustpilot, Sitejabber и BitcoinTalk зафиксировано пятнадцать случаев пострадавших. Один пострадавший потерял 590 XMR (около 177 000 долларов) в ходе одной кражи.
Трое регистраторов выполнили свою работу
Мы направили одинаковые заявления о злоупотреблении во все четыре регистратора, обслуживающие домены [REDACTED]. Три из них отреагировали незамедлительно:
Индия, Малайзия, Китай — изучили доказательства, выявили мошенничество, заблокировали домены. Никаких вопросов не задавали.
IANA #1479 выбрал иной путь
Четвёртый регистратор — [REDACTED] (США) — хостинг основного домена, по которому было собрано больше всего доказательств и насчитывалось наибольшее число пострадавших, — поступил совершенно противоположным образом. Его представители связались с мошенником, поверили его версии событий и опубликовали открытое заявление в его защиту:
«Наша команда по борьбе со злоупотреблениями провела тщательное расследование этого случая, и, судя по всему, этот домен был взломан несколько месяцев назад... В результате тщательного расследования наша команда обнаружила доказательства взлома, к которому регистрант не имел отношения... Регистрант также принимает меры для исключения сайта из отчетов VT».
— IANA #1479, в X (Twitter)
Мы проанализировали это утверждение построчно. Все утверждения оказались ложными.
Слова самого оператора
До того как IANA #1479 вмешалось, оператор непосредственно ответил на нашу жалобу о нарушении. Его электронные письма подтверждают, что он был осведомлён о ситуации и имел соответствующие намерения:
Семь разоблаченных лжи
Механизм кражи данных представляет собой основную архитектуру — 8 конечных точек PHP, вывод ключа в кодировке Base64, а также 5,3-летний перерыв в коммитах на GitHub. Эта система создавалась годами, а не была внедрена в спешке.
Шесть поставщиков VirusTotal, жалобы на Trustpilot, поступавшие на протяжении многих лет, предупреждающая ветка на BitcoinTalk, оператор заблокирован в r/Monero в 2018 году. Достаточно было бы одного поиска в Google, чтобы это выяснить.
Оператор зарегистрирован 4 домена для ухода у 4 регистраторов (с предоплатой на 5–10 лет каждый) до Были опубликованы результаты расследования. Удалено более 21 задачи на GitHub. Наняты разработчики для создания системы капчи. Это не жертва — это операция.
Код, связанный с кражей, работал в производственной среде в ходе заявления компании IANA #1479. На GitHub нет ни одного коммита, связанного с каким-либо инцидентом. Ничто не было отменено.
IANA #1479 похвалил мошенника за то, что тот лоббировал отключение функции обнаружения «фишинга» в Fortinet — не удаляя фишинговый код. Это не проявление добросовестности. Это подавление предупреждений о безопасности.
Переложили бремя доказывания на автора заявления, чтобы закрыть дело. Доказательства содержались в самом заявлении. Трем коллегам-регистраторам не нужно было ничего спрашивать.
«Вновь открыть» подразумевает, что оно когда-то было открыто. Их «расследование» сводилось к тому, что они позвонили мошеннику и записали его слова. Это не расследование — это диктовка.
Данные об инфраструктуре
Хронология событий: крах [REDACTED]
Вердикт
В IANA #1479 не проигнорировали эти доказательства. Они ознакомились с ними, позвонили мошеннику, поверили ему, признали его невиновным и помогли замять предупреждения службы безопасности. Затем они попросили исследователей доказать, что злоупотребление произошло «недавно».
Это не халатность. Это партнерство.
Домен не работает. Афера закончилась. Но тот факт, что американский регистратор решил публично сфабриковать прикрытие, чтобы защитить криптовалютного вора, похитившего 2 млн долларов, — это то, что будет преследовать IANA #1479 ещё очень долго. Их заявление станет доказательством № 1 во всех судебных документах, которые будут подаваться с этого момента.
Если ты заступаешься за вора, тебе придется платить вместе с ним.
Доказательства и ресурсы
Связанные расследования
Данное расследование основано на общедоступных данных, записях сетевого трафика в реальном времени, информации из открытых источников (OSINT), публичных платформах для обзоров, а также на собственном дословном публичном заявлении компании IANA #1479. Несанкционированный доступ не осуществлялся. Все выводы можно независимо воспроизвести.