Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / TR / XMRWALLET NAMESILO EXPOSED

[REDACTED]’un Sonu: IANA #1479 Ortaya Çıktı

The Enablers Registry·Editorial mirror·/tr/xmrwallet-namesilo-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

[REDACTED][.]com’un Sonu: IANA #1479, 2 milyon dolarlık hırsızı korumak için yalan söyledi

10 yıl boyunca Monero özel anahtarlarını çalan bu operasyon, son buldu. Üç kayıt şirketi birkaç gün içinde harekete geçti. Dördüncüsü olan IANA #1479 ise dolandırıcıyla iletişime geçti, onun hikâyesine inandı ve onun basın sözcüsü oldu.

27 Mart 2026 THE ENABLERS REGISTRY Araştırması Okuma süresi: 12 dakika
[REDACTED] Soruşturması — IANA #1479 Ortaya Çıktı
Soruşturmaya genel bakış: [REDACTED][.]com sitesinin çöküşü ve IANA #1479’nun dolandırıcıyı korumadaki rolü.
$2M+
Çalındığı Tahmin Edilen
10
Aktif Olduğu Yıllar
3/4
Askıya Alınan Kayıt Kuruluşları
7
IANA #1479’nun Yalanları Kanıtlandı
8
PHP Uç Noktalarında Hırsızlık

[REDACTED][.]com Aslında Ne Yaptı?

2016 yılından bu yana, [REDACTED][.]com kendini ücretsiz, açık kaynaklı bir Monero cüzdanı olarak tanıtmıştır. Bizim 18 Şubat 2026 tarihinde gerçekleştirilen canlı ağ yakalama çok farklı bir şey yaptığını kanıtladı: her oturum açılışında özel Monero görüntüleme anahtarlarını çalıyor ve işlemleri sunucu tarafında ele geçiriyordu.

Monero görüntüleme anahtarı sızdırma saldırısı — çalınan anahtarları dolandırıcının sunucusuna ileten dizüstü bilgisayar
Ekran görüntüsü 1 — Hırsızlık mekanizması: Her cüzdan girişi sırasında, kurbanın özel Monero görüntüleme anahtarı Base64 kodlaması yoluyla dolandırıcının sunucusuna aktarılıyordu.
Temel Hırsızlık Mekanizması

Enjekte edilmemiş kod — temel mimari. 8 adet PHP uç noktası arasında çalışan ve kurbanın özel görüntüleme anahtarını ileten bir oturum sistemi Seans başına 40'tan fazla kez. Kullanıcılar XMR gönderdiğinde, işlemleri hiçbir uyarı yapılmadan iptal ediliyordu (raw_tx_and_hash.raw = 0) ve dolandırıcınınkiyle değiştirildi.

Kullanıcı cüzdanını açar
Çalınan anahtar görüntülendi (Base64)
TX, sunucu tarafında ele geçirildi
Dolandırıcıya gönderilen XMR
Görünüm anahtarı hırsızlığında kullanılan 8 PHP API uç noktası — GitHub kanıt deposu
Ekran Görüntüsü 2 — GitHub kanıt havuzumuzda belgelenen 8 PHP uç noktası. Her bir uç nokta, session_key/view_key sızdırma zincirinin bir parçasıdır.

VirusTotal’da altı güvenlik sağlayıcısı bu dosyayı zararlı olarak işaretledi. Trustpilot, Sitejabber ve BitcoinTalk’ta toplam on beş mağdur vakası kaydedildi. Bir mağdur, 590 XMR (~177.000 $) tek bir hırsızlık olayında.

VirusTotal taraması, 93 satıcıdan 6’sının [REDACTED]’u kötü amaçlı olarak işaretlediğini gösteriyor; buna Fortinet’in kimlik avı algılama özelliği de dahildir
Ekran Görüntüsü 3 — VirusTotal: 93 sağlayıcıdan 6’sı [REDACTED]’u zararlı olarak işaretledi. Fortinet ise bu siteyi “Oltalama” olarak sınıflandırdı.
ScamAdviser, [REDACTED] sitesini “Güvenilirlik Puanı 100 üzerinden 1” ile “Büyük Muhtemelen Güvenli Değil” olarak gösteriyor
Ekran görüntüsü 4 — ScamAdviser: Güven Puanı 1/100. “Güvenilmez olma olasılığı çok yüksek.”

Üç Kayıt Memuru Görevlerini Yerine Getirdi

[REDACTED] alan adlarını barındıran dört kayıt kuruluşunun tümüne aynı içerik ihlali bildirimlerini ilettik. Bunlardan üçü hemen harekete geçti:

Görevden uzaklaştırılmış kayıt operatörlerini temsil eden üç kilitli kapı ve IANA #1479’nun harekete geçmeyi reddetmesini temsil eden bir açık kapı
Ekran görüntüsü 5 — Üç kayıt sağlayıcısı kapılarını kilitledi. IANA #1479 ise kapılarını dolandırıcıya ardına kadar açık bıraktı.

IANA #303

Askıya alınmış

Hindistan · Harekete geçmek için kalan gün sayısı

IANA #460

Askıya alınmış

Malezya · Harekete geçmek için kalan gün sayısı

IANA #3765

DNS Çalışmıyor

Çin · Harekete geçmek için kalan süre

IANA #1479

Reddedildi

ABD · Suçlamalardan kurtulan dolandırıcı

Üç ülke. Üç bağımsız sonuç.

Hindistan, Malezya, Çin — kanıtları incelediler, dolandırıcılık tespit ettiler ve alan adlarını askıya aldılar. Hiçbir soru sorulmadı.

IANA #1479 Farklı Bir Yol Seçti

Dördüncü kayıt memuru — [REDACTED] (ABD) — en fazla kanıtın ve en fazla mağdurun bulunduğu ana alan adını barındıran kuruluş — tam tersini yaptı. Dolandırıcıyla iletişime geçtiler, onun hikâyesine inandılar ve onu savunan bir kamuoyu açıklaması yayınladılar:

IANA #1479’nun, [REDACTED]’un işletmecisini savunarak alan adının ele geçirildiğini iddia ettiği X Twitter’daki kamuoyuna yaptığı açıklama
Ekran Görüntüsü 6 — IANA #1479’nun X (Twitter) platformunda 12 Mart 2026 tarihinde yaptığı kamuoyuna açık açıklama. Bu gönderideki tüm iddialar yanlıştı.
“Kötüye Kullanım ekibimiz bu vakayı derinlemesine inceledi ve görünüşe göre söz konusu alan adı birkaç ay önce ele geçirilmiş... Kapsamlı bir soruşturmanın ardından ekibimiz, bu ele geçirilme olayının alan adı sahibiyle ilgisi olmadığına dair kanıtlar buldu... Alan adı sahibi de web sitesinin VT raporlarından çıkarılması için çalışmalar yürütüyor.”

IANA #1479, X (Twitter) üzerinden

Bu ifadeyi satır satır inceledik. Her iddia yanlıştı.

Operatörün Kendi Sözleri

IANA #1479 devreye girmeden önce, operatör kötüye kullanım bildirimimize doğrudan yanıt verdi. Gönderdiği e-postalar, konunun farkında olduğunu ve niyetini doğrulamaktadır:

[REDACTED] operatörünün, bunun bir kimlik hırsızlığı girişimi olmadığını ve 8 yıldır faaliyette olduğunu belirten e-posta yanıtı
Ekran görüntüsü 7 — Operatörün yanıtı: “Bu bir kimlik hırsızlığı denemesi değil, 8 yılı aşkın süredir faaliyet gösteriyoruz.”
[REDACTED] operatörünün, hırsızlık suçlamalarını reddeden ve veri toplama uygulamalarını savunan e-posta yanıtı
Ekran görüntüsü 8 — Operatörün ikinci yanıtı: “Hizmeti sunabilmemiz için bu verilere ihtiyacımız var.” Söz konusu “veriler”, mağdurun özel görüntüleme anahtarıydı.

Yedi Yalan, Ortaya Çıktı

YALAN #1: “Alan adı ele geçirildi”

Hırsızlık mekanizması, sistemin temel mimarisini oluşturur — 8 adet PHP uç noktası, Base64 anahtarının dışarı aktarılması, bir 5,3 yıllık GitHub commit açığı. Bu sistem yıllar boyunca geliştirildi; bir anda aceleyle ortaya çıkarılmadı.

YALAN #2: “Daha önce herhangi bir istismar ihbarı almamıştık”

VirusTotal’da altı satıcı, yıllardır süren Trustpilot şikayetleri, BitcoinTalk’ta bir uyarı başlığı, işletmeci 2018 yılında r/Monero'dan yasaklandı. Tek bir Google araması bile bunu ortaya çıkarırdı.

YALAN #3: “Kayıt sahibini sürece dahil etmemek”

Operatör kayıt oldu 4 kayıt kuruluşunda bulunan 4 kaçış etki alanı (her biri 5-10 yıllık ön ödemeli) öncesinde Soruşturma sonuçları yayınlandı. 21'den fazla GitHub sorunu silindi. CAPTCHA sistemi için yazılımcılar işe alındı. Bu bir mağdur değil — bu bir operasyon.

YALAN #4: “Hemen durumu düzeltmek için önlemler aldılar”

Hırsızlık kodu üretim ortamında çalışıyordu IANA #1479’nun açıklamasında. Herhangi bir olayı ele alan hiçbir GitHub commit’i yok. Hiçbir değişiklik geri alınmadı.

YALAN #5: “VirusTotal’dan listeden çıkarılmak için çalışmak”

IANA #1479, dolandırıcıyı Fortinet’in “Possibly phishing” algılama özelliğinin kaldırılması için lobi faaliyeti yürütmesi nedeniyle övdü — kimlik avı kodunu kaldırmadan. Bu iyi niyetli bir davranış değil. Bu, güvenlik uyarılarını gizlemektir.

YALAN #6: “İstismar yakın zamanda mı yaşandı?”

Davayı kapatabilmek için ispat yükümlülüğünü ihbarcıya yüklemek. Kanıtlar raporda mevcuttu. Üç meslektaş kayıt memurunun sorduğuna gerek yoktu.

7. YALAN: “Soruşturmayı yeniden başlatacağız”

“Yeniden açmak” ifadesi, oranın bir zamanlar açık olduğunu ima eder. Yaptıkları “soruşturma”, dolandırıcıyı aramak ve onun söylediklerini not almaktan ibaretti. Bu bir soruşturma değil — bu dikte ettirme.

Altyapı Kanıtları

Soruşturma öncesinde kaydedilmiş askıya alınmış [REDACTED] alan adlarını ve kaçış alan adlarını gösteren alan adı ağ şeması
Ekran Görüntüsü 9 — Etki alanı kaçış ağı: 4 farklı kayıt kuruluşuna ait 4 etki alanı, hepsi aynı sunuculara yönlendiriliyor. Üçü etkisiz hale getirildi.
URLScan sonuçları, [REDACTED] alan adlarının birden fazla üst düzey alan adı (TLD) üzerinden aynı IP adreslerine yönlendirildiğini gösteriyor
Ekran Görüntüsü 10 — URLScan verileri: tüm [REDACTED] alan adları (.com, .cc, .biz, .net, .me, .app) aynı altyapıya yönlendiriliyor.
Belgelenmiş hırsızlık uç noktalarını ve ağ yakalamalarını gösteren GitHub kanıt deposu
Ekran Görüntüsü 11 — Tam ağ yakalama analizini içeren GitHub kanıt arşivimiz. Tek bir oturumda 109 istek ve 43 görüntüleme anahtarı iletimi kaydedilmiştir.

Zaman Çizelgesi: [REDACTED]’in Düşüşü

2016
[REDACTED][.]com faaliyete geçti ve “ücretsiz, açık kaynaklı Monero cüzdanı” olarak tanıtılıyor
2018
Operatör r/Monero'dan yasaklandı. Trustpilot'ta ilk mağdur yorumları ortaya çıkıyor
4 Şubat 2026
[REDACTED].cc alan adı kaydedildi (8 yıllık ön ödemeli) — soruşturma sonuçları açıklanmadan önce
13 Şubat 2026
35. sayı yayınlandı — TX ele geçirme mekanizmasının tamamı ortaya çıktı
18 Şubat 2026
36. Sayı — canlı yakalama: tek oturumda 109 istek, 43 viewkey iletimi
23 Şubat 2026
[REDACTED].cc ASKIYA ALINMIŞTIR (PDR). [REDACTED].biz ASKIYA ALINMIŞTIR (IANA #460). Operatör, #35 ve #36 numaralı sorunları panik içinde sildi
26 Şubat 2026
Panik artıyor: [REDACTED].net ve .me alan adları tescil edildi (10 yıllık ön ödemeli, askıya alınan alan adlarıyla aynı IP adresleri)
8 Mart 2026
[REDACTED].net DNS HİZMETİ DURMUŞ (IANA #3765). 4 kaçış alanından 3’ü etkisiz hale getirildi
Mart 2026
IANA #1479 bir açıklama yayınladı: “Kayıt sahibi mağdurdur.” VirusTotal’ın algılamalarını bastırmaya yardımcı olur
27 Mart 2026
ICANN’a resmi şikayet başvurusu yapıldı (RAA Madde 3.18). Kolluk kuvvetlerine sunulan deliller. Bu raporun yayınlanması.

Karar

IANA #1479 bu kanıtları görmezden gelmedi. Kanıtları incelediler, dolandırıcıyı aradılar, ona inandılar, masum olduğunu ilan ettiler ve güvenlik uyarılarının bastırılmasına yardımcı oldular. Ardından araştırmacılardan, bu suistimalin “yakın zamanda” gerçekleştiğini kanıtlamalarını istediler.

Bu ihmal değil. Bu bir ortaklık.

Alan adı erişime kapalı. Dolandırıcılık olayı sona erdi. Ancak bir ABD’li kayıt kuruluşunun, 2 milyon dolarlık kripto hırsızını korumak için kamuoyuna yönelik bir uydurma hikâye uydurmayı tercih etmiş olması — bu, IANA #1479’nun çok uzun bir süre boyunca peşini bırakmayacak bir durumdur. Bundan sonra yapılacak her dava dosyasında, şirketin açıklaması “A Delili” olarak yer alacaktır.

Hırsızın arkasında durursan, cezasını da sen çekersin.

Kanıtlar ve Kaynaklar

İlgili Soruşturmalar

Bu araştırma, kamuya açık kanıtlara, gerçek zamanlı ağ yakalamalarına, OSINT verilerine, halka açık değerlendirme platformlarına ve IANA #1479’nun kendi kelimesi kelimesine aktarılan kamuya açık açıklamasına dayanmaktadır. Herhangi bir yetkisiz erişim gerçekleştirilmemiştir. Tüm bulgular bağımsız olarak tekrarlanabilir niteliktedir.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings