Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / ZH / XMRWALLET NAMESILO EXPOSED

[REDACTED] 的终结:IANA #1479 被曝光

The Enablers Registry·Editorial mirror·/zh/xmrwallet-namesilo-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

[REDACTED][.]com 的终结: IANA #1479 为包庇一名盗取200万美元的窃贼而撒谎

经过10年窃取门罗币私钥的活动,该团伙最终被摧毁。三家域名注册商在短短几天内采取了行动。第四家——IANA #1479——却联系了该诈骗犯,相信了他的说辞,并充当了他的“新闻发言人”。

2026年3月27日 THE ENABLERS REGISTRY 研究 阅读时间 12 分钟
[REDACTED] 调查——IANA #1479 内幕曝光
调查概述:[REDACTED][.]com的倒台以及IANA #1479在庇护诈骗者方面所扮演的角色。
$2M+
据估计被盗
10
活跃年份
3/4
被暂停资格的注册商
7
IANA #1479”谎言被揭穿
8
窃取 PHP 端点

[REDACTED][.]com 实际上做了什么

自2016年以来,[REDACTED][.]com一直将自己宣传为一款免费的开源门罗币钱包。我们的 2026年2月18日的实时网络抓包 事实证明,它正在做一件截然不同的事:在每次登录时窃取私有的门罗币查看密钥,并在服务器端劫持交易。

门罗币查看密钥窃取攻击——笔记本电脑将窃取的密钥传输至诈骗者的服务器
截图 1 —— 盗取机制:每次钱包登录时,都会通过 Base64 编码将受害者的门罗币私有视图密钥传输到诈骗者的服务器上。
核心盗窃机制

非注入代码——该 核心架构. 一个横跨 8 个 PHP 端点的会话系统,用于传输受害者的私有查看密钥 每次训练40多次. 当用户发送 XMR 时,其交易会被悄无声息地丢弃(raw_tx_and_hash.raw = 0) 并被诈骗者的信息所取代。

用户打开钱包
已泄露密钥(Base64)
TX 劫持了服务器端
发送给诈骗者的XMR
用于窃取视图密钥的 8 个 PHP API 端点 — GitHub 证据存储库
截图 2 —— 我们在 GitHub 证据仓库中记录的 8 个 PHP 端点。每个端点都参与了 session_key/view_key 的外泄链。

VirusTotal 上有六家安全厂商将其标记为恶意软件。在 Trustpilot、Sitejabber 和 BitcoinTalk 上共有十五名已确认的受害者。其中一名受害者损失了 590 XMR(约合177,000美元) 在一次盗窃案中。

VirusTotal 扫描结果显示,93 家安全厂商中有 6 家将 [REDACTED] 标记为恶意网站,其中包括 Fortinet 的网络钓鱼检测功能
截图 3 — VirusTotal:93 家安全厂商中有 6 家将 [REDACTED] 标记为恶意网站。Fortinet 将其归类为“网络钓鱼”。
ScamAdviser 将 [REDACTED] 标记为“极有可能不安全”,信任评分为 1(满分 100 分)
截图 4 — ScamAdviser:可信度评分 1/100。“极有可能不安全。”

三名登记员尽职尽责

我们向托管 [REDACTED] 域名的所有四家注册商提交了内容完全相同的滥用报告。其中三家立即采取了行动:

三扇上锁的门代表被暂停注册服务的注册商,一扇敞开的门代表IANA #1479拒绝采取行动
截图 5 — 三家域名注册商都锁上了大门。而 IANA #1479 却为骗子敞开了大门。

IANA #303

暂停

印度 · 行动倒计时

IANA #460

暂停

马来西亚 · 行动倒计时

IANA #3765

DNS 故障

中国 · 行动倒计时

IANA #1479

被拒绝

美国 · 为诈骗犯辩护

三个国家。三个独立的结论。

印度、马来西亚、中国——审查了证据,查实了欺诈行为,暂停了相关域名。未作任何询问。

IANA #1479 选择了另一条道路

第四位登记官—— [REDACTED](美国) ——该平台托管着证据最充分、受害者最多的主要域名——却采取了截然相反的做法。他们联系了诈骗者,相信了他的说辞,并发布了一份公开声明为他辩护:

IANA #1479在X(Twitter)上发表公开声明,为[REDACTED]运营商辩护,称该域名遭到入侵
截图 6 — IANA #1479 于 2026 年 3 月 12 日在 X(Twitter)上发布的公开声明。该帖子中的所有说法均为虚假。
“我们的滥用处理团队对此案进行了深入审查,似乎该域名在几个月前曾遭到入侵……经过全面调查,我们的团队发现,此次入侵事件与域名注册人无关……域名注册人目前也在努力将该网站从VT报告中移除。”

IANA #1479,通过 X(Twitter)发布

我们逐行分析了这段话。 每一项说法都是虚假的。

操作员的原话

IANA #1479介入之前,该运营商曾直接回复了我们的滥用举报。他的电子邮件证实了他对此事的知情和意图:

[REDACTED] 运营方通过电子邮件回复称,这并非钓鱼行为,且该平台已运营 8 年
截图 7 — 客服人员的回复:“这不是网络钓鱼,我们已经运营了 8 年多。”
[REDACTED] 运营商通过电子邮件回应,否认盗窃指控并为数据收集做法辩护
截图 8 —— 客服人员的第二次回复:“这是我们提供该服务所需的数据。”所谓的“数据”其实是受害者的私有查看密钥。

七大谎言,真相大白

谎言一:“该域名遭到入侵”

窃取机制是其核心架构——8个PHP端点、Base64密钥外泄、一个 GitHub 提交间隔长达 5.3 年. 这个系统是经过多年逐步构建的,并非通过临时拼凑而成。

谎言之二:“我们此前从未收到过任何虐待报告”

六家VirusTotal服务商、Trustpilot上积攒多年的投诉、BitcoinTalk上的警告帖,以及该网站运营者 2018年被r/Monero禁言. 只要在谷歌上搜索一下,就能查到这一点。

谎言之三:“不涉及登记人”

该运营商已注册 4个注册商下的4个逃逸域名 (每项预付5至10年) 之前 调查报告已发布。删除了21个以上的GitHub问题。为验证码系统招聘了开发人员。这并非受害者——而是一项行动。

谎言之四:“他们立即采取了措施加以纠正”

该盗版代码正在生产环境中运行 IANA #1479的声明中. GitHub 上没有任何针对该事件的提交。没有任何操作被撤销。

谎言 #5:“正在努力让该程序从 VirusTotal 上被移除”

IANA #1479 称赞了这位诈骗者,因为他游说移除了 Fortinet 的“网络钓鱼”检测功能—— 在不删除钓鱼代码的情况下. 这不符合诚信原则。这是在屏蔽安全警告。

谎言之六:“虐待是最近才发生的吗?”

将举证责任转嫁给报告人,以便他们能结案。证据就在报告里。三位同行注册官根本不需要询问。

谎言之七:“我们将重新启动调查”

“重新开放”意味着它曾经开放过。他们的“调查”无非是给骗子打个电话,然后把他说的话记下来。这根本算不上调查——这不过是复述罢了。

基础设施证据

显示被暂停的 [REDACTED] 域名以及在调查前注册的逃逸域名的域名网络图
截图 9 —— 域名逃逸网络:分布在 4 家注册商处的 4 个域名,均指向同一组服务器。其中 3 个已被封堵。
URLScan 结果显示,[REDACTED] 的各个域名在多个顶级域名下解析到相同的 IP 地址
截图 10 — URLScan 数据:所有 [REDACTED] 域名(.com、.cc、.biz、.net、.me、.app)均解析至同一套基础设施。
GitHub 证据仓库,其中记录了已确认的盗取端点和网络抓包数据
截图 11 —— 我们的 GitHub 证据库,其中包含完整的网络抓包分析。单次会话中共记录了 109 次请求和 43 次视图密钥传输。

时间线:[REDACTED]的倒台

2016
[REDACTED][.]com 正式上线,宣传为“免费的开源门罗币钱包”
2018
操作员 被r/Monero禁言. Trustpilot 上出现了首批受害者报告
2026年2月4日
已注册域名 [REDACTED].cc(预付8年)—— 调查结果公布前
2026年2月13日
第35期已出版 — TX劫持机制全貌曝光
2026年2月18日
第36期 — 实时捕获:单次会话中共有 109 次请求,43 次 viewkey 传输
2026年2月23日
[REDACTED].cc 已暂停服务 (PDR)。 [REDACTED].biz 已被暂停 (IANA #460)。操作员误删了问题 #35 和 #36
2026年2月26日
恐慌加剧:[REDACTED].net 和 .me 已被注册(10年预付,IP地址与被暂停的域名相同)
2026年3月8日
[REDACTED].net DNS 无法访问 (IANA #3765)。4个逃逸结构域中有3个被中和
2026年3月
IANA #1479发布声明: “登记人就是受害者。” 有助于抑制 VirusTotal 的检测结果
2026年3月27日
已向ICANN提交正式投诉 (《RAA》第3.18条)。向执法机关提交的证据。本报告已发布。

最终裁决

IANA #1479 并没有忽视这些证据。他们阅读了这些证据,致电了该诈骗者,相信了他的说辞,宣布他无罪,并协助压制了安全警告。随后,他们要求研究人员证明该滥用行为是“最近发生的”。

那不是疏忽,而是合作关系。

该域名已无法访问。这场骗局已经结束。但一家美国域名注册商竟公然编造借口,为一名盗取200万美元加密货币的窃贼开脱——这一事实将长期如影随形地困扰IANA #1479。从今往后,他们的声明将成为每份诉讼文件中的关键证据。

如果你为小偷作保,你就得和他分担这笔账。

证据与资源

相关调查

本调查基于公开证据、实时网络抓包、OSINT、公开评论平台以及IANA #1479公司发布的原话公开声明。未进行任何未经授权的访问。所有调查结果均可独立复现。

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings