NameSilo Verteidigung eines „Crypto Drainer“ im Wert von 100 Millionen Dollar
— Dann Wir haben unseren Twitter-Account deaktiviert
Ein von der ICANN akkreditierter Registrar veröffentlichte 4 nachgewiesene Lügen Um eine zehnjährige Monero-Diebstahlaktion zu decken, bot das Unternehmen an, seinen VirusTotal-Eintrag zu löschen, während der Drainer noch aktiv war, und nutzte anschließend ein kostenpflichtiges X-Gold-Häkchen, um die Forscher zum Schweigen zu bringen, die ihnen das Gegenteil bewiesen hatten. Ihr DevOps-Ingenieur: ehemaliger IT-Leiter bei einem russischen Finanzpyramidensystem seit einem Jahrzehnt.
Dieser Artikel ist eine Vorschau. Die vollständigen Belege, IPFS-Archive und das gesamte Quellenmaterial finden Sie unter dem obigen Link.
Der Hintergrund: Was xmrwallet.com eigentlich ist
xmrwallet.com ist keine Phishing-Seite. Es handelt sich um eine voll funktionsfähige Monero-Wallet mit einer serverseitigen Hintertür Errichtet im Jahr 2018 und in Betrieb bis Mai 2026 – fast ein Jahrzehnt. Das GitHub-Repository dient lediglich als öffentliche Fassade. Der gestohlene Code existiert ausschließlich auf dem Produktionsserver, wurde nie in den Code übernommen und nie geprüft.
Bei jeder Benutzerinteraktion wird der private View-Schlüssel per POST-Anfrage an die Server des Betreibers gesendet, und zwar Base64-kodiert in einer Variablen namens session_key — ungefähr 40 Übertragungen pro Sitzung. Die clientseitige Transaktion wird explizit verworfen (raw_tx_and_hash.raw = 0); der Server erstellt seine eigenen Schlüssel mithilfe der gestohlenen Schlüssel.
Das NewAlchemy-Audit erhielt 67 „Upvotes“ auf Reddit und diente jahrelang als Vertrauenssignal. Sein ausdrücklicher Umfang: „Ausschließlich clientseitiges JavaScript.“ Ausdrücklich ausgenommen sind: „zahlreiche PHP-API-Endpunkte.“ Diese Endpunkte stellen den eigentlichen Mechanismus des Diebstahls dar. Die Prüfung war strukturell nicht in der Lage, die Hintertür aufzudecken.
Der Diebstahl erfolgt gezielt. Kleine Einzahlungen bleiben jahrelang unberührt, um Vertrauen aufzubauen und legitime Bewertungen zu generieren. Große Beträge werden innerhalb weniger Minuten gestohlen. Ein dokumentiertes Opfer zahlte 590 XMR ein – die innerhalb von zwei Tagen verschwunden waren. Konservative Gesamtsumme bei mehr als 15 dokumentierten Opfern: 5.000–50.000+ XMR gestohlen (1,5 Mio. $ – 15 Mio. $+ zu historischen Preisen). 60 % der Beiträge der Opfer wurden massenhaft gemeldet und gelöscht, bevor Beweise gesichert werden konnten.
session_key dem Betreiber bei jeder Sitzung.Wir haben die gtag-basierte Schlüsselexfiltration in einer Sandbox-Demo nachgestellt. Öffnen Sie DevTools → Registerkarte „Netzwerk“ → interagieren Sie mit der Wallet. Beobachten Sie session_key POST-Anfragen werden in Echtzeit ausgelöst. Genau das lief 10 Jahre lang. Genau das wurde bei der „Sicherheitsprüfung“ nie untersucht. Genau das hat NameSilo öffentlich verteidigt.
Der Satz, der NameSilo erklärte
Am 16. Februar 2026 schickte der Betreiber von xmrwallet.com eine E-Mail an PhishDestroy, in der er die Löschung des Eintrags forderte. Er unterschrieb mit „Nathalie Roy“ – GitHub-Konto nathroy, ID 39167759. Wir haben mit einer ausführlichen technischen Aufschlüsselung und einer schriftlichen Verwarnung geantwortet: „Was als Nächstes passiert, hängt ganz davon ab, wie du dich entscheidest, weiter vorzugehen.“
Am nächsten Tag schickte er einen einzigen Satz, der uns alles über seine Beziehung zu NameSilo verriet:
Drei Wochen, bevor NameSilo ihn als Opfer bezeichnete
Niemand, der einen zehn Jahre alten Abflussreiniger auf $550/mo bulletproof Belize hosting, der hinter „Russian DDoS-Guard“ steht, fordert Sie ganz gelassen auf, eine Vorladung an seinen Registrar zu richten – es sei denn, er kennt die Antwort bereits. Drei weitere Registrare (PDR, WebNic, NICENIC) haben seine Domains innerhalb weniger Tage nach Vorlage derselben Beweise gesperrt. NameSilo verfasste eine Pressemitteilung für ihn und bot ihm an, seine Daten zu bereinigen.
21. Januar 2026 – xmrwallet beauftragte PR Newswire gegen Bezahlung mit der Verbreitung einer Pressemitteilung, in der es hieß: „Private Schlüssel gelangen niemals auf zentrale Server.“ Die session_key Während dieses Zeitraums wurden bei jeder Benutzersitzung POST-Anfragen an den Produktionsserver gesendet. PR Newswire ist ein kostenpflichtiger Verbreitungsdienst – Unternehmen verfassen und finanzieren ihre Texte selbst, ohne redaktionelle Überprüfung. Quelle: PR Newswire, 21. Januar 2026
NameSilos vier Lügen – für das Protokoll
Am 13. März 2026 veröffentlichte der offizielle Account von NameSilo einen Beitrag in unserem Untersuchungs-Thread. 11.300 Aufrufe vor der Speicherung. Dauerhaft archiviert unter ghostarchive.org/archive/CXXZ0. Jeder Satz wird durch Primärquellen widerlegt:
-
1„Die Domain wurde vor einigen Monaten kompromittiert (wobei eine Kopie der Webseite durch einen Crypto-Drainer ersetzt wurde).“Die SHA-256-Hashwerte belegen, dass der Code unverändert geblieben ist. Der Betreiber hat uns bestätigt, dass dies der Fall war. sein eigenes PHP-Backend, das er 2018 geschrieben hat. Es wurde nichts injiziert. Die „Hack“-Geschichte wurde im Nachhinein erfunden.✗ ERFUNDEN
-
2„Zuvor hatten wir keine Meldungen über Missbrauch im Zusammenhang mit dieser Domain erhalten.“PhishDestroy allein hat gesendet Über 20 Berichte über das Portal von NameSilo (2023–2026), mit Lieferbelegen. Seit 2018 gibt es über 100 öffentliche Beschwerden auf BitcoinTalk und Reddit. Seit dieser falschen Behauptung wird jeder von uns eingereichte Bericht vor der Übermittlung mit Zeitstempeln veröffentlicht.✗ DURCH BELEGE WIDERLEGT
-
3„Nach einer umfassenden Prüfung … an der der Registrant nicht beteiligt war.“Der Betreiber schrieb uns am 17. Februar und verteidigte seinen Code als sein eigenes Werk – noch bevor NameSilo seinen Tweet veröffentlichte. Er hat zu keinem Zeitpunkt behauptet, es habe sich um einen Hackerangriff gehandelt. Die Ergebnisse ihrer „umfassenden Überprüfung“ stehen im Widerspruch zu den schriftlichen Aussagen ihres eigenen Registranten.✗ WIDERSPRÜCHLICH
-
4„Zusammenarbeit mit dem Registranten, um die Website aus den VirusTotal-Berichten zu entfernen.“Keine Behandlung von Missbrauch — einem notorischen Betrüger dabei helfen, Sicherheitswarnungen zu löschen, während der Drainer noch aktiv war. PDR, WebNic und NICENIC haben die Domains alle innerhalb weniger Tage nach Vorliegen derselben Beweise gesperrt. NameSilo bot an, den Eintrag zu bereinigen.✗ AKTIVE SCHÄDIGUNG DER OPFER
Wer ist NameSilo: Ein CIS-Outsourcing-Unternehmen mit einer Postanschrift in den USA
NameSilo LLC ist in Phoenix, Arizona, registriert. Das Unternehmen ist an der Canadian Securities Exchange unter dem Namen Brisio Innovations (CSE:BZI) notiert und wies im Jahr 2025 einen Umsatz von 65,5 Mio. C$ aus. Das eigentliche Entwicklerteam ist verteilt über Russland, Weißrussland, die Ukraine, Serbien, Argentinien und Lettland. Mindestens 13 russischsprachige Mitarbeiter wurden identifiziert. Die Person mit uneingeschränktem Zugriff auf die DevOps-Infrastruktur war ein Jahrzehnt lang für die IT eines russischen Finanzpyramidensystems verantwortlich, bevor sie zu NameSilo kam.
Aleksey Podashevskiy (Frontend) — Weißrussland, sanktioniertes Land, tätig für einen in den USA registrierten, von der ICANN akkreditierten Registrar. Insgesamt wurden mehr als 13 russischsprachige Mitarbeiter in Russland, Weißrussland, Serbien, Argentinien und Lettland identifiziert. In der Infrastrukturkette von xmrwallet gibt es keinerlei westliche Hosting-Anbieter.
Über 5,18 Millionen Domains im gesamten Portfolio von NameSilo analysiert – jede einzelne wurde mit VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish und SURBL abgeglichen.
xmrwallet PHP-Backend vollständig anhand von clientseitigen Verhaltensdaten rekonstruiert – ohne Serverzugriff, ohne Quellcode, ohne Mitwirkung. Der Diebstahlmechanismus wurde allein anhand beobachtbarer Netzwerkmuster nachgestellt.
13 Teammitglieder die Daten wurden über LinkedIn, GitHub, HeadHunter, Telegram, Unternehmensregister und Gerichtsakten in sechs Ländern miteinander abgeglichen. Löschmuster bei Trustpilot über mehrere Monate hinweg verfolgt, um einen systematischen Rhythmus der Entfernung zu ermitteln. CSE:BZI – Quartalsberichte mit den Daten des Domain-Portfolios abgeglichen, um die Umsatzabweichung zu identifizieren. 5,18 Millionen Domains anhand von 6 Bedrohungsinformationsquellen analysiert. Alle Rohdaten sind öffentlich zugänglich unter github.com/phishdestroy/namesilo-evidence. Eingereicht bei der ICANN, den Strafverfolgungsbehörden der EU und drei nationalen Einheiten zur Bekämpfung der Cyberkriminalität.
Die Domain-Anomalie: 32,2 % wurden nie aktiviert – eine statistische Täuschung
Wir haben die Daten abgerufen und analysiert jede Domain im Portfolio von NameSilo – alle 5,18 Millionen davon. Jede einzelne Domain wurde mit VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish und SURBL abgeglichen. Die Rohdaten, die Methodik und die Ergebnisse für jede einzelne Domain sind öffentlich zugänglich: github.com/phishdestroy/namesilo-evidence. Ergebnis: 32,2 % der Domains wurden noch nie aktiviert — im Vergleich zu 14,7–22,8 % bei vergleichbaren Registraren. 10.000–17.000 Massenregistrierungen an einem einzigen Tag (Spitzenwert: 17.180 am 19.07.2025). 12 Mio. $ wurden für nie aktivierte Domains ausgegeben; jährliche Burn Rate von 3,2 Mio. $ für Domains, die keinem Zweck dienen. Im Jahr 2024, als der NameSilo-Partner ShortDot neue TLDs (.sbs, .cfd zum Großhandelspreis von ca. 0,50 $, verkauft zum Einzelhandelspreis von 14,95 $ = 22–31-facher Aufschlag), die Registrierungen von „Dead-Domains“ stiegen sprunghaft an 615% innerhalb eines einzigen Jahres.
PrivacyGuardian verbirgt die Identität des Käufers auf über 3 Millionen Domains (die auf pw-{hex}@privacyguardian.org). Bitcoin wird akzeptiert. Kein KYC. Jede Phantom-Domain lässt das Verhältnis von Missbrauch zu Gesamtzahl kleiner erscheinen.
„so gut wie nichts“
jede 43. Website
1 Phishing-Versuch pro 2,5 legitime Versuche
NameSilo meldet einen Umsatz von 65,5 Mio. C$ (2025). KGV: 143,8× im Vergleich zu 21× in der Branche. Umsatz pro echter (aktiver) Domain: 68 C$ gegenüber 10–15 $ in der Branche. 95 ICANN-Registrare verkaufen .com-Domains günstiger. Wenn durch Massenregistrierungen von Phantom-Domains Erlöse gewaschen werden – BTC-zu-Domain mit einem Aufschlag von 22–31× –, tauchen diese in den bei der Canadian Securities Exchange eingereichten Quartalsberichten als „legitime Registrar-Einnahmen“ auf. Dieses Muster ist dokumentiert und wurde den Strafverfolgungsbehörden gemeldet.
prnewswire.com — Auftrag von Reach Systems / NASA, 23. Juni 2026
newswire.ca – Übernahme von SewerVUE, 12. September 2025
prnewswire.com — xmrwallet „Private Schlüssel gelangen niemals auf Server“, 21. Januar 2026
Was geschah, nachdem wir den Artikel veröffentlicht hatten?
Nachdem unser Bericht veröffentlicht worden war, richtete sich eine koordinierte Kampagne aus rechtlichen Maßnahmen und Plattformsperren gegen alle wichtigen Plattformen, auf denen PhishDestroy präsent war. Drei Mechanismen – jeder einzelne davon wurde protokolliert, archiviert und ist nun Teil der ICANN-Beschwerde Nr. 1479.
Noch bevor die Sperre in Kraft trat, veröffentlichten wir einen Tweet, in dem wir voraussagten, dass NameSilo auf die Unterdrückungstaktiken des Betrügers zurückgreifen würde, und versahen ihn in GhostArchive mit einem Zeitstempel. Sie taten genau das, was wir gesagt hatten – und zwar termingerecht. Die mit einem Zeitstempel versehene Vorhersage – die beweist, dass wir die Taktik bereits vor ihrer Anwendung vorausgesehen hatten – ist in der ICANN-Beschwerde gegen NameSilo (ICANN #1479) enthalten.
Alles läuft IPFS (phishdestroy.eth), Arweave, GhostArchive und Wayback Machine. 61 mit SHA-256 verifizierte Screenshots. Keine erfolgreiche rechtliche Anfechtung einer Behauptung. Keine technischen Gegenargumente seitens des Betreibers oder von NameSilo. Keine sachlichen Antworten – nur rechtliche Drohungen, persönliche Angriffe und gelöschte Tweets. Die vollständige Untersuchung mit Rohdaten, Team-Dossier, Geldwäscheanalyse und Hilfsangeboten für Betroffene finden Sie unter phishdestroy.eth.limo — auf IPFS, Arweave, GhostArchive und Wayback Machine gespiegelt. Keines dieser Archive erhält ein goldenes Häkchen.
Escape Domain Network: Bereits Monate vor der Abschaltung vorbereitet
Start 4. Februar 2026 — In derselben Woche, in der der Betreiber erstmals Kontakt zu PhishDestroy aufnahm, begann er, heimlich „Escape“-Domains bei vier verschiedenen Registraren zu registrieren und diese jeweils für 5 bis 10 Jahre im Voraus zu bezahlen. Die Infrastruktur war so konzipiert, dass sie jede einzelne Sperrung überstehen würde. Die Ermittlungen hat sie jedoch nicht überstanden.
Erste technische Aufschlüsselung mit vollständiger Belegung: github.com/phishdestroy/DO-NOT-USE-xmrwallet-com
| Domäne | Registrar | Prepaid | IP | Status |
|---|---|---|---|---|
| xmrwallet.cc | PublicDomainRegistry | 8 Jahre | 185.129.100.248 | AUSGESETZT |
| xmrwallet.biz | WebNic.cc | 5 Jahre | 190.115.31.40 | AUSGESETZT |
| xmrwallet.net | NICENIC International | 10 Jahre | 190.115.31.40 ← | DNS-Ausfall |
| xmrwallet.me | Key-Systems GmbH | 10 Jahre | 185.129.100.248 ← | AKTIV — Missbrauch gemeldet |
IP-Clustering: 185.129.100.248 Gemeinsam genutzt von .cc und .me – gleicher Host. 190.115.31.40 Gemeinsam genutzt von .biz und .net – gleicher Host. Vier Registrare, zwei IP-Cluster. 33 Jahre im Voraus bezahlte Registrierung. Alle wurden nach dem ersten Kontakt mit den Ermittlern heimlich registriert.
Gekaufter Ruf: Wikipedia, Forbes und mehr als 15 gesponserte Artikel
Der öffentliche Ruf von NameSilo ist inszeniert. Wikipedia: Kennzeichnung als bezahlter/werblicher Inhalt. Forbes: „Wir erhalten eine Provision“ – Offenlegung als Partnerprogramm. SmartCustomer: 1,8/5 – ohne negative Ergebnisse bei Google.
Zu „NameSilo“ gibt es einen Wikipedia-Artikel — von den Redakteuren als bezahlter/Werbeartikel gekennzeichnet, keine neutrale redaktionelle Berichterstattung. Bearbeitungshistorie (archiviert): en.wikipedia.org/w/index.php?title=NameSilo&action;=history
NameSilo erscheint auf Forbes Advisor mit einem ausdrücklichen Hinweis auf eine Partnerbeziehung: „Forbes Advisor hält sich an strenge redaktionelle Integritätsstandards … Wir erhalten eine Provision.“ Forbes Advisor verdient Geld, wenn sich Nutzer über seine Links anmelden – wodurch ein direkter finanzieller Anreiz für positive Berichterstattung entsteht. Quelle: forbes.com/advisor/business/software/namesilo-review/
NameSilo verfügt über eine Bewertung: 1,8/5 auf SmartCustomer — Quelle: smartcustomer.com/bewertungen/namesilo.com. Obwohl Dutzende negativer Bewertungen vorliegen, liefert eine Google-Suche keinerlei negative Ergebnisse – eine aktive Unterdrückung unter Einsatz derselben DSGVO- und DMCA-Instrumente, die auch gegen unsere Untersuchung angewendet wurden.
NameSilo Technologies Corp. (CSE:BZI / OTC: URLOF – börsennotierte Muttergesellschaft von NameSilo LLC) nutzt PR Newswire für Unternehmensmitteilungen. PR Newswire ist ein kostenpflichtiger Verbreitungsdienst: Das Unternehmen verfasst den Text und bezahlt für die Veröffentlichung. Beispiele für kostenpflichtige Pressemitteilungen von NameSilo Technologies:
- Übernahme der SewerVUE Technology Corp. — newswire.ca, 12. September 2025
- Tochtergesellschaft Reach Systems erhält Auftrag von der NASA — prnewswire.com, 23. Juni 2026
Derselbe Mechanismus: xmrwallet nutzte am 21. Januar 2026 PR Newswire, um seine Titelgeschichte („Private Schlüssel gelangen niemals auf zentrale Server“) zu veröffentlichen, während die Hintertür aktiv war. Bezahlte Verbreitung, bei der vom Betreiber verfasste Texte als berichtenswerte Inhalte präsentiert wurden.
Drei Positionen. Ein Unternehmen. Keine davon übersteht den Kontakt mit den anderen.
NameSilo hat keine einheitliche Linie vertreten. Das Unternehmen nahm nacheinander drei sich gegenseitig widersprechende Positionen ein – selbstbewusster Experte, bedrohtes Opfer, bescheidener Beamter –, je nachdem, wie groß das rechtliche Risiko zu dem jeweiligen Zeitpunkt war.
„Ihre Behauptungen sind falsch, verleumderisch und diffamierend. NameSilo ergreift Maßnahmen und prüft alle bei uns eingegangenen Missbrauchsmeldungen. Sollten Sie solche Fälle haben, reichen Sie diese bitte unter abuse@namesilo.com ein. Andernfalls wenden Sie sich bitte direkt an den Website-Host oder den Registranten. Und hören Sie mit Ihren Falschbehauptungen gegenüber uns auf, sonst sehen wir uns gezwungen, rechtliche Schritte einzuleiten.“
Wenn Ihr Team für Missbrauchsfälle die Kompetenz hätte, eine umfassende und gründliche Überprüfung durchführen, feststellen, dass die Domain gehackt wurde, den Registranten als Opfer identifizieren und ihm dabei helfen, die von VirusTotal gemeldeten Erkennungen zu entfernen — dann behaupten Sie ausdrücklich, über mehr Fachkompetenz und technisches Know-how zu verfügen als jeder Antiviren-Anbieter, der diese Domain als bösartig eingestuft hat.
Du kannst später nicht behaupten, dass du Berichte einfach bearbeiten und verfügen nicht über das nötige Fachwissen, um Phishing zu erkennen. In der ICANN-Beschwerde wird nicht nach Kompetenzen gefragt, über die Sie nicht verfügen. Es wird gefragt, warum Sie die Kompetenzen, über die Sie nachweislich verfügen, dazu genutzt haben, dem Betrüger zu helfen – und nicht den Opfern.
Trustpilot: Bot-Farmen im Wettbewerb mit anderen Bot-Farmen
Eine 5-Sterne-Bewertung für NameSilo (Jan. 2026): „Leonid war sehr hilfsbereit … 5 Sterne!“ Die andere Bewertung: für Otrium – ein Unternehmen, gegen das Vorwürfe wegen Betrugs und Gelddiebstahls erhoben werden. Ein Bot-Account, zwei Unternehmen, die mit Betrug in Verbindung stehen. Muster: namentlich genannte Support-Mitarbeiter, gelobte Reaktionszeit, vorlagenartige Formulierungen. Echte Domain-Käufer bewerten Preise und die Benutzererfahrung im Control Panel. Bot-Bewertungen loben „Leonid“.
Datenanalyse – 2.280 Bewertungen zu NameSilo gegenüber 2.480 Bewertungen zu Namecheap
| Metrisch | NameSilo | Namecheap |
|---|---|---|
| 5-Sterne-Bewertungen | 88.9% | 74.0% |
| 1-Stern-Bewertungen | 7.2% | 16.7% |
| Konten mit einer einzigen Bewertung | 62.4% | 59.6% |
| Kein Avatar (neue Konten) | 67.3% | 51.5% |
| Bewertungen zu Support/Service | 70.0% | 60.2% |
| Bewertungen zum Preis/zu den Kosten | 9.8% | 37.5% |
| Der Agent mit dem Decknamen „Leonid“ | 5.7% | 0.0% |
| Geolokalisierung in den USA | 35.1% | 26.5% |
Leonid tauchte am 13. April 2025 auf. Zuvor gab es keinerlei Erwähnungen. Dann folgten 65 Bewertungen in seinen ersten beiden Monaten. Mai 2025: 106 Bewertungen (5× so viele wie üblich), 95 % Fünf-Sterne-Bewertungen, keine Ein-Sterne-Bewertung. Kein einziger unzufriedener Kunde in 106 Bewertungen für einen Registrar, der bei den .com-Preisen auf Platz 96 rangiert.
43 % der Bewertungen zu „Leonid“ sind kürzer als 80 Zeichen. Vier davon bestehen lediglich aus dem Titel „Leonid“. Noch drei: „Leonid war sehr hilfsbereit.“ Unter den Rezensenten: „Satoshi Nakamoto“, „Autor“, „Виктор -“, „Anna Koroleva“, „Boris Martin“, „Andrei Dobrescu“ gemischt mit „Brad“, „LaToya“, „Patty Johnson“. Ein Namensgenerator, der durch die Kontinente wechselt. Der Name Leonid ist russisch.
Keine Vier-Sterne-Bewertungen. Keine Drei-Sterne-Bewertungen. Sonst gar nichts. 91 % der Bewertungen stammen von Konten mit nur einer Bewertung. Über einen Zeitraum von 7 Jahren. China: 94 % Fünf-Sterne-Bewertungen, 80 % davon mit nur einer Bewertung. Singapur: 95 % Fünf-Sterne-Bewertungen. Insgesamt 168 Bewertungen aus chinesischsprachigen Märkten – fast ausschließlich gefälscht.
Warum China? NameSilo betreibt dort aktive Marketingmaßnahmen: namesilo-china.com, bcbay.com/namesilo, bezahlte chinesische Blogbeiträge, ein Artikel in der chinesischen Wikipedia. Wenn Ermittler fragen: „Wer kauft 4,22 Millionen stillgelegte Domains?“, verweist NameSilo auf China. Die Trustpilot-Daten zeigen, dass das Unternehmen dieses Alibi seit 2019 aufbaut – eine gefälschte Bewertung nach der anderen.
Unabhängige forensische Analyse der Claude-API – Blindtest
2.480 Trustpilot-Bewertungen zu NameSilo und 2.480 zu Namecheap wurden an die Claude-API übermittelt und dabei als „Unternehmen A“ (NameSilo) und „Unternehmen B“ (Namecheap) anonymisiert. Die KI hatte keine Kenntnis davon, welches Unternehmen welches war.
| Forensischer Indikator | NameSilo (A) | Namecheap (B) |
|---|---|---|
| 5-Sterne-Bewertung | 89.1% | 74.0% |
| Anteil der 1-Stern-Bewertungen | 7.1% | 16.7% |
| Einweg-Konten, die 5 Sterne vergeben | 92% | ~65% |
| Bewertungen, in denen der Preis erwähnt wird | 11.2% | 39.2% |
| In Rezensionen als einziger Akteur genannt | Leonid: 168 | keine |
| 5-Sterne-Wortschatzvielfalt (TTR) | 0.073 | ~0.15 |
| HK: 100 % Fünf-Sterne-Bewertung | 57/57 | k. A. |
| Spitzenwert Mai–Juni 2025 (5-facher Normalwert) | 215 Bewertungen | keine |
| Urteil zur Manipulation durch KI | 92% | 15% |
„Unternehmen A weist umfangreiche, vielschichtige Anzeichen für eine systematische Manipulation von Bewertungen durch koordinierte künstliche Generierung auf. Die Wahrscheinlichkeit, dass diese Muster auf natürliche Weise entstehen, tendiert gegen Null.“
Ausführliche Analyse: phishdestroy.eth.limo/namesilo-trustpilot.html · Rohdaten: trustpilot-forensic-report-final.txt
Was die Untersuchung ergeben hat
Nach den Recherchen und der Veröffentlichung durch PhishDestroy stellte xmrwallet.com den Betrieb ein. Der Betreiber verschickte eine Abschiedsnachricht – und unterschrieb diese bemerkenswerterweise nicht mehr mit „Nathalie Roy“. Die Identität, die jahrelang das öffentliche Gesicht von xmrwallet gewesen war, wurde stillschweigend aufgegeben. Eine Erklärung wurde nicht gegeben.
xmrwallet.com wurde schließlich auf sein GitHub-Repository umgeleitet – dieselbe öffentliche Fassade, die ein Jahrzehnt lang als „Open-Source“-Alibi gedient hatte. Dazu waren drei Versuche nötig. Das Repository war seit 5 Jahre Vor der Umleitung: keine Commits, keine Updates, keine Wartungsarbeiten – was zu einem Projekt passt, dessen tatsächlicher Code ausschließlich auf einem nicht geprüften Produktionsserver lag und nie zur öffentlichen Überprüfung bestimmt war.
xmrwallet.com wurde im Mai 2026 zu Namecheap übertragen und ist bis 2036 registriert. NameSilo betrachtet die Angelegenheit offenbar als geklärt. Das ist es nicht.
Du dachtest, die Experten, die jeden Antiviren-Anbieter übertrumpfen konnten, würden aufhören, sobald die Domain umgezogen ist? Die Ermittlungen laufen auf IPFS. Sie laufen auf Arweave. Sie laufen im offiziellen Beschwerdesystem der ICANN. Sie laufen bei den Strafverfolgungsbehörden der EU. Sie laufen bei drei nationalen Einheiten zur Bekämpfung der Cyberkriminalität. Die rechtliche Drohung fügte der Akte einen weiteren Zeitstempel hinzu. Die Domainübertragung fügte ein weiteres Beweisstück hinzu. Jede Maßnahme, die ergriffen wurde, um diese Untersuchung zu unterbinden, ist selbst ein dokumentierter Beweis für das von uns beschriebene Muster.
Ihr wart in dieser Situation nicht die Klügsten. Ihr hattet nur eine Zeit lang mehr Geld.


