>
PhishDestroy Live
Zurück zu den Nachrichten
 Teilen: Beitrag Telegram
● EILMELDUNGAktualisiert am 2. Juli 2026 – ICANN-Antrag Nr. 1479 eingereicht
Untersuchung

NameSilo Verteidigung eines „Crypto Drainer“ im Wert von 100 Millionen Dollar
— Dann Wir haben unseren Twitter-Account deaktiviert

Ein von der ICANN akkreditierter Registrar veröffentlichte 4 nachgewiesene Lügen Um eine zehnjährige Monero-Diebstahlaktion zu decken, bot das Unternehmen an, seinen VirusTotal-Eintrag zu löschen, während der Drainer noch aktiv war, und nutzte anschließend ein kostenpflichtiges X-Gold-Häkchen, um die Forscher zum Schweigen zu bringen, die ihnen das Gegenteil bewiesen hatten. Ihr DevOps-Ingenieur: ehemaliger IT-Leiter bei einem russischen Finanzpyramidensystem seit einem Jahrzehnt.

1. April 2026 – Aktualisiert am 2. Juli 2026 PhishDestroy-Forschung 10 Minuten Lesezeit 61 SHA-256-geprüfte Dateien
$0M+ Vermutlich gestohlen
0 Jahre Operation Lebensdauer
0 Dokumentierte Lügen
0k Von Bing aus dem Index entfernte Seiten
0+ Bewertungen gelöscht
0 SHA-256-Beweisdateien
Den vollständigen Untersuchungsbericht finden Sie unter phishdestroy.eth.limo

Dieser Artikel ist eine Vorschau. Die vollständigen Belege, IPFS-Archive und das gesamte Quellenmaterial finden Sie unter dem obigen Link.

Der Hintergrund: Was xmrwallet.com eigentlich ist

xmrwallet.com ist keine Phishing-Seite. Es handelt sich um eine voll funktionsfähige Monero-Wallet mit einer serverseitigen Hintertür Errichtet im Jahr 2018 und in Betrieb bis Mai 2026 – fast ein Jahrzehnt. Das GitHub-Repository dient lediglich als öffentliche Fassade. Der gestohlene Code existiert ausschließlich auf dem Produktionsserver, wurde nie in den Code übernommen und nie geprüft.

Bei jeder Benutzerinteraktion wird der private View-Schlüssel per POST-Anfrage an die Server des Betreibers gesendet, und zwar Base64-kodiert in einer Variablen namens session_key — ungefähr 40 Übertragungen pro Sitzung. Die clientseitige Transaktion wird explizit verworfen (raw_tx_and_hash.raw = 0); der Server erstellt seine eigenen Schlüssel mithilfe der gestohlenen Schlüssel.

Das „Sicherheitsaudit“ von 2018, das nichts abdeckte

Das NewAlchemy-Audit erhielt 67 „Upvotes“ auf Reddit und diente jahrelang als Vertrauenssignal. Sein ausdrücklicher Umfang: „Ausschließlich clientseitiges JavaScript.“ Ausdrücklich ausgenommen sind: „zahlreiche PHP-API-Endpunkte.“ Diese Endpunkte stellen den eigentlichen Mechanismus des Diebstahls dar. Die Prüfung war strukturell nicht in der Lage, die Hintertür aufzudecken.

Der Diebstahl erfolgt gezielt. Kleine Einzahlungen bleiben jahrelang unberührt, um Vertrauen aufzubauen und legitime Bewertungen zu generieren. Große Beträge werden innerhalb weniger Minuten gestohlen. Ein dokumentiertes Opfer zahlte 590 XMR ein – die innerhalb von zwei Tagen verschwunden waren. Konservative Gesamtsumme bei mehr als 15 dokumentierten Opfern: 5.000–50.000+ XMR gestohlen (1,5 Mio. $ – 15 Mio. $+ zu historischen Preisen). 60 % der Beiträge der Opfer wurden massenhaft gemeldet und gelöscht, bevor Beweise gesichert werden konnten.

# The smoking gun: client-side transaction explicitly discarded raw_tx_and_hash.raw = 0 # thrown away; server builds its own with stolen keys # ~40 POST transmissions per session, every session, since 2016: session_key = base64_encode(wallet_address + ":" + private_view_key) # GitHub: 0 occurrences of "session_key" in any commit # Production server: core theft variable, all versions, since 2016
xmrwallet-Backdoor – Die öffentliche GitHub-Fassade leitet den Datenverkehr einwandfrei weiter, während der versteckte Produktionsserver den session_key abgreift
Der Diebstahl in einer Grafik: Grün = öffentliches GitHub-Repo (sauber, geprüft, vertrauenswürdig). Rot = Produktionsserver – nie in einem Commit enthalten, nie geprüft, Daten werden abgezogen session_key dem Betreiber bei jeder Sitzung.
 Live-Demo – Wir haben den Exploit neu entwickelt
Beobachten Sie, wie der session_key in Ihrem Browser abgezogen wird

Wir haben die gtag-basierte Schlüsselexfiltration in einer Sandbox-Demo nachgestellt. Öffnen Sie DevTools → Registerkarte „Netzwerk“ → interagieren Sie mit der Wallet. Beobachten Sie session_key POST-Anfragen werden in Echtzeit ausgelöst. Genau das lief 10 Jahre lang. Genau das wurde bei der „Sicherheitsprüfung“ nie untersucht. Genau das hat NameSilo öffentlich verteidigt.

Interaktive Demo öffnen

Der Satz, der NameSilo erklärte

Eindeutiger Beweis – zerbrochener Hammer und leuchtende Anführungszeichen
17. Februar 2026. Ein Satz. Ein Jahrzehnt des Vertrauens in seinen Registrator.

Am 16. Februar 2026 schickte der Betreiber von xmrwallet.com eine E-Mail an PhishDestroy, in der er die Löschung des Eintrags forderte. Er unterschrieb mit „Nathalie Roy“ – GitHub-Konto nathroy, ID 39167759. Wir haben mit einer ausführlichen technischen Aufschlüsselung und einer schriftlichen Verwarnung geantwortet: „Was als Nächstes passiert, hängt ganz davon ab, wie du dich entscheidest, weiter vorzugehen.“

Am nächsten Tag schickte er einen einzigen Satz, der uns alles über seine Beziehung zu NameSilo verriet:

„Sie können den Domain-Registrar gerne vorladen, um meine Daten einzuholen.“
— Betreiber von xmrwallet.com, 17. Februar 2026
Drei Wochen, bevor NameSilo ihn als Opfer bezeichnete

Niemand, der einen zehn Jahre alten Abflussreiniger auf $550/mo bulletproof Belize hosting, der hinter „Russian DDoS-Guard“ steht, fordert Sie ganz gelassen auf, eine Vorladung an seinen Registrar zu richten – es sei denn, er kennt die Antwort bereits. Drei weitere Registrare (PDR, WebNic, NICENIC) haben seine Domains innerhalb weniger Tage nach Vorlage derselben Beweise gesperrt. NameSilo verfasste eine Pressemitteilung für ihn und bot ihm an, seine Daten zu bereinigen.

Während die Hintertür aktiv war: xmrwallet bezahlte PR Newswire dafür, das Gegenteil zu behaupten

21. Januar 2026 – xmrwallet beauftragte PR Newswire gegen Bezahlung mit der Verbreitung einer Pressemitteilung, in der es hieß: „Private Schlüssel gelangen niemals auf zentrale Server.“ Die session_key Während dieses Zeitraums wurden bei jeder Benutzersitzung POST-Anfragen an den Produktionsserver gesendet. PR Newswire ist ein kostenpflichtiger Verbreitungsdienst – Unternehmen verfassen und finanzieren ihre Texte selbst, ohne redaktionelle Überprüfung. Quelle: PR Newswire, 21. Januar 2026


NameSilos vier Lügen – für das Protokoll

Am 13. März 2026 veröffentlichte der offizielle Account von NameSilo einen Beitrag in unserem Untersuchungs-Thread. 11.300 Aufrufe vor der Speicherung. Dauerhaft archiviert unter ghostarchive.org/archive/CXXZ0. Jeder Satz wird durch Primärquellen widerlegt:


Wer ist NameSilo: Ein CIS-Outsourcing-Unternehmen mit einer Postanschrift in den USA

NameSilo LLC ist in Phoenix, Arizona, registriert. Das Unternehmen ist an der Canadian Securities Exchange unter dem Namen Brisio Innovations (CSE:BZI) notiert und wies im Jahr 2025 einen Umsatz von 65,5 Mio. C$ aus. Das eigentliche Entwicklerteam ist verteilt über Russland, Weißrussland, die Ukraine, Serbien, Argentinien und Lettland. Mindestens 13 russischsprachige Mitarbeiter wurden identifiziert. Die Person mit uneingeschränktem Zugriff auf die DevOps-Infrastruktur war ein Jahrzehnt lang für die IT eines russischen Finanzpyramidensystems verantwortlich, bevor sie zu NameSilo kam.

DevOps – Vollständiger Zugriff auf die Infrastruktur
Michail Tschudinow
Argentinien (umgesiedelt)
Zuvor IT-Leiter bei SuperKopilka — Russisches Pyramidensystem, 2007–2017. Zehn Jahre lang leitete er die IT für ein Geldumlaufsystem, bis es zusammenbrach. Bezeichnet sich selbst als „Krypto-Enthusiast“. Bei NameSilo: vollständige DevOps-Zugriffsrechte auf die gesamte Infrastruktur.
Ehemaliger IT-Leiter bei Pyramid, 10 Jahre
PHP-Backend-Entwickler
Ivan Borzenkov
Brjansk, Russland (+7 920)
In Russland ansässiger Backend-Entwickler. GitHub: ivan1986. Direkter PHP-Zugriff auf das NameSilo-Backend von Russland aus.
🇷🇺 Backend-Zugriff mit Standort in Russland
Projektleiter
Wladimir Voskov
Moskau, Russland
Zuvor Zyfra GmbH — Russische staatliche Aufträge im Bereich der industriellen Automatisierung. Verwaltung eines in den USA registrierten Domain-Registrars von Moskau aus.
🇷🇺 Moskau – ehemaliger staatlicher Auftragnehmer
Leitender Projektmanager
Tatiana Labutina
Belgrad, Serbien
Zuvor ForexClub Libertex — Russischer Devisenbroker, gegen den mehrere Sanktionen von EU-Aufsichtsbehörden verhängt wurden. Belgrad: wichtigster Umsiedlungsstandort für russische Fachkräfte nach 2022.
Ehemals ForexClub, jetzt Libertex
Ebenfalls identifiziert

Aleksey Podashevskiy (Frontend) — Weißrussland, sanktioniertes Land, tätig für einen in den USA registrierten, von der ICANN akkreditierten Registrar. Insgesamt wurden mehr als 13 russischsprachige Mitarbeiter in Russland, Weißrussland, Serbien, Argentinien und Lettland identifiziert. In der Infrastrukturkette von xmrwallet gibt es keinerlei westliche Hosting-Anbieter.

Umfang der Untersuchung

Über 5,18 Millionen Domains im gesamten Portfolio von NameSilo analysiert – jede einzelne wurde mit VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish und SURBL abgeglichen.

xmrwallet PHP-Backend vollständig anhand von clientseitigen Verhaltensdaten rekonstruiert – ohne Serverzugriff, ohne Quellcode, ohne Mitwirkung. Der Diebstahlmechanismus wurde allein anhand beobachtbarer Netzwerkmuster nachgestellt.

13 Teammitglieder die Daten wurden über LinkedIn, GitHub, HeadHunter, Telegram, Unternehmensregister und Gerichtsakten in sechs Ländern miteinander abgeglichen. Löschmuster bei Trustpilot über mehrere Monate hinweg verfolgt, um einen systematischen Rhythmus der Entfernung zu ermitteln. CSE:BZI – Quartalsberichte mit den Daten des Domain-Portfolios abgeglichen, um die Umsatzabweichung zu identifizieren. 5,18 Millionen Domains anhand von 6 Bedrohungsinformationsquellen analysiert. Alle Rohdaten sind öffentlich zugänglich unter github.com/phishdestroy/namesilo-evidence. Eingereicht bei der ICANN, den Strafverfolgungsbehörden der EU und drei nationalen Einheiten zur Bekämpfung der Cyberkriminalität.


Die Domain-Anomalie: 32,2 % wurden nie aktiviert – eine statistische Täuschung

Wir haben die Daten abgerufen und analysiert jede Domain im Portfolio von NameSilo – alle 5,18 Millionen davon. Jede einzelne Domain wurde mit VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish und SURBL abgeglichen. Die Rohdaten, die Methodik und die Ergebnisse für jede einzelne Domain sind öffentlich zugänglich: github.com/phishdestroy/namesilo-evidence. Ergebnis: 32,2 % der Domains wurden noch nie aktiviert — im Vergleich zu 14,7–22,8 % bei vergleichbaren Registraren. 10.000–17.000 Massenregistrierungen an einem einzigen Tag (Spitzenwert: 17.180 am 19.07.2025). 12 Mio. $ wurden für nie aktivierte Domains ausgegeben; jährliche Burn Rate von 3,2 Mio. $ für Domains, die keinem Zweck dienen. Im Jahr 2024, als der NameSilo-Partner ShortDot neue TLDs (.sbs, .cfd zum Großhandelspreis von ca. 0,50 $, verkauft zum Einzelhandelspreis von 14,95 $ = 22–31-facher Aufschlag), die Registrierungen von „Dead-Domains“ stiegen sprunghaft an 615% innerhalb eines einzigen Jahres.

NameSilo: Geografische Verteilung und Domain-Umfang – Unternehmen aus Phoenix, Arizona, CIS-Team, 5,18 Millionen Domains
In den USA registriert. Von der GUS betrieben. 5,18 Millionen Domains, davon 32,2 % nie aktiviert. Das Team, das die Verbindungen von Phoenix über Moskau bis nach Buenos Aires herstellt.

PrivacyGuardian verbirgt die Identität des Käufers auf über 3 Millionen Domains (die auf pw-{hex}@privacyguardian.org). Bitcoin wird akzeptiert. Kein KYC. Jede Phantom-Domain lässt das Verhältnis von Missbrauch zu Gesamtzahl kleiner erscheinen.

0.43% gegenüber insgesamt 5,18 Mio.
„so gut wie nichts“
2.34% vs HTTP-alive
jede 43. Website
40.9% im Vergleich zu echten Unternehmen
1 Phishing-Versuch pro 2,5 legitime Versuche
Finanzielle Anomalie: CSE:BZI

NameSilo meldet einen Umsatz von 65,5 Mio. C$ (2025). KGV: 143,8× im Vergleich zu 21× in der Branche. Umsatz pro echter (aktiver) Domain: 68 C$ gegenüber 10–15 $ in der Branche. 95 ICANN-Registrare verkaufen .com-Domains günstiger. Wenn durch Massenregistrierungen von Phantom-Domains Erlöse gewaschen werden – BTC-zu-Domain mit einem Aufschlag von 22–31× –, tauchen diese in den bei der Canadian Securities Exchange eingereichten Quartalsberichten als „legitime Registrar-Einnahmen“ auf. Dieses Muster ist dokumentiert und wurde den Strafverfolgungsbehörden gemeldet.

Wie NameSilo „Medienberichterstattung“ für CSE:BZI-Anleger inszeniert – 6 Schritte
1
NameSilo verfasst eine Pressemitteilung über sich selbst. In der dritten Person. „NameSilo, der am schnellsten wachsende Registrar...“
3
PR Newswire veröffentlicht die Meldung automatisch auf Yahoo Finance, Morningstar, StockWatch, newswire.ca — für alle, die bezahlt haben: keine redaktionelle Überprüfung.
4
Yahoo Finance veröffentlicht dies mit einer kleinen Anmerkung: „Dies ist eine bezahlte Pressemitteilung.“
5
Auf der Aktienseite von NameSilo für CSE:BZI wird nun Folgendes angezeigt: „Medienberichterstattung.“ „Yahoo Finance hat über uns berichtet.“ „StockWatch hat über uns berichtet.“
!
Niemand hat über sie geschrieben. Sie haben selbst darüber geschrieben und dafür bezahlt, dass es wie eine Nachricht aussah. Dies ist die „Medienberichterstattung“ auf der CSE-Anlegerseite eines Unternehmens, dessen Registerführer einen aktiven Monero-Drainer öffentlich verteidigt hat.
 Eine bezahlte Pressemitteilung für 805 Dollar ≠ unabhängiger Journalismus. CSE:BZI-Anleger: Schaut genau hin.

Was geschah, nachdem wir den Artikel veröffentlicht hatten?

Nachdem unser Bericht veröffentlicht worden war, richtete sich eine koordinierte Kampagne aus rechtlichen Maßnahmen und Plattformsperren gegen alle wichtigen Plattformen, auf denen PhishDestroy präsent war. Drei Mechanismen – jeder einzelne davon wurde protokolliert, archiviert und ist nun Teil der ICANN-Beschwerde Nr. 1479.

X / Twitter – Der Account @Phish_Destroy wurde gesperrt. X Gold Checkmark bietet Abonnenten einen bevorzugten Support-Kanal, der regulären Nutzern nicht zur Verfügung steht. Über diesen Kanal wurde eine Beschwerde gegen unser Konto eingereicht. Das automatisierte Überprüfungssystem von X hat den Fall bearbeitet, uns schriftlich entlastet und bestätigt, dass keine Verstöße vorliegen. Die Sperre blieb dennoch bestehen. Wir haben das Entlastungsschreiben veröffentlicht, noch bevor die Sperre aufgehoben wurde – die mit einem Zeitstempel versehene Vorhersage von GhostArchive ist in ICANN #1479 enthalten.
Google – Anträge auf Löschung gemäß DSGVO + DMCA-Beschwerden. Im Rahmen der DSGVO wurden europäische Anträge auf das „Recht auf Löschung“ gestellt, um Google dazu zu zwingen, bestimmte PhishDestroy-Untersuchungsseiten aus den Suchergebnissen zu entfernen. Parallel dazu wurden DMCA-Löschungsaufforderungen eingereicht, die sich gegen die URLs der Untersuchungsseiten richteten. Beide Mechanismen wurden gleichzeitig angewendet – rechtlicher Druck über das EU-Datenschutzrecht, urheberrechtlicher Druck über US-Recht. Der Inhalt der Untersuchung selbst wurde in sachlicher Hinsicht nie erfolgreich angefochten.
Bing – 108.000 Seiten wurden an einem einzigen Tag aus dem Index entfernt. Die gesamte Website phishdestroy.io – 108.000 indexierte Seiten – wurde in einem einzigen Massenvorgang aus der Bing-Suche entfernt. Das Timing war perfekt: Die Deindexierung fiel genau mit der Veröffentlichung unseres NameSilo-Berichts zusammen. Kein schrittweises Crawling-Problem, kein technischer Fehler – eine einzige Massenbeschwerde, die Bing ohne Vorankündigung bearbeitet hat.
IPFS – sie haben Beschwerden eingereicht. Es hat sich nichts geändert. Gegen die ENS-Domain und die Gateway-Dienste wurden Anträge auf Löschung gestellt. phishdestroy.eth.limo ist weiterhin voll funktionsfähig. IPFS-Inhalte werden über einen SHA-256-Hash adressiert – es gibt keinen Server, den man abschalten könnte, kein Hosting-Konto, das man sperren könnte, keinen Registrar, auf den man Druck ausüben könnte, und kein CDN, das man kontaktieren könnte. Die Untersuchung findet gleichzeitig auf Arweave, GhostArchive und der Wayback Machine statt. Die Wut ist proportional zur Hilflosigkeit.
Zensurkampagne auf verschiedenen Plattformen – X Gold Checkmark, Google DSGVO, Bing Deindexierung
Ein goldenes Häkchen. Drei rechtliche Mechanismen. 108.000 Bing-Seiten. Jede Plattform wurde nach derselben Veröffentlichung getroffen. So sieht von Unternehmen finanzierte Zensur aus.
Wir haben es vorhergesagt – mit Zeitstempel in GhostArchive, noch bevor es passierte

Noch bevor die Sperre in Kraft trat, veröffentlichten wir einen Tweet, in dem wir voraussagten, dass NameSilo auf die Unterdrückungstaktiken des Betrügers zurückgreifen würde, und versahen ihn in GhostArchive mit einem Zeitstempel. Sie taten genau das, was wir gesagt hatten – und zwar termingerecht. Die mit einem Zeitstempel versehene Vorhersage – die beweist, dass wir die Taktik bereits vor ihrer Anwendung vorausgesehen hatten – ist in der ICANN-Beschwerde gegen NameSilo (ICANN #1479) enthalten.

Das Archiv darf nicht berührt werden

Alles läuft IPFS (phishdestroy.eth), Arweave, GhostArchive und Wayback Machine. 61 mit SHA-256 verifizierte Screenshots. Keine erfolgreiche rechtliche Anfechtung einer Behauptung. Keine technischen Gegenargumente seitens des Betreibers oder von NameSilo. Keine sachlichen Antworten – nur rechtliche Drohungen, persönliche Angriffe und gelöschte Tweets. Die vollständige Untersuchung mit Rohdaten, Team-Dossier, Geldwäscheanalyse und Hilfsangeboten für Betroffene finden Sie unter phishdestroy.eth.limo — auf IPFS, Arweave, GhostArchive und Wayback Machine gespiegelt. Keines dieser Archive erhält ein goldenes Häkchen.


Escape Domain Network: Bereits Monate vor der Abschaltung vorbereitet

Start 4. Februar 2026 — In derselben Woche, in der der Betreiber erstmals Kontakt zu PhishDestroy aufnahm, begann er, heimlich „Escape“-Domains bei vier verschiedenen Registraren zu registrieren und diese jeweils für 5 bis 10 Jahre im Voraus zu bezahlen. Die Infrastruktur war so konzipiert, dass sie jede einzelne Sperrung überstehen würde. Die Ermittlungen hat sie jedoch nicht überstanden.

Erste technische Aufschlüsselung mit vollständiger Belegung: github.com/phishdestroy/DO-NOT-USE-xmrwallet-com

Escape Domains – Registrierung erfolgte nach Einleitung der Ermittlungen
Domäne Registrar Prepaid IP Status
xmrwallet.cc PublicDomainRegistry 8 Jahre 185.129.100.248 AUSGESETZT
xmrwallet.biz WebNic.cc 5 Jahre 190.115.31.40 AUSGESETZT
xmrwallet.net NICENIC International 10 Jahre 190.115.31.40 ← DNS-Ausfall
xmrwallet.me Key-Systems GmbH 10 Jahre 185.129.100.248 ← AKTIV — Missbrauch gemeldet

IP-Clustering: 185.129.100.248 Gemeinsam genutzt von .cc und .me – gleicher Host. 190.115.31.40 Gemeinsam genutzt von .biz und .net – gleicher Host. Vier Registrare, zwei IP-Cluster. 33 Jahre im Voraus bezahlte Registrierung. Alle wurden nach dem ersten Kontakt mit den Ermittlern heimlich registriert.


Gekaufter Ruf: Wikipedia, Forbes und mehr als 15 gesponserte Artikel

Der öffentliche Ruf von NameSilo ist inszeniert. Wikipedia: Kennzeichnung als bezahlter/werblicher Inhalt. Forbes: „Wir erhalten eine Provision“ – Offenlegung als Partnerprogramm. SmartCustomer: 1,8/5 – ohne negative Ergebnisse bei Google.

Wikipedia – Von den Redakteuren als Werbung gekennzeichnet

Zu „NameSilo“ gibt es einen Wikipedia-Artikel — von den Redakteuren als bezahlter/Werbeartikel gekennzeichnet, keine neutrale redaktionelle Berichterstattung. Bearbeitungshistorie (archiviert): en.wikipedia.org/w/index.php?title=NameSilo&action;=history

Forbes Advisor – Offenlegung von Affiliate-Provisionen

NameSilo erscheint auf Forbes Advisor mit einem ausdrücklichen Hinweis auf eine Partnerbeziehung: „Forbes Advisor hält sich an strenge redaktionelle Integritätsstandards … Wir erhalten eine Provision.“ Forbes Advisor verdient Geld, wenn sich Nutzer über seine Links anmelden – wodurch ein direkter finanzieller Anreiz für positive Berichterstattung entsteht. Quelle: forbes.com/advisor/business/software/namesilo-review/

SmartCustomer: 1,8/5 – Keine negativen Ergebnisse bei Google

NameSilo verfügt über eine Bewertung: 1,8/5 auf SmartCustomer — Quelle: smartcustomer.com/bewertungen/namesilo.com. Obwohl Dutzende negativer Bewertungen vorliegen, liefert eine Google-Suche keinerlei negative Ergebnisse – eine aktive Unterdrückung unter Einsatz derselben DSGVO- und DMCA-Instrumente, die auch gegen unsere Untersuchung angewendet wurden.

PR Newswire – Selbstveröffentlicht, bezahlt, keine redaktionelle Überprüfung

NameSilo Technologies Corp. (CSE:BZI / OTC: URLOF – börsennotierte Muttergesellschaft von NameSilo LLC) nutzt PR Newswire für Unternehmensmitteilungen. PR Newswire ist ein kostenpflichtiger Verbreitungsdienst: Das Unternehmen verfasst den Text und bezahlt für die Veröffentlichung. Beispiele für kostenpflichtige Pressemitteilungen von NameSilo Technologies:

Derselbe Mechanismus: xmrwallet nutzte am 21. Januar 2026 PR Newswire, um seine Titelgeschichte („Private Schlüssel gelangen niemals auf zentrale Server“) zu veröffentlichen, während die Hintertür aktiv war. Bezahlte Verbreitung, bei der vom Betreiber verfasste Texte als berichtenswerte Inhalte präsentiert wurden.


Drei Positionen. Ein Unternehmen. Keine davon übersteht den Kontakt mit den anderen.

NameSilo hat keine einheitliche Linie vertreten. Das Unternehmen nahm nacheinander drei sich gegenseitig widersprechende Positionen ein – selbstbewusster Experte, bedrohtes Opfer, bescheidener Beamter –, je nachdem, wie groß das rechtliche Risiko zu dem jeweiligen Zeitpunkt war.

1
März 2026 – Die Position des selbstbewussten Experten
Das Missbrauchsteam von NameSilo hat endgültig festgelegt Die Domain wurde gehackt. Sie haben den Hackerangriff untersucht. Sie wissen, dass der Registrant das Opfer ist. Sie sind ihm dabei helfen, die von VirusTotal gemeldeten Fundstellen zu entfernen — was nach ihrer eigenen Logik bedeutet, dass sie mehr Autorität besitzen als jeder Antiviren-Anbieter, der die Domain als verdächtig markiert hat. Vertrauensgrad: absolut.
2
Phase 2 – Die rechtliche Drohung (öffentlicher Tweet, 11. Mai 2026)
@namesilo – Offizieller Account mit goldenem Häkchen – 11. Mai 2026 · 417 Aufrufe · 107 Antworten

„Ihre Behauptungen sind falsch, verleumderisch und diffamierend. NameSilo ergreift Maßnahmen und prüft alle bei uns eingegangenen Missbrauchsmeldungen. Sollten Sie solche Fälle haben, reichen Sie diese bitte unter abuse@namesilo.com ein. Andernfalls wenden Sie sich bitte direkt an den Website-Host oder den Registranten. Und hören Sie mit Ihren Falschbehauptungen gegenüber uns auf, sonst sehen wir uns gezwungen, rechtliche Schritte einzuleiten.“

Der selbstbewusste Experte, der den Hackerangriff untersucht, den Registranten als Opfer identifiziert und ihm dabei geholfen hatte, die von VirusTotal gemeldeten Bedrohungen zu beseitigen, ist nun nichts weiter als ein einfacher E-Mail-Posteingang für Missbrauchsmeldungen. Die Ermittlungen lösten sich in Luft auf. Das Fachwissen löste sich in Luft auf. Übrig blieb nur noch die rechtliche Drohung.
3
Antwort der ICANN – Die bescheidene Position des Prozessors
Jetzt bearbeiten sie Meldungen. Jetzt können sie Phishing nicht mehr erkennen. Jetzt verlassen sie sich auf die Hosting-Anbieter. Das Team, das übertraf alle großen Antiviren-Anbieter und kam zu dem Schluss, dass die Domain sicher war ist jetzt zu bescheiden, um anzurufen. Das ist keine Inkompetenz. Inkompetenz ist beständig. Das ist eine Haltung, die je nach Publikum gewählt wird.
Der zentrale Widerspruch – Entscheide dich für eine Option, NameSilo

Wenn Ihr Team für Missbrauchsfälle die Kompetenz hätte, eine umfassende und gründliche Überprüfung durchführen, feststellen, dass die Domain gehackt wurde, den Registranten als Opfer identifizieren und ihm dabei helfen, die von VirusTotal gemeldeten Erkennungen zu entfernen — dann behaupten Sie ausdrücklich, über mehr Fachkompetenz und technisches Know-how zu verfügen als jeder Antiviren-Anbieter, der diese Domain als bösartig eingestuft hat.

Du kannst später nicht behaupten, dass du Berichte einfach bearbeiten und verfügen nicht über das nötige Fachwissen, um Phishing zu erkennen. In der ICANN-Beschwerde wird nicht nach Kompetenzen gefragt, über die Sie nicht verfügen. Es wird gefragt, warum Sie die Kompetenzen, über die Sie nachweislich verfügen, dazu genutzt haben, dem Betrüger zu helfen – und nicht den Opfern.


Trustpilot: Bot-Farmen im Wettbewerb mit anderen Bot-Farmen

Beispiel: „Patty Johnson“ – US-Profil, insgesamt 2 Bewertungen

Eine 5-Sterne-Bewertung für NameSilo (Jan. 2026): „Leonid war sehr hilfsbereit … 5 Sterne!“ Die andere Bewertung: für Otrium – ein Unternehmen, gegen das Vorwürfe wegen Betrugs und Gelddiebstahls erhoben werden. Ein Bot-Account, zwei Unternehmen, die mit Betrug in Verbindung stehen. Muster: namentlich genannte Support-Mitarbeiter, gelobte Reaktionszeit, vorlagenartige Formulierungen. Echte Domain-Käufer bewerten Preise und die Benutzererfahrung im Control Panel. Bot-Bewertungen loben „Leonid“.

Datenanalyse – 2.280 Bewertungen zu NameSilo gegenüber 2.480 Bewertungen zu Namecheap

Metrisch NameSilo Namecheap
5-Sterne-Bewertungen88.9%74.0%
1-Stern-Bewertungen7.2%16.7%
Konten mit einer einzigen Bewertung62.4%59.6%
Kein Avatar (neue Konten)67.3%51.5%
Bewertungen zu Support/Service70.0%60.2%
Bewertungen zum Preis/zu den Kosten9.8%37.5%
Der Agent mit dem Decknamen „Leonid“5.7%0.0%
Geolokalisierung in den USA35.1%26.5%
Die Leoniden-Anomalie

Leonid tauchte am 13. April 2025 auf. Zuvor gab es keinerlei Erwähnungen. Dann folgten 65 Bewertungen in seinen ersten beiden Monaten. Mai 2025: 106 Bewertungen (5× so viele wie üblich), 95 % Fünf-Sterne-Bewertungen, keine Ein-Sterne-Bewertung. Kein einziger unzufriedener Kunde in 106 Bewertungen für einen Registrar, der bei den .com-Preisen auf Platz 96 rangiert.

43 % der Bewertungen zu „Leonid“ sind kürzer als 80 Zeichen. Vier davon bestehen lediglich aus dem Titel „Leonid“. Noch drei: „Leonid war sehr hilfsbereit.“ Unter den Rezensenten: „Satoshi Nakamoto“, „Autor“, „Виктор -“, „Anna Koroleva“, „Boris Martin“, „Andrei Dobrescu“ gemischt mit „Brad“, „LaToya“, „Patty Johnson“. Ein Namensgenerator, der durch die Kontinente wechselt. Der Name Leonid ist russisch.

Hongkong: 57 Bewertungen. 57 von 57 mit fünf Sternen. Statistisch unmöglich.

Keine Vier-Sterne-Bewertungen. Keine Drei-Sterne-Bewertungen. Sonst gar nichts. 91 % der Bewertungen stammen von Konten mit nur einer Bewertung. Über einen Zeitraum von 7 Jahren. China: 94 % Fünf-Sterne-Bewertungen, 80 % davon mit nur einer Bewertung. Singapur: 95 % Fünf-Sterne-Bewertungen. Insgesamt 168 Bewertungen aus chinesischsprachigen Märkten – fast ausschließlich gefälscht.

Warum China? NameSilo betreibt dort aktive Marketingmaßnahmen: namesilo-china.com, bcbay.com/namesilo, bezahlte chinesische Blogbeiträge, ein Artikel in der chinesischen Wikipedia. Wenn Ermittler fragen: „Wer kauft 4,22 Millionen stillgelegte Domains?“, verweist NameSilo auf China. Die Trustpilot-Daten zeigen, dass das Unternehmen dieses Alibi seit 2019 aufbaut – eine gefälschte Bewertung nach der anderen.

Unabhängige forensische Analyse der Claude-API – Blindtest

2.480 Trustpilot-Bewertungen zu NameSilo und 2.480 zu Namecheap wurden an die Claude-API übermittelt und dabei als „Unternehmen A“ (NameSilo) und „Unternehmen B“ (Namecheap) anonymisiert. Die KI hatte keine Kenntnis davon, welches Unternehmen welches war.

Forensischer Indikator NameSilo (A) Namecheap (B)
5-Sterne-Bewertung89.1%74.0%
Anteil der 1-Stern-Bewertungen7.1%16.7%
Einweg-Konten, die 5 Sterne vergeben92%~65%
Bewertungen, in denen der Preis erwähnt wird11.2%39.2%
In Rezensionen als einziger Akteur genanntLeonid: 168keine
5-Sterne-Wortschatzvielfalt (TTR)0.073~0.15
HK: 100 % Fünf-Sterne-Bewertung57/57k. A.
Spitzenwert Mai–Juni 2025 (5-facher Normalwert)215 Bewertungenkeine
Urteil zur Manipulation durch KI92%15%
Forensisches AI-Ergebnis – Wortwörtlich

„Unternehmen A weist umfangreiche, vielschichtige Anzeichen für eine systematische Manipulation von Bewertungen durch koordinierte künstliche Generierung auf. Die Wahrscheinlichkeit, dass diese Muster auf natürliche Weise entstehen, tendiert gegen Null.“

Ausführliche Analyse: phishdestroy.eth.limo/namesilo-trustpilot.html · Rohdaten: trustpilot-forensic-report-final.txt


Was die Untersuchung ergeben hat

xmrwallet.com — Betrieb eingestellt

Nach den Recherchen und der Veröffentlichung durch PhishDestroy stellte xmrwallet.com den Betrieb ein. Der Betreiber verschickte eine Abschiedsnachricht – und unterschrieb diese bemerkenswerterweise nicht mehr mit „Nathalie Roy“. Die Identität, die jahrelang das öffentliche Gesicht von xmrwallet gewesen war, wurde stillschweigend aufgegeben. Eine Erklärung wurde nicht gegeben.

Die Domain verweist nun auf GitHub – beim dritten Anlauf

xmrwallet.com wurde schließlich auf sein GitHub-Repository umgeleitet – dieselbe öffentliche Fassade, die ein Jahrzehnt lang als „Open-Source“-Alibi gedient hatte. Dazu waren drei Versuche nötig. Das Repository war seit 5 Jahre Vor der Umleitung: keine Commits, keine Updates, keine Wartungsarbeiten – was zu einem Projekt passt, dessen tatsächlicher Code ausschließlich auf einem nicht geprüften Produktionsserver lag und nie zur öffentlichen Überprüfung bestimmt war.


Der Umzug der Domain hat das Problem nicht gelöst. Er hat es dauerhaft gemacht.

xmrwallet.com wurde im Mai 2026 zu Namecheap übertragen und ist bis 2036 registriert. NameSilo betrachtet die Angelegenheit offenbar als geklärt. Das ist es nicht.

Du dachtest, die Experten, die jeden Antiviren-Anbieter übertrumpfen konnten, würden aufhören, sobald die Domain umgezogen ist? Die Ermittlungen laufen auf IPFS. Sie laufen auf Arweave. Sie laufen im offiziellen Beschwerdesystem der ICANN. Sie laufen bei den Strafverfolgungsbehörden der EU. Sie laufen bei drei nationalen Einheiten zur Bekämpfung der Cyberkriminalität. Die rechtliche Drohung fügte der Akte einen weiteren Zeitstempel hinzu. Die Domainübertragung fügte ein weiteres Beweisstück hinzu. Jede Maßnahme, die ergriffen wurde, um diese Untersuchung zu unterbinden, ist selbst ein dokumentierter Beweis für das von uns beschriebene Muster.

Ihr wart in dieser Situation nicht die Klügsten. Ihr hattet nur eine Zeit lang mehr Geld.

Den vollständigen Untersuchungsbericht lesen phishdestroy.eth.limo Nachweise auf GitHub Einen Fall melden, in dem jemand zu Schaden gekommen ist
Bekanntmachung über eine unabhängige Untersuchung
PhishDestroy · Nichtkommerzielle Sicherheitsforschung

Dafür hat niemand bezahlt. Für diese Untersuchung wurden weder finanzielle Mittel bereitgestellt, noch gab es redaktionelle Vorgaben oder bereitgestellte Texte von irgendeiner Seite. Im Gegensatz zu den Beiträgen bei Forbes Advisor und PR Newswire, die NameSilo direkt finanziert, besteht zwischen diesem Autor und NameSilo keinerlei finanzielle Verbindung – und er ist in keiner Weise verpflichtet, die von NameSilo bevorzugte Sichtweise darzustellen.

Alles ist dokumentiert. Jede Tatsachenbehauptung wird durch überprüfbare Beweise untermauert: Serverantworten, forensische Aufzeichnungen, öffentliche Register, Missbrauchsmeldungen und im Text zitierte Primärquellen. Nichts ist erfunden. Die Quellen sind verlinkt. Die Beweise werden auf IPFS archiviert. Eine unabhängige Überprüfung wird ausdrücklich empfohlen.

„Hören Sie auf, Lügen über uns zu verbreiten, sonst sehen wir uns gezwungen, rechtliche Schritte einzuleiten.“ – NameSilo, als Reaktion auf diese Untersuchung

Erschreckend. Wir haben die gesamte Bandbreite der Vorgehensweisen von NameSilo miterlebt: die Sperrung eines Twitter/X-Kontos, den Kauf von Werbeplätzen bei Forbes, das Verfassen eigener Trustpilot-Bewertungen, die Entfernung von VirusTotal-Erkennungen und die Veröffentlichung von vier nachweislich falschen Behauptungen in einem einzigen Tweet.

Was „Lügen“ angeht – hier ist alles sachlich richtig. Wenn eine sachliche Berichterstattung über Ihr Produkt eine Verleumdung darstellt, öffnen Sie doch einfach Ihr eigenes Kontrollpanel – das, das Sie aus jedem bezahlten Artikel ausklammern. Das spricht für sich selbst, ganz ohne unser Zutun.

Sie haben diesen Autor nicht bezahlt. Sie haben keinen Text beigesteuert. Sie erheben keinen Anspruch auf eigenständige Recherche. Sie haben jedoch Verpflichtungen – gegenüber der ICANN, gegenüber Ihren Registranten und gemäß den für Domain-Registrare geltenden Gesetzen. Diese verschwinden nicht einfach, nur weil eine sachgerechte Berichterstattung unbequem ist.

Zu rechtlichen Schritten: Diese Untersuchung ist auf 5–7 IPFS-Knoten archiviert. Da NameSilo bereits Erfahrung mit der Entfernung von Inhalten hat, empfehlen wir, dort anzufangen. Sie wissen ja, wie das funktioniert. Wir warten.

Zur besseren Verständlichkeit – in Ihrer Sprache:

PhishDestroy ist ein nichtkommerzielles Forschungsprojekt. Wir erheben keinen Anspruch auf Unfehlbarkeit oder absolute Gewissheit. Der Ton dieser Untersuchung mag direkt sein – dessen sind wir uns bewusst. Wir drängen niemandem eine bestimmte Sichtweise auf: Wir empfehlen, die Materialien und Primärquellen selbst zu prüfen und eigene Schlussfolgerungen zu ziehen. Es gilt die Unschuldsvermutung. Dies sind unsere Untersuchung, unsere Beobachtungen und unser subjektiver Vergleich – für den wir viel Zeit aufgewendet haben.

Vollständige Untersuchung mit allen Beweismitteln und IPFS-Archiven: phishdestroy.eth.limo