Zurück zu den Nachrichten
Bericht über Vergeltungsmaßnahmen

NameSilo hat unseren Twitter-Account lahmgelegt Weil wir die Wahrheit über sie gesagt haben

Am 3. April 2026, X gesperrt zwei PhishDestroy-Konten unter Berufung auf ein „Zahlungsproblem“ und mit dem Versprechen, dass die bezahlten Abonnements erstattet würden. Eine Rückerstattung erfolgte jedoch nicht. Elf Tage später, am 14. April, X brachte eine neue Begründung vor: „Unauthentisches Verhalten – Aufhebung nicht gerechtfertigt.“ Wir legten Widerspruch ein. Die automatisierte Antwort von X lautete wie folgt: „Kein Verstoß – Konto wieder voll funktionsfähig.“Die Konten sind nach wie vor gesperrt. Das Geld wurde noch immer nicht zurückerstattet. Der angegebene Grund hat sich inzwischen dreimal geändert. Vor zwei Wochen haben wir aufgedeckt, dass NameSilo eine Monero-Diebstahlaktion im Wert von über 20 Millionen Dollar gedeckt hat – gegen die derzeit aktive strafrechtliche Ermittlungen der EU laufen.

15. April 2026 PhishDestroy-Forschung 9 Minuten Lesezeit
X-Vogel-Logo, das von einem NameSilo-Datenkabel gewürgt wird
Das Verbot im Überblick: Die automatisierte Überprüfung von X hat das Konto freigegeben. Eine manuell weitergeleitete Beschwerde von NameSilo sorgte jedoch dafür, dass es trotzdem gesperrt blieb.
Grund Nr. 1 · 3. April
„Zahlungsproblem“ + Rückerstattung zugesagt.
Zwei Konten wurden gesperrt. Die Abonnements waren bezahlt und aktiv. Eine Rückerstattung ist nie eingegangen.
Grund Nr. 2 · 14. April
„Unechte Verhaltensweisen.“
Elf Tage später eine völlig neue Begründung. Es wurde kein konkreter Tweet angeführt. Es wurden keine Beweise vorgelegt.
Grund Nr. 3 · Nach der Berufung
„Kein Verstoß – wiederhergestellt.“
Ergebnis des Berufungsverfahrens. Die jüngste offizielle Entscheidung von X: Die Konten sind ausgeglichen.
Realität · Heute
Konten gesperrt. Geld weg.
Drei verschiedene Gründe. Ein und dasselbe Ergebnis. Keine Rückerstattung. Kein wiederhergestellter Zugang.
0
Verstöße im Berufungsverfahren
10
Jahre in Obhut
$20M+
Bestätigte Verluste
~100 Mio. $
Unsere Schätzung
7
NameSilo lügt
1
Häkchen „Bezahlt“

Die Belege: X widerspricht sich selbst schriftlich

Zwei offizielle E-Mails vom X-Support. Dasselbe Konto. Derselbe Einspruch. Gegensätzliche Entscheidungen. Die zweite ist die aktuellere. Lesen Sie sie der Reihe nach.

X Support-E-Mail: Der Stempel „Kein Verstoß“ wurde durch eine manuelle Überprüfung außer Kraft gesetzt
Der Widerspruch in Zahlen: Die automatisierte Überprüfung durch X hat uns schriftlich freigegeben. Die Sperre blieb dennoch bestehen.
E-Mail Nr. 1 · 3. April · Erste Entscheidung zur Sperrung
𝕏

Hallo,

Wir haben Ihren Antrag auf Überprüfung Ihres Kontos geprüft, @phish_destroy.

Unser Support-Team hat festgestellt, dass tatsächlich ein Verstoß gegen unsere Regeln vorliegt, und zwar konkret:

Verstöße gegen unsere Regeln bezüglich unechte Verhaltensweisen.

Wir haben die vorgelegten zusätzlichen Informationen geprüft und beschlossen, dass eine Aufhebung unserer ursprünglichen Entscheidung in diesem Fall nicht gerechtfertigt ist. Daher werden wir unsere Entscheidung, Ihr Konto zu sperren, nicht rückgängig machen.

Danke,
X-Support

Begründung für die Sperrung: „UNAUTHENTISCHES VERHALTEN“
E-Mail Nr. 2 · Nach unserem Einspruch · Automatisierte Überprüfung
𝕏

Hallo,

Wir haben Ihren Antrag auf Überprüfung Ihres Kontos geprüft, @phish_destroy.

Unsere automatisierten Systeme haben festgestellt, dass kein Verstoß vorlag, und die volle Funktionsfähigkeit Ihres Kontos wiederhergestellt.

Danke,
X-Support

Ergebnis der Berufung: „KEIN VERSTOSS – WIEDERHERGESTELLT“

E-Mail Nr. 2 ist die jüngere Entscheidung. Sie hebt E-Mail Nr. 1 ausdrücklich auf. Darin heißt es – schriftlich, auf dem eigenen Briefkopf von X –, dass das Konto wieder voll funktionsfähig gemacht. Das Konto wurde nicht wiederhergestellt. Das kostenpflichtige Abonnement wird weiterhin in Rechnung gestellt. Es gibt keine dritte E-Mail, die E-Mail Nr. 2 widerruft. Die jüngste Zusage von X gegenüber uns wird schlichtweg nicht eingehalten.

Zwei Möglichkeiten. Beide schlecht.

Entweder ist E-Mail Nr. 2 echt — Die Automatisierungsabteilung hat den Einspruch geprüft, kam zu dem Schluss, dass kein Verstoß vorliegt, und eine nicht namentlich genannte Partei hält die Sperre trotz dieser Entscheidung weiterhin aufrecht.

Oder E-Mail Nr. 2 ist nicht echt — Es wurde versehentlich versendet; die eigentliche Entscheidung ist nach wie vor E-Mail Nr. 1, und X hat noch keine schriftliche Korrektur herausgegeben.

Es gibt keine dritte Möglichkeit. Beide werfen ein schlechtes Licht auf X. Eine davon wirft ein katastrophales Licht auf X.

Warum das passiert ist

Links: Von NameSilo gedeckter Betrüger; rechts: von NameSilo zum Schweigen gebrachter Forscher
Eine Hand. Zwei Schutzmaßnahmen. Eine für den Betrüger. Eine, um den Forscher zum Schweigen zu bringen, der ihn überführt hat.

Am 27. März haben wir veröffentlicht Das Ende von xmrwallet[.]com: NameSilo hat gelogen, um einen Krypto-Dieb zu schützen. Die Untersuchung war reproduzierbar: PHP-Endpunkt-Dumps, archivierte Anweisungen, mehr als 15 dokumentierte Opfer. Drei andere Registrare (Indien, Malaysia, China) prüften dieselben Beweise und sperrten ihre xmrwallet Domains in Tagen. Nur NameSilo hat den Betrüger verteidigt.

Was als Nächstes geschah, ist entscheidend. Die Reihenfolge ist entscheidend:

  1. Der Betrüger hat uns zunächst direkt per E-Mail kontaktiert — noch bevor NameSilo eine öffentliche Stellungnahme abgegeben hatte, noch bevor Berufung eingelegt worden war. In seiner E-Mail forderte er uns auf, „den Registrar zu verklagen“. Das ist kein Satz, den ein einzelner Betrüger an einen Forscher schreibt, der ihm auf den Fersen ist. Das ist ein Satz, den jemand schreibt, der bereits weiß, dass der Registrar hinter ihm stehen wird. Eine solche Reaktion haben wir bei keinem anderen Betrüger beobachtet, den wir bisher dokumentiert haben.
  2. NameSilo gab daraufhin eine öffentliche Erklärung ab die zwei nachweisbare Unwahrheiten enthält, wörtlich zitiert und in unserer Medium-Recherche archiviert:
    „Die Domain wurde vor einigen Monaten gehackt.“ — war durch die Tatsache widerlegt wird, dass der eigene Diebstahlschutzcode des Betreibers zum Zeitpunkt der Erklärung von NameSilo noch in der Produktion lief.
    „Zuvor hatten wir keine Meldungen über Missbrauch erhalten.“ — was durch unsere Empfangsbestätigungen für mehrere frühere Missbrauchsmeldungen mit umfassenden technischen Beweisen widerlegt wird.
    In derselben Erklärung hieß es außerdem: „Der Registrant bemüht sich um die Streichung aus den VT-Berichten,“ war bestätigt, dass NameSilo den Versuch des Betreibers, die Erkennungen bei VirusTotal zu entfernen, während der Diebstahlcode aktiv war, ausdrücklich unterstützt hat.
  3. In derselben Erklärung, NameSilo tat unsere Untersuchung als unseriös ab und bot öffentlich an, dem Betreiber dabei zu helfen, die Erkennungen von Sicherheitsanbietern (VirusTotal, Fortinet) entfernen zu lassen – während der gestohlene Code noch aktiv war.
  4. Wir sachlich geantwortet zu dieser öffentlichen Stellungnahme. Keine Belästigung. Kein Spam. Kein Doxing. Wir haben die Sachverhaltsdarstellung an derselben Stelle richtiggestellt, die NameSilo gewählt hatte.
  5. Sieben Tage später, Zwei PhishDestroy X-Konten wurden gesperrt. Als Grund wurde „Zahlung“ angegeben. Die Abonnements waren bezahlt. Am 14. April wurde der Grund in „unzulässiges Verhalten“ geändert. Nach Einlegung eines Einspruchs lautete der Grund erneut „kein Verstoß, wiederhergestellt“. Die Sperre und die nicht zurückerstatteten Zahlungen blieben jedoch unverändert.
Das Muster, das den wahren Grund aufzeigt

NameSilo konnte die Beweise nicht widerlegen – drei andere Registrare gingen unabhängig voneinander darauf ein. Also taten sie, was die xmrwallet Was „Operator“ den Kritikern seit zehn Jahren antat: nutzte bürokratische Mittel, um die Stimme zum Schweigen zu bringen, ohne auf die Fakten einzugehen. Der Betreiber hat über 20 GitHub-Konten und über 200 Trustpilot-Bewertungen gelöscht. Bei NameSilo wurde ein X-Konto gesperrt. Das gleiche Vorgehen, auf Unternehmensniveau.

Gibt es eine Verbindung zwischen NameSilo und dem Betrüger?

Die xmrwallet[.]com Der Betreiber reagierte souverän auf Missbrauchsmeldungen, twitterte gemeinsam mit der Registrierungsstelle unter Verwendung abgestimmter Argumente und hat die Domain in zehn Jahren voller Beschwerden nie verlegt. So verhalten sich nervöse Betrüger nicht. So verhalten sich Betrüger, die eine Absprache haben.

In den mehr als hundert Fällen von Phishing-Betreibern, die wir dokumentiert haben, ist uns diese spezielle Abfolge bisher noch nie begegnet:

Eine Vorgehensweise, die wir bei keinem anderen Betrüger je beobachtet haben
  1. Der Betrüger hat uns zuerst geschrieben. Noch bevor NameSilo eine öffentliche Stellungnahme abgab, noch bevor ein Einspruch eingelegt wurde – schickte der Betreiber selbst eine E-Mail an PhishDestroy. Die Identität ist in der Mittlere Untersuchung: Die E-Mails stammten von der xmrwallet[.]com Betreiber, öffentlich identifizierbar anhand seines eigenen Repository-Footprints als Nathalie Roy (Kanada), GitHub nathroy, Reddit u/WiseSolution, gesperrt von r/Monero im Jahr 2018.
  2. Seine genauen Worte (wörtlich, archiviert):„Sie können den Domain-Registrar gerne vorladen.“ Nicht „Nehmt es runter.“ Nicht „Ich werde das in Ordnung bringen.“ Er wies uns ausdrücklich auf seinen eigenen Registrar als denjenigen hin, gegen den wir vorgehen sollten – als wüsste er bereits, dass der Registrar nicht gegen ihn vorgehen würde, und als sei er zuversichtlich, dass dessen rechtliche Position einer genauen Prüfung standhalten würde. Dieses Zitat ist in unserem Untersuchung von Medium (16. März 2026).
  3. Erst dann ging NameSilo an die Börse mit der Ausrede „Unser Kunde wurde gehackt“ – einer Ausrede, die durch den nach wie vor aktiven Diebstahlcode widerlegt wird – und der Behauptung, dass „keine früheren Missbrauchsmeldungen vorlagen“, was durch unsere Lieferbelege widerlegt wird.
  4. NameSilo nutzte daraufhin einen Kanal zum Missbrauch der Plattform als Waffe gegen uns – unter Anwendung derselben Strategie zur Unterdrückung von Meinungen, die der Betreiber bereits auf GitHub (über 20 gelöschte Konten), Trustpilot (über 200 gelöschte Bewertungen) und BitcoinTalk verfolgt hatte.

Die Infrastruktur des Betreibers entspricht nicht der eines Hobbybetreibers. Laut unseren Mittlere Untersuchung, xmrwallet[.]com wird gehostet auf $550/month bulletproof hosting via IQWeb FZ-LLC (eingetragen in Belize), hinter DDoS-Guard (Russland). Das ist eine professionelle, gut vorbereitete und gegen Angriffe geschützte Infrastruktur – keine einmalige Betrugsseite. Ein einzelner Betreiber, der eine gut vorbereitete, absolut sichere Infrastruktur betreibt und gleichzeitig seinen Registrar dazu bringt, öffentlich eine Stellungnahme zu seiner Verteidigung abzugeben, ist zumindest eine ungewöhnlich gut koordinierte Aktion.

Wir können keinen Zusammenhang außerhalb der Bücher von NameSilo nachweisen. Das könnten nur deren interne Unterlagen. Doch angesichts der vorliegenden Beweise bleiben zwei Erklärungen: Entweder ist der Betreiber der selbstbewussteste Krypto-Betrüger des letzten Jahrzehnts und hat richtig darauf gesetzt, dass sein Registrar ihn instinktiv schützen würde — oder Zwischen ihnen besteht eine nicht offengelegte Verbindung. Der erste Fall verdient öffentliche Aufmerksamkeit. Der zweite Fall rechtfertigt eine Vorladung. Die Strafverfolgungsbehörden in den EU-Mitgliedstaaten bearbeiten derzeit den zugrunde liegenden Fall.

Direkte Beweise: Was NameSilo öffentlich gesagt hat vs. was tatsächlich passiert ist

Die obigen Absätze beschreiben ein Muster. In diesem Abschnitt werden die konkreten sachlichen Widersprüche zwischen den öffentlichen Erklärungen von NameSilo und unseren eigenen Aufzeichnungen aus erster Hand dokumentiert. Wir verlangen von niemandem, uns blind zu glauben – jeder der folgenden Punkte lässt sich anhand von Archiven Dritter, Zustellbestätigungen und der Wayback Machine überprüfen.

Die öffentliche Leitung von NameSilo und warum sie den Abgleich mit unseren Datensätzen nicht übersteht
  1. Öffentliche Behauptung: „Es lagen keine früheren Missbrauchsmeldungen vor / Meldungen gingen nicht innerhalb der vorgeschriebenen Fristen ein.“
    Unsere Bilanz: Das PhishDestroy-Team hat persönlich gesendet mehr als 20 Meldungen wegen Missbrauchs über einen Zeitraum von drei Jahren (2023–2026) für xmrwallet[.]com sowie die dazugehörige Infrastruktur. Bei jeder Meldung wurde der von NameSilo veröffentlichte Missbrauchskanal genutzt, eine Nachverfolgungsnummer generiert und – in mehreren Fällen – eine Bestätigung per automatischer Antwort erhalten, die sich noch immer in unserem E-Mail-Archiv befindet. Wir haben diese Belege aufbewahrt. Wir werden sie vollständig an jede ICANN, die GDPR, EU-Strafverfolgungsbehörden oder jedes Gerichtsverfahren weitergeben, die bzw. das sie anfordert. Ein Registrar, der nach drei Jahren behauptet, „wir hätten nichts erhalten“, dokumentiert Die Beschwerde ist kein Verwaltungsfehler. Es handelt sich um eine nachweisbare sachliche Falschdarstellung.
  2. Öffentliche Stellungnahme: „Das war ein einmaliger Kompromiss; der Kunde wurde gehackt.“
    Unsere Bilanz: den Diebstahlcode unter xmrwallet[.]com blieb über die gesamte Zeit hinweg online zehn aufeinanderfolgende Jahre mit demselben Wallet-Substitutionsverhalten, demselben Operator-Fingerabdruck (Nathalie Roy / nathroy / u/WiseSolution), und denselben „bulletproof“-Stack ($550/mo IQWeb FZ-LLC in Belize behind DDoS-Guard). Ein Kompromiss, der ein Jahrzehnt lang Bestand hat und eine stetige, unantastbare Zahlung vorsieht, ist kein Kompromiss. Es ist ein Geschäft. Wir kennen sie persönlich – und haben die Erlaubnis, auf sie Bezug zu nehmen – mindestens eine Person aus dem Umfeld unseres Teams die auf genau dieser Domain Geld verloren hat, bevor wir mit der öffentlichen Untersuchung begonnen haben. Das ist kein theoretischer Schaden. Es handelt sich um eine konkrete Person.
  3. Die Behauptung, DDoS-Guard sei auf GitHub umgestiegen, ist nicht glaubwürdig.
    In den von NameSilo geprägten Darstellungen wurde die Idee in Umlauf gebracht, dass die Infrastruktur des Betreibers irgendwie beweise, er sei lediglich ein unorganisierter Open-Source-Mitwirkender. Eine Domain, die seit einem Jahrzehnt hinter einem russischen, absolut sicheren DDoS-Abwehrdienst steht und über Offshore-Unternehmensstrukturen in Belize bezahlt wird, passt nicht zum Bild eines „Typen mit einer GitHub-Seite“. Kein vernünftiger Beobachter – ob technisch versiert oder nicht – akzeptiert diese Darstellung. Wir weisen hier darauf hin, da Schweigen als Zustimmung missverstanden werden könnte.

Das Löschmuster: Beiträge, nicht nur Kommentare

Im Laufe unserer dreijährigen Untersuchung konnten wir in Echtzeit beobachten, wie die Unterdrückungsschicht auf drei verschiedenen Plattformen wirkte. Das Muster war so konsistent, dass wir jedes Mal vor der Veröffentlichung damit begannen, die Daten zu archivieren.

  • GitHub. Gesamte Konten die Beiträge oder Kommentare gepostet haben, in denen auf xmrwallet[.]com wurden gelöscht – nicht einzelne Kommentare, nicht ganze Threads, sondern die gesamten Konten. Wir verfügen über Wayback-Archivierungen von Threads zu diesem Thema, bei denen das Profil des Kommentators nun einen 404-Fehler zurückgibt. Jeder, der Nachforschungen anstellt, kann GitHub im Rahmen eines ordnungsgemäßen rechtlichen Verfahrens fragen, wie viele Benutzerkonten mit Beiträgen, in denen xmrwallet zwischen 2018 und 2026 geschlossen wurden und aus welchem angegebenen Grund. Wir gehen davon aus, dass die Zahl nicht unerheblich sein wird.
  • Trustpilot. Dutzende wahrheitsgemäße negative Bewertungen wurden in mehreren aufeinanderfolgenden Wellen entfernt. Die Löschungen konzentrierten sich jeweils auf die Zeiträume öffentlicher Beschwerden, was eher auf eine koordinierte Meldung als auf eine organische Moderation hindeutet. Auch hier gilt das interne Löschprotokoll von Trustpilot, das im Rahmen einer Vorladung vorgelegt wurde, als maßgeblicher Nachweis.
  • X (Twitter). Kritische Antworten auf die betrugsähnlichen Konten verschwanden in einem Ausmaß, das sich mit den üblichen Richtlinien der Plattform kaum erklären lässt. Nach unserem @Phish_Destroy Als das Konto schließlich unter einer sich ständig ändernden Begründung gesperrt wurde (siehe die oben aufgeführten E-Mail-Bestätigungen), ergab sich für mich das Gesamtbild. Das gleiche Unterdrückungsschema, das seit Jahren gegen einzelne Beschwerdeführer angewendet wurde, wurde nun auch gegen ein Forschungskonto eingesetzt.

Wir möchten klarstellen: Wir behaupten nicht, dass es sich um Telepathie handelt. Wir behaupten, dass es eine dokumentierte Chronologie gibt. Beitrag veröffentlichen. Archivieren lassen. Löschen lassen. Das Ganze wiederholt sich über drei Plattformen hinweg, für dieselbe Zielgruppe, ein Jahrzehnt lang, während der Registrar die Domain nie umzieht. Für diese Chronologie braucht es keine Verschwörungstheorie. Es reicht ein Antrag auf Zugang zu öffentlichen Unterlagen.

Wenn Sie Opfer von xmrwallet[.]com — Bitte treten Sie vor

Wir wissen, dass es noch mehr von Ihnen gibt. Wir wurden privat von Personen kontaktiert, die Geld verloren haben und sich nicht öffentlich zu Wort melden wollten, solange der Betreiber noch aktiv war und sein Registrar ihn noch öffentlich verteidigte. Die Situation hat sich nun geändert. Der Betrieb wurde aufgedeckt, die Infrastruktur ist dokumentiert, und die Strafverfolgungsbehörden in den EU-Ländern arbeiten an dem zugrunde liegenden Fall.

Falls Sie Geld verloren haben bei xmrwallet[.]com — drei praktische Schritte
  1. Eine offizielle Anzeige bei der Polizei erstatten in Ihrem Wohnsitzland. Geben Sie die Domain an xmrwallet[.]com, das ungefähre Datum und den Betrag sowie die Ziel-Wallet, falls Ihnen diese bekannt ist. Ein Polizeibericht ist die Voraussetzung dafür, dass die Sperranträge auf Seiten der Börse weiterbearbeitet werden.
  2. Jedes Artefakt bewahren: Screenshots, Browserverlauf, E-Mail-Beleg, Transaktions-IDs, Wallet-Adressen, Bestätigungssignaturen. Gehen Sie nicht davon aus, dass irgendetwas davon nächste Woche noch online sein wird. Speichern Sie die Daten lokal. und bei … einreichen archive.org.
  3. Erzähl es uns. Schreiben Sie an report@phishdestroy.io oder per Direktnachricht über @PhishDestroy_bot. Wir veröffentlichen Ihre Identität nicht ohne Ihre Zustimmung. Ihre Aussage – auch wenn sie anonym ist – stärkt die Argumente gegen die Infrastruktur, die den Diebstahl ermöglicht hat.

An die Institutionen, die tatsächlich eine Offenlegung erzwingen können – ICANN Compliance, die GDPR-Behörden, das kanadische Anti-Betrugs-Zentrum (der Betreiber ist kanadisch), die zuständigen Steuerbehörden sowie jedes Gericht, das für die Betriebsgesellschaft von NameSilo zuständig ist: Das Primärquellenmaterial wird aufbewahrt und ist auf Anfrage verfügbar. Zustellungsbelege, Wayback-Archiv-Snapshots, ein Artikel auf Medium, ein Diagramm zur Infrastruktur von Domain-Report sowie Zeugenaussagen von Opfern mit unterzeichneter Einwilligung. Wir halten keine Beweise zurück. Wir stellen sie Ihnen in einer Form zur Verfügung, die Sie tatsächlich nutzen können.

Wenn man Schwarz als Weiß bezeichnet, wird es dadurch noch lange nicht weiß. Ein Jahrzehnt öffentlicher Beweise, mehr als 20 dokumentierte Missbrauchsmeldungen, eine auf „Bulletproof“ gehostete Diebstahlplattform, koordinierte Kontolöschungen auf drei Plattformen, ein gesperrtes Forschungs-Konto und ein namentlich genannter Betreiber, dessen Identität bereits öffentlich bekannt ist – das ist kein PR-Problem. Es ist ein rechtliches Problem. Wir sind zuversichtlich, dass die öffentlich zugänglichen Unterlagen bereits genügend Material enthalten, um das Problem zu lösen.

Die Opfer: Wer wurde tatsächlich geschädigt?

Das implizite Argument von NameSilo, das statt einer Rücknahme auf die Schaltfläche zum Melden von Missbrauch greift, lautet: „Es hat uns nicht gefallen, bloßgestellt zu werden.“ Das ist verständlich. Es gefällt den meisten Menschen selten, bloßgestellt zu werden. Aber man muss die beiden Schäden gegeneinander abwägen.

Die Asymmetrie

Der Schaden, den NameSilo durch unsere Berichterstattung erlitten hat: Peinlichkeit.

Der Schaden, den die Opfer durch die zehn Jahre andauernde Operation „NameSilo“ erlitten haben:

  • Ein einzelner Benutzer: 590 XMR (~177.000 $) bei einer einzigen manipulierten Transaktion verloren gegangen.
  • Erste dokumentierte Fälle: 15 (Trustpilot, Sitejabber, BitcoinTalk).
  • Regionen: verschiedene Regionen (Aussagen der Opfer bestätigen dies).
  • Bestätigte Gesamtsumme: über 20 Mio. $. Dies basiert auf Berichten von Opfern, die wir einzeln überprüfen können.
  • Unsere Einschätzung, fundiert, aber nicht verifiziert: über 100 Mio. $. Basierend auf der Anzahl der betroffenen Nutzer und der Dauer des Betriebs. Wir geben dies als unsere Schätzung an und können sie nicht öffentlich belegen. Auch NameSilo kann dies nicht glaubhaft bestreiten, ohne seine eigenen Unterlagen offenzulegen.
  • Wichtiger Hinweis zur Preisgestaltung. Unsere Verlustsummen werden zum XMR-Wechselkurs berechnet zum Zeitpunkt des jeweiligen Diebstahls, nicht zum heutigen Monero-Kurs. Bei den oben genannten Zahlen handelt es sich um die tatsächlichen Beträge in US-Dollar, die die Opfer zum Zeitpunkt des Verlusts verloren haben.
  • Laufende Strafverfahren in den Rechtsordnungen der EU. Das ist nicht mehr nur Forschung – das ist Strafverfolgung.

Seit der Veröffentlichung, Weitere Opfer haben sich direkt an uns gewandt mit den jeweiligen Schadensbeträgen und Transaktions-IDs. Wir bewahren diese Berichte auf und überprüfen sie.

Diese beiden Missstände als gleichwertig zu behandeln – indem man einem Registrierungsstellenbetreiber gestattet, den Forscher zum Schweigen zu bringen, der den Vorgang dokumentiert hat –, ist an sich schon ein politisches Versagen.

Die Dauerakte

Server-Racks mit der Aufschrift „ARCHIVED“ sowie Screenshots von NameSilo-Abrechnungen
Jede Stellungnahme von NameSilo zur Verteidigung des Betreibers von xmrwallet, die in acht unabhängigen Publikationssystemen gespeichert wurde.

Das Sperren eines Twitter-Kontos beseitigt die Beweise nicht. Alles, was für diesen Fall relevant ist, wird archiviert:

  • Jede öffentliche Stellungnahme von NameSilo zur Verteidigung der xmrwallet Operator — Wayback Machine, Archive.today, unser GitHub-Repository für Belege.
  • Screenshots des Live-Diebstahlcodes in der Produktion, mit Zeitstempeln.
  • 8 PHP-Endpunkte wurden rückentwickelt und veröffentlicht.
  • Die gesamte Konversationskette zur Meldung des Missbrauchs.
  • Unsere gesamte X-Timeline wird auf Mastodon, Bluesky, Medium, Telegram, GitHub und IPFS gespiegelt.
  • Stündliche Momentaufnahmen von phishdestroy.io selbst, 14-tägige Aufbewahrungsfrist, eigens eingerichtet, damit nichts, was wir geschrieben haben, still und leise verschwinden kann.

Sollte ein einzelner Mirror ausfallen, bleibt der Inhalt auf den anderen sieben erhalten. Die Architektur ist älter als NameSilo. Sie wird NameSilo überdauern.

War das fair? Fünf Fragen an alle Leser

Infografik zu heiklen Fragen rund um das Verbot
Fragen, die beantwortet werden können. Jede einzelne davon verdient eine öffentliche Antwort.

Das sind keine rhetorischen Fragen. Lesen Sie die oben genannten Argumente durch und entscheiden Sie dann selbst – ganz privat, auf Ihrer Timeline oder während Sie darüber nachdenken, ob Sie Ihre Domains behalten oder umziehen möchten.

  1. Ist es gerechtfertigt, einen Sicherheitsforscher zu sperren, weil er öffentlich auf die eigene öffentliche Stellungnahme eines Registrars reagiert hat? Der Protokollführer brachte das Gespräch in Gang. Der Forscher antwortete mit Fakten. Nur eine Seite wurde zum Schweigen gebracht.
  2. Ist es akzeptabel, dass ein Registrar in einer öffentlichen Stellungnahme dokumentierte Forschungsergebnisse als unseriös abtut und gleichzeitig einem Betrüger anbietet, ihm dabei zu helfen, Sicherheitserkennungen zu umgehen? Beides geschah in einer einzigen Erklärung von NameSilo. Die Opfer werden darin an keiner Stelle erwähnt.
  3. Ist es zulässig, dass X seine eigene Begründung für die Sperre ausdrücklich schriftlich zurückzieht („kein Verstoß, wieder freigeschaltet“) und die Sperre dennoch aufrechterhält? Laut der jüngsten Entscheidung von X selbst sollte der Account aktiv sein.
  4. Ist es zulässig, dass ein kostenpflichtiges Verifizierungsabonnement weiterhin in Rechnung gestellt wird, während das zugehörige Konto gesperrt ist? Wenn die Dienstleistung nicht erbracht wird, handelt es sich dann um ein Produkt – oder um eine Vertragsverletzung?
  5. Was bedeutet der Begriff „good standing“ bei einem von der ICANN akkreditierten Registrar? Kann ein akkreditierter Registrar die Missbrauchskanäle einer Drittanbieterplattform als Waffe einsetzen, um den Forscher zum Schweigen zu bringen, der das Versagen bei der Reaktion auf den Missbrauch dokumentiert? Dies ist eine Frage der Compliance und wird in die bestehende RAA § 3.18-Einreichung aufgenommen.

Falls eine Antwort lautete: „Nein, das ist nicht fair“

Hier sind drei konkrete Maßnahmen, die keine Kosten verursachen, geordnet nach ihrer Wirksamkeit (aufsteigend).

1. Öffentlich teilen

Stille Missbilligung bringt nichts. Sichtbarer Druck hingegen schon. Ein Klick, bereits ausgefüllt:

2. Fragen Sie die Parteien namentlich

Markiert sie. Stille Missbilligung bringt nichts. Sichtbare Fragen von Lesern werden wahrgenommen.

  • @NameSilo — ist das @Phish_Destroy Sperre im Zusammenhang mit Ihrer öffentlichen Erklärung, in der Sie angeboten haben, dem xmrwallet Werden die Erkennungen des Betreibers entfernt?
  • @X / @XSupport / @elonmusk — In E-Mail Nr. 2 heißt es: „wieder voll funktionsfähig“. Das Konto ist gesperrt. Welche Entscheidung ist maßgeblich?
  • @ICANN — Fällt die Vergeltung von Registraren gegenüber Forschern unter RAA § 3.18?
  • @Tucows — Sind Vergeltungsmaßnahmen gegen Forscher wegen missbräuchlicher Nutzung der Plattform mit Ihren OpenSRS-Reseller-Standards vereinbar?

3. Domains umziehen (das ist der unangenehmste Schritt)

Unternehmen reagieren auf Umsatzverluste, nicht auf Tweets. Überweisungen dauern etwa fünfzehn Minuten. Unsere Seite mit den Registrierungsstatistiken listet Registrare mit einwandfreier Bilanz bei der Reaktion auf Missbrauchsfälle auf. Jede umgezogene Domain ist ein Datenpunkt zur Verlängerungszahl, den die Geschäftsführung von NameSilo im nächsten Quartal sehen wird.

Wenn Sie eine Organisation sind – sei es ein Krypto-Projekt, eine Bug-Bounty-Plattform, ein journalistisches Medium oder ein Unternehmen für Bedrohungsinformationen – mit irgendein Domain bei NameSilo: Überlegen Sie sich, was es bedeutet, den Registrar zu unterstützen, der eine Diebstahlsaktion im Wert von über 20 Millionen Dollar gedeckt und anschließend den Forscher zum Schweigen gebracht hat, der dies dokumentiert hat. Sie können diesen Schritt öffentlich vollziehen. Das hat Gewicht.

Schlusswort

Ein Megafon, das von einem roten Stempel mit der Aufschrift „ABUSE REPORT“ zerdrückt wurde
Man kann nicht zehn Jahre lang eine Diebstahlsmasche im Wert von über 20 Millionen Dollar decken, in der Öffentlichkeit lügen und dann den Forscher, der einen überführt hat, stillschweigend abwerten.
Man kann nicht zehn Jahre lang eine Diebstahlsmasche im Wert von über 20 Millionen Dollar decken, in der Öffentlichkeit darüber lügen, Vergeltungsmaßnahmen gegen den Forscher ergreifen, der einen überführt hat – und dann erwarten, dass die ganze Sache stillschweigend in Vergessenheit gerät. Vor allem nicht, solange die Strafverfolgungsbehörden der EU an dem Fall arbeiten.

Wir verlangen nicht, dass Sie uns einfach beim Wort nehmen. Jede der oben genannten Tatsachenbehauptungen ist verlinkt, dokumentiert, mit einem Zeitstempel versehen, extern archiviert und nachvollziehbar. Wir bitten Sie, sich die Beweise anzusehen, die fünf Fragen für sich selbst zu beantworten und entsprechend Ihrer eigenen Antwort zu handeln. So sieht Fairness aus – ein Leser, der die Beweise liest und selbst entscheidet. Genau das soll durch das Schweigen verhindert werden.

PhishDestroy ist ein unabhängiger Anbieter von Bedrohungsinformationen. Keine Zahlungen, keine Sponsoren, keine Gefälligkeiten. Wir veröffentlichen, was wir finden. NameSilo hat uns deswegen gesperrt.

Ursprüngliche Untersuchung: phishdestroy.io/xmrwallet-NameSilo-exposed
Recherche in den Medien (Primärquelle): PhishDestroy.medium.com/xmrwallet-com-2953f35b8a79
Beweismittel-Repo: github.com/PhishDestroy

Diese Untersuchung teilen

X / Twitter Telegram Reddit LinkedIn

Verwandte Ermittlungen

xmrwallet entlarvt: 10 Jahre gestohlene Schlüssel
GRÜNDLICHE UNTERSUCHUNG
xmrwallet entlarvt: 10 Jahre gestohlene Schlüssel
Untersuchung von NiceNIC: ICANN-Registrar begünstigt Cyberkriminalität
GRÜNDLICHE UNTERSUCHUNG
Untersuchung von NiceNIC: ICANN-Registrar begünstigt Cyberkriminalität
NameSilo, Webnic, NiceNIC: Registrare, die Betrugsmaschen ermöglichen
UNTERSUCHUNG
NameSilo, Webnic, NiceNIC: Registrare, die Betrugsmaschen ermöglichen