html NameSilo hat unseren Twitter-Account lahmgelegt | PhishDestroy
Zurück zu den Nachrichten
Bericht über Vergeltungsmaßnahmen

NameSilo hat unseren Twitter-Account lahmgelegt Weil wir die Wahrheit über sie gesagt haben

On 3. April 2026, X gesperrt zwei PhishDestroy-Konten unter Berufung auf ein „Zahlungsproblem“ und mit dem Versprechen, dass die bezahlten Abonnements erstattet würden. Eine Rückerstattung erfolgte jedoch nicht. Elf Tage später, am 14. April, X brachte eine neue Begründung vor: „Unauthentisches Verhalten – Aufhebung nicht gerechtfertigt.“ Wir legten Widerspruch ein. Die automatisierte Antwort von X lautete wie folgt: „Kein Verstoß – Konto wieder voll funktionsfähig.“ Die Konten sind nach wie vor gesperrt. Das Geld wurde noch immer nicht zurückerstattet. Der angegebene Grund hat sich inzwischen dreimal geändert. Vor zwei Wochen haben wir aufgedeckt, dass NameSilo eine Monero-Diebstahlsaktion im Wert von über 20 Millionen Dollar gedeckt hat – gegen die derzeit eine strafrechtliche Untersuchung der EU läuft.

15. April 2026 PhishDestroy-Forschung 9 Minuten Lesezeit
X bird logo strangled by a NameSilo data cable
Das Verbot im Überblick: Die automatisierte Funktion von X hat das Konto freigeschaltet. Eine manuell weitergeleitete Beschwerde von NameSilo sorgte jedoch dafür, dass es trotzdem gesperrt blieb.
Grund Nr. 1 · 3. April
„Zahlungsproblem“ + Rückerstattung zugesagt.
Zwei Konten wurden gesperrt. Die Abonnements waren bezahlt und aktiv. Die Rückerstattung ist nie eingegangen.
Grund Nr. 2 · 14. April
„Unechtes Verhalten.“
Elf Tage später eine völlig neue Begründung. Kein konkreter Tweet wurde angeführt. Es wurden keine Beweise vorgelegt.
Grund Nr. 3 · Nach der Berufung
„Kein Verstoß – wiederhergestellt.“
Ergebnis des Berufungsverfahrens. Die jüngste amtliche Entscheidung von X: Die Konten sind ausgeglichen.
Realität · Heute
Konten gesperrt. Geld weg.
Drei verschiedene Gründe. Ein und dasselbe Ergebnis. Keine Rückerstattung. Kein wiederhergestellter Zugang.
0
Verstöße in der Berufungsinstanz
10
Jahre in Obhut
20 Millionen Dollar und mehr
Bestätigte Verluste
~100 Mio. $
Unsere Schätzung
7
NameSilo-Lügen
1
Häkchen „Bezahlt“

Die Quittungen: X widerspricht sich selbst schriftlich

Zwei offizielle E-Mails vom X-Support. Dasselbe Konto. Derselbe Einspruch. Gegensätzliche Entscheidungen. Die zweite ist die aktuellere. Lies sie der Reihe nach.

X Support email: 'no violation' stamp overridden by human review
Der Widerspruch auf einen Blick: Die automatisierte Überprüfung durch X hat uns schriftlich freigegeben. Die Sperre blieb dennoch bestehen.
E-Mail Nr. 1 · 3. April · Erste Entscheidung zur Sperrung
𝕏

Hallo,

Wir haben Ihren Antrag auf Überprüfung Ihres Kontos geprüft, @Phish_Destroy.

Unser Support-Team hat festgestellt, dass tatsächlich ein Verstoß gegen unsere Regeln vorliegt, und zwar konkret:

Verstöße gegen unsere Regeln gegen unechte Verhaltensweisen.

Wir haben die vorgelegten zusätzlichen Informationen geprüft und entschieden, dass eine Aufhebung unserer ursprünglichen Entscheidung in diesem Fall nicht gerechtfertigt ist. Daher werden wir unsere Entscheidung, Ihr Konto zu sperren, nicht rückgängig machen.

Danke,
X-Unterstützung

Begründung für die Sperrung: „UNAUTHENTISCHES VERHALTEN“
E-Mail Nr. 2 · Nach unserem Einspruch · Automatisierte Überprüfung
𝕏

Hallo,

Wir haben Ihren Antrag auf Überprüfung Ihres Kontos geprüft, @Phish_Destroy.

Unsere automatisierten Systeme haben festgestellt, dass kein Verstoß vorliegt, und haben die volle Funktionsfähigkeit Ihres Kontos wiederhergestellt.

Danke,
X-Unterstützung

Ergebnis der Berufung: „KEIN VERSTOSS – WIEDERHERGESTELLT“

E-Mail Nr. 2 ist die jüngere Entscheidung. Sie hebt E-Mail Nr. 1 ausdrücklich auf. Darin heißt es – schriftlich, auf dem Briefkopf von X – dass das Konto wieder voll funktionsfähig. Das Konto wurde nicht wiederhergestellt. Das kostenpflichtige Abonnement wird weiterhin in Rechnung gestellt. Es gibt keine dritte E-Mail, die E-Mail Nr. 2 widerruft. Die jüngste Zusage von X an uns wird schlichtweg nicht eingehalten.

Zwei Möglichkeiten. Beide schlecht.

Entweder ist E-Mail Nr. 2 echt — Die Automatisierungsabteilung hat die Beschwerde geprüft, kam zu dem Schluss, dass kein Verstoß vorliegt, und eine nicht namentlich genannte Stelle hält die Sperre trotz dieser Entscheidung aufrecht.

Oder E-Mail Nr. 2 ist nicht echt — es wurde versehentlich versendet, die eigentliche Entscheidung ist nach wie vor E-Mail Nr. 1, und X hat keine schriftliche Korrektur herausgegeben.

Es gibt keine dritte Möglichkeit. Beide werfen ein schlechtes Licht auf X. Eine davon wirft ein katastrophales Licht auf X.

Warum das passiert ist

Scammer sheltered by NameSilo on left; researcher silenced by NameSilo on right
Eine Hand. Zwei Schutzmaßnahmen. Eine für den Betrüger. Eine, um den Forscher zum Schweigen zu bringen, der ihn überführt hat.

Am 27. März haben wir veröffentlicht Das Ende von xmrwallet[.]com: NameSilo hat gelogen, um einen Krypto-Dieb zu schützen. Die Untersuchung war reproduzierbar: PHP-Endpunkt-Dumps, archivierte Anweisungen, mehr als 15 dokumentierte Opfer. Drei andere Registrare (Indien, Malaysia, China) prüften dieselben Beweise und sperrten ihre xmrwallet Domains innerhalb weniger Tage. Nur NameSilo hat den Betrüger verteidigt.

Was danach geschah, ist entscheidend. Die Reihenfolge ist entscheidend:

  1. Der Betrüger hat uns zuerst direkt eine E-Mail geschickt — noch bevor NameSilo eine öffentliche Stellungnahme abgegeben hatte, noch bevor Berufung eingelegt worden war. In seiner E-Mail forderte er uns auf, „den Registrar zu verklagen“. Das ist kein Satz, den ein einzelner Betrüger an einen Forscher schreibt, der ihm auf den Fersen ist. Das ist ein Satz, den jemand schreibt, der bereits weiß, dass der Registrar ihm den Rücken stärken wird. Eine solche Reaktion haben wir bei keinem anderen Betrüger beobachtet, den wir bisher dokumentiert haben.
  2. NameSilo gab daraufhin eine öffentliche Erklärung ab die zwei nachweisbare Unwahrheiten enthält, wörtlich zitiert und in unserer Medium-Recherche archiviert:
    „Die Domain wurde vor einigen Monaten gehackt“ — was durch die Tatsache widerlegt wird, dass der eigene Diebstahlschutzcode des Betreibers zum Zeitpunkt der Erklärung von NameSilo noch in der Produktion lief.
    „Zuvor hatten wir keine Meldungen über Missbrauch erhalten“ — was durch unsere Zustellbelege für mehrere frühere Missbrauchsanzeigen mit umfassenden technischen Beweisen widerlegt wird.
    In derselben Erklärung hieß es außerdem: „Der Registrant bemüht sich um die Streichung aus den VT-Berichten,“ was bestätigt, dass NameSilo den Versuch des Betreibers, die Erkennungen von VirusTotal zu entfernen, während der Diebstahlcode aktiv war, ausdrücklich unterstützt hat.
  3. In derselben ErklärungNameSilo tat unsere Untersuchung als unseriös ab und bot öffentlich an, dem Betreiber dabei zu helfen, die Erkennungen von Sicherheitsanbietern (VirusTotal, Fortinet) entfernen zu lassen – während der Diebstahlcode noch aktiv war.
  4. We sachlich geantwortet zu dieser öffentlichen Erklärung. Keine Belästigung. Kein Spam. Kein Doxing. Wir haben die Sachverhalte an derselben Stelle richtiggestellt, die NameSilo gewählt hatte.
  5. Sieben Tage später, Zwei PhishDestroy X-Konten wurden gesperrt. Als Grund wurde „Zahlung“ angegeben. Die Abonnements waren bezahlt. Am 14. April Die Begründung änderte sich in „unzulässiges Verhalten“. Nach Einlegung von Einspruch änderte sich die Begründung erneut in „kein Verstoß, wiederhergestellt“. Die Sperre und die nicht zurückerstatteten Zahlungen blieben jedoch unverändert.
Das Muster, das den wahren Grund aufzeigt

NameSilo konnte die Beweise nicht widerlegen – drei andere Registrare handelten unabhängig voneinander darauf. Also taten sie, was die xmrwallet was der Betreiber den Kritikern seit zehn Jahren antat: nutzte bürokratische Wege, um die Stimme zum Schweigen zu bringen, ohne auf die Fakten einzugehen. Der Betreiber hat über 20 GitHub-Konten und über 200 Trustpilot-Bewertungen gelöscht. Bei NameSilo wurde ein X-Konto gesperrt. Das gleiche Vorgehen, auf Unternehmensniveau.

Stehen NameSilo und der Betrüger in Verbindung?

Die xmrwallet[.]com Der Betreiber reagierte souverän auf Missbrauchsmeldungen, twitterte gemeinsam mit der Registrierungsstelle unter Verwendung abgestimmter Argumente und hat die Domain in zehn Jahren voller Beschwerden nie verlegt. So verhalten sich nervöse Betrüger nicht. So verhalten sich Betrüger, die eine Absprache haben.

In den über hundert Fällen von Phishing-Betreibern, die wir dokumentiert haben, ist uns diese spezielle Abfolge bisher noch nie begegnet:

Eine Vorgehensweise, die wir bei keinem anderen Betrüger je gesehen haben
  1. Der Betrüger hat uns zuerst geschrieben. Noch bevor NameSilo eine öffentliche Stellungnahme abgab, noch bevor Berufung eingelegt wurde – schickte der Betreiber selbst eine E-Mail an PhishDestroy. Die Identität ist in der Mittlere Untersuchung: Die E-Mails stammten von der xmrwallet[.]com Betreiber, öffentlich identifizierbar anhand seines eigenen Repository-Fußabdrucks als Nathalie Roy (Kanada), GitHub nathroy, Reddit u/WiseSolution, gesperrt von r/Monero im Jahr 2018.
  2. Seine genauen Worte (wörtlich, archiviert): „Sie können den Domain-Registrar gerne vorladen.“ Nicht „Nehmt es runter.“ Nicht „Ich kümmere mich darum.“ Er wies uns ausdrücklich auf seinen eigenen Registrar als denjenigen hin, gegen den wir vorgehen sollten – als wüsste er bereits, dass der Registrar nicht gegen ihn vorgehen würde, und als sei er zuversichtlich, dass dessen rechtliche Position einer genauen Prüfung standhalten würde. Dieses Zitat ist in unseren Medium-Untersuchung (16. März 2026).
  3. Erst dann ging NameSilo an die Börse mit der Ausrede „Unser Kunde wurde gehackt“ – einer Ausrede, die durch den nach wie vor aktiven Diebstahlcode widerlegt wird – und der Behauptung, dass „keine früheren Missbrauchsberichte vorlagen“, was durch unsere Lieferbelege widerlegt wird.
  4. NameSilo nutzte daraufhin einen Kanal für Plattformmissbrauch als Waffe gegen uns – unter Anwendung derselben Strategie der Meinungsunterdrückung, die der Betreiber bereits auf GitHub (über 20 gelöschte Konten), Trustpilot (über 200 gelöschte Bewertungen) und BitcoinTalk angewandt hatte.

Die Infrastruktur des Betreibers ist nicht die eines Hobbybetreibers. Laut unseren Mittlere Untersuchung, xmrwallet[.]com wird gehostet auf $550/Monat für absolut zuverlässiges Hosting über IQWeb FZ-LLC (eingetragen in Belize), hinter DDoS-Schutz (Russland). Das ist eine professionelle, gut vorbereitete und gegen Angriffe geschützte Infrastruktur – keine einmalige Betrugsseite. Dass ein einzelner Betreiber eine gut vorbereitete, absolut sichere Infrastruktur betreibt und gleichzeitig seinen Registrar dazu bringt, öffentlich eine Stellungnahme zu seiner Verteidigung abzugeben, ist zumindest eine ungewöhnlich gut koordinierte Aktion.

Wir können eine Verbindung außerhalb der Bücher von NameSilo nicht nachweisen. Das könnten nur deren interne Unterlagen. Doch angesichts der vorliegenden Beweise bleiben zwei Erklärungen: Entweder ist der Betreiber der selbstbewussteste Krypto-Betrüger des letzten Jahrzehnts und hat richtig darauf gesetzt, dass sein Registrar ihn instinktiv schützen würde – or Zwischen ihnen besteht eine nicht offengelegte Verbindung. Der erste Fall verdient öffentliche Aufmerksamkeit. Der zweite verdient eine Vorladung. Die Strafverfolgungsbehörden in den EU-Mitgliedstaaten bearbeiten derzeit den zugrunde liegenden Fall.

Direkte Beweise: Was NameSilo öffentlich sagte vs. was tatsächlich geschah

Die vorstehenden Absätze beschreiben ein Muster. In diesem Abschnitt werden die konkreten sachlichen Widersprüche zwischen den öffentlichen Erklärungen von NameSilo und unseren eigenen Aufzeichnungen aus erster Hand dokumentiert. Wir verlangen von niemandem, uns einfach blind zu glauben – jeder der folgenden Punkte lässt sich anhand von Archiven Dritter, Lieferbestätigungen und der Wayback Machine überprüfen.

Die öffentliche Leitung von NameSilo und warum sie den Abgleich mit unseren Datenbeständen nicht übersteht
  1. Öffentliche Behauptung: „Es lagen keine früheren Missbrauchsmeldungen vor / Meldungen gingen nicht innerhalb der vorgeschriebenen Fristen ein.“
    Unsere Bilanz: vom PhishDestroy-Team persönlich verschickt mehr als 20 Meldungen wegen Missbrauchs über einen Zeitraum von drei Jahren (2023–2026) für xmrwallet[.]com sowie die dazugehörige Infrastruktur. Bei jeder Meldung wurde der von NameSilo veröffentlichte Missbrauchskanal genutzt, eine Nachverfolgungsnummer generiert und – in mehreren Fällen – eine automatische Bestätigungs-E-Mail erhalten, die sich noch immer in unserem E-Mail-Archiv befindet. Wir haben diese Belege aufbewahrt. Wir werden sie vollständig an jede ICANN-, DSGVO-, EU-Strafverfolgungs- oder Gerichtsinstanz weiterleiten, die sie anfordert. Ein Registrar, der nach drei Jahren behauptet, „wir hätten nichts erhalten“, dokumentiert Die Nichtberücksichtigung von Beschwerden ist kein administratives Versehen. Es handelt sich um eine nachweisbare sachliche Falschdarstellung.
  2. Öffentliche Stellungnahme: „Das war ein einmaliger Kompromiss; der Kunde wurde gehackt.“
    Unsere Bilanz: den Diebstahlcode unter xmrwallet[.]com blieb online über zehn Jahre in Folge mit demselben Wallet-Substitutionsverhalten, demselben Operator-Fingerabdruck (Nathalie Roy / nathroy / u/WiseSolution) sowie denselben „Bulletproof“-Stack (550 $/Monat IQWeb FZ-LLC in Belize hinter DDoS-Guard). Ein Kompromiss, der ein Jahrzehnt lang Bestand hat und eine feste, unantastbare Zahlung vorsieht, ist kein Kompromiss. Es ist ein Geschäft. Wir kennen sie persönlich – und haben die Erlaubnis, auf sie Bezug zu nehmen – mindestens eine Person aus dem Umfeld unseres Teams die auf genau dieser Domain Geld verloren hat, bevor wir mit der öffentlichen Untersuchung begonnen haben. Das ist kein theoretischer Schaden. Es handelt sich um eine konkrete Person.
  3. Die Behauptung, DDoS-Guard sei auf GitHub umgezogen, ist nicht glaubwürdig.
    In den von NameSilo geprägten Darstellungen wurde die These aufgestellt, die Infrastruktur des Betreibers beweise irgendwie, dass er lediglich ein unorganisierter Open-Source-Mitwirkender sei. Eine Domain, die seit einem Jahrzehnt hinter einem russischen, absolut sicheren DDoS-Abwehrdienst steht und über Offshore-Unternehmensstrukturen in Belize bezahlt wird, passt nicht zum Bild eines „Typen mit einer GitHub-Seite“. Kein vernünftiger Beobachter – ob technisch versiert oder nicht – akzeptiert diese Darstellung. Wir weisen hier darauf hin, da Schweigen als Zustimmung missverstanden werden könnte.

Das Löschmuster: Beiträge, nicht nur Kommentare

Im Laufe unserer dreijährigen Untersuchung konnten wir in Echtzeit beobachten, wie die Unterdrückungsmechanismen auf drei verschiedenen Plattformen wirkten. Das Muster war so konsistent, dass wir jedes Mal vor der Veröffentlichung damit begannen, die Daten zu archivieren.

  • GitHub. Gesamte Konten die Beiträge oder Kommentare gepostet haben, in denen auf xmrwallet[.]com wurden gelöscht – nicht einzelne Kommentare, nicht ganze Threads, sondern die gesamten Konten. Wir verfügen über Wayback-Archivierungen von Threads zu diesem Thema, bei denen das Profil des Kommentators nun eine 404-Fehlermeldung anzeigt. Jeder, der Nachforschungen anstellt, kann GitHub im Rahmen eines ordnungsgemäßen Rechtsverfahrens fragen, wie viele Benutzerkonten mit Beiträgen, in denen xmrwallet zwischen 2018 und 2026 geschlossen wurden und aus welchem angegebenen Grund. Wir gehen davon aus, dass es sich um eine nicht unerhebliche Zahl handelt.
  • Trustpilot. Dutzende wahrheitsgetreue negative Bewertungen wurden in mehreren aufeinanderfolgenden Wellen entfernt. Die Löschungen fielen zeitlich mit jedem öffentlichen Beschwerdezyklus zusammen, was eher auf eine koordinierte Meldung als auf eine organische Moderation hindeutet. Auch hier gilt das interne Löschprotokoll von Trustpilot, das im Rahmen einer gerichtlichen Vorladung vorgelegt wurde, als maßgeblicher Nachweis.
  • X (Twitter). Kritische Kommentare zu den betrugsverdächtigen Konten verschwanden in einem Ausmaß, das sich mit den üblichen Richtlinien der Plattform kaum erklären lässt. Nach unserem @Phish_Destroy Als der Account schließlich unter einer sich ständig ändernden Begründung gesperrt wurde (siehe die oben angeführten E-Mail-Bestätigungen), ergab sich ein klares Muster. Das gleiche Unterdrückungsschema, das seit Jahren gegen einzelne Beschwerdeführer angewendet wurde, wurde nun auch gegen einen Forschungsaccount eingesetzt.

Wir möchten klarstellen: Wir behaupten nicht, dass es sich um Telepathie handelt. Wir behaupten, dass es sich um eine dokumentierte Chronologie handelt. Beitrag veröffentlichen. Archivieren. Löschen. Und das wiederholt, auf drei Plattformen, für dieselbe Zielgruppe, ein Jahrzehnt lang, während der Registrar die Domain nie umzieht. Für diese Chronologie braucht es keine Verschwörungstheorie. Es reicht ein Antrag auf Akteneinsicht.

Wenn Sie Opfer von xmrwallet[.]com — Bitte melden Sie sich

Wir wissen, dass es noch mehr Betroffene gibt. Wir wurden privat von Personen kontaktiert, die Geld verloren haben und sich nicht öffentlich zu Wort melden wollten, solange der Betreiber noch aktiv war und sein Registrar ihn öffentlich verteidigte. Die Situation hat sich nun geändert. Der Betrug ist aufgedeckt, die Infrastruktur ist dokumentiert, und die Strafverfolgungsbehörden in den EU-Ländern bearbeiten den Fall.

Falls Sie Geld verloren haben bei xmrwallet[.]com — drei praktische Schritte
  1. Eine formelle Anzeige bei der Polizei erstatten in Ihrem Wohnsitzland. Geben Sie die Domain an xmrwallet[.]com, das ungefähre Datum und den Betrag sowie die Empfänger-Wallet, falls Ihnen diese bekannt ist. Ein Polizeibericht ist die Voraussetzung dafür, dass die Börse die Sperranträge weiterbearbeiten kann.
  2. Jedes Artefakt bewahren: Screenshots, Browserverlauf, E-Mail-Beleg, Transaktions-IDs, Wallet-Adressen, Bestätigungssignaturen. Gehen Sie nicht davon aus, dass diese Daten nächste Woche noch online verfügbar sind. Speichern Sie sie lokal. und einreichen bei archive.org.
  3. Sag es uns. Schreiben Sie an report@phishdestroy.io oder per Direktnachricht über @PhishDestroy_bot. Wir veröffentlichen Ihre Identität nicht ohne Ihre Zustimmung. Ihr Bericht – auch wenn er anonym ist – stärkt die Argumente gegen die Infrastruktur, die den Diebstahl ermöglicht hat.

An die Institutionen, die tatsächlich eine Offenlegung erzwingen können – ICANN Compliance, die EU-DSGVO-Behörden, das kanadische Anti-Betrugs-Zentrum (der Betreiber ist kanadisch), die zuständigen Steuerbehörden sowie jedes Gericht, das für die Betriebsgesellschaft von NameSilo zuständig ist: Das Primärmaterial wird aufbewahrt und ist auf Anfrage verfügbar. Versandbestätigungen, Wayback-Archiv-Screenshots, der Medium-Beitrag, die Infrastruktur-Grafik des Domain-Berichts sowie Zeugenaussagen der Opfer mit unterzeichneter Einwilligung. Wir halten keine Beweise zurück. Wir bewahren sie in einer Form auf, die Sie tatsächlich nutzen können.

Etwas Schwarz als Weiß zu bezeichnen, macht es noch lange nicht weiß. Ein Jahrzehnt öffentlicher Beweise, über 20 dokumentierte Missbrauchsanzeigen, eine von „Bulletproof“ gehostete Diebstahlplattform, koordinierte Kontolöschungen auf drei Plattformen, ein gesperrtes Forschungs-Konto und ein namentlich genannter Betreiber, dessen Identität bereits öffentlich bekannt ist – das ist kein PR-Problem. Es ist ein rechtliches Problem. Wir sind zuversichtlich, dass die öffentlichen Unterlagen bereits genügend Material enthalten, um es zu lösen.

Die Opfer: Wer wurde tatsächlich geschädigt?

Das implizite Argument von NameSilo, das statt einer Rücknahme lieber auf die Schaltfläche zum Melden von Missbrauch zurückgreift, lautet: „Es hat uns nicht gefallen, bloßgestellt zu werden.“ Das ist verständlich. Niemandem gefällt es, bloßgestellt zu werden. Aber man muss die beiden Nachteile gegeneinander abwägen.

Die Asymmetrie

Der Schaden, den NameSilo durch unsere Berichterstattung erleidet: Peinlichkeit.

Der Schaden, den die Opfer durch die zehn Jahre andauernde Operation „NameSilo“ erlitten haben:

  • Ein einzelner Benutzer: 590 XMR (~177.000 $) bei einer einzigen manipulierten Transaktion verloren gegangen.
  • Erste dokumentierte Fälle: 15 (Trustpilot, Sitejabber, BitcoinTalk).
  • Regionen: verschiedene Regionen (Die Aussagen der Opfer bestätigen dies.)
  • Bestätigte Gesamtsumme: über 20 Mio. $. Dies basiert auf Opferberichten, die wir einzeln überprüfen können.
  • Unsere Einschätzung, fundiert, aber nicht bestätigt: über 100 Millionen Dollar. Basierend auf der Anzahl der betroffenen Nutzer und der Dauer der Aktion. Wir geben dies als unsere Schätzung an und können sie nicht öffentlich belegen. Auch NameSilo kann dies nicht glaubhaft widerlegen, ohne seine eigenen Unterlagen offenzulegen.
  • Wichtiger Hinweis zu den Preisen. Unsere Verlustsummen werden zum XMR-Wechselkurs berechnet zum Zeitpunkt des jeweiligen Diebstahls, nicht zum heutigen Monero-Kurs. Die oben genannten Zahlen entsprechen den tatsächlichen Beträgen in US-Dollar, die die Opfer zum Zeitpunkt des Verlusts verloren haben.
  • Laufende Strafverfahren in den Rechtsordnungen der EU. Das ist nicht mehr nur Forschung – das ist Strafverfolgung.

Seit der Veröffentlichung, Weitere Opfer haben sich direkt an uns gewandt mit den jeweiligen Schadenssummen und Transaktions-IDs. Wir bewahren diese Berichte auf und überprüfen sie.

Diese beiden Missstände als gleichwertig zu behandeln – indem man zulässt, dass eine Registrierungsstelle den Forscher zum Schweigen bringt, der den Vorgang dokumentiert hat – ist an sich schon ein politisches Versagen.

Die ständige Akte

Server racks with ARCHIVED labels and screenshots of NameSilo statements
Jede Stellungnahme von NameSilo zur Verteidigung des Betreibers von xmrwallet, die in acht unabhängigen Publikationssystemen gespeichert ist.

Das Sperren eines Twitter-Kontos beseitigt die Beweise nicht. Alles, was für diesen Fall relevant ist, wird archiviert:

  • Jede öffentliche Stellungnahme von NameSilo, in der das xmrwallet Betreiber – Wayback Machine, Archive.today, unser GitHub-Repository für Belege.
  • Screenshots des Live-Diebstahlcodes in der Produktion, mit Zeitstempeln.
  • 8 PHP-Endpunkte wurden rückentwickelt und veröffentlicht.
  • Die gesamte Konversationskette zum Missbrauchsmeldung.
  • Unsere gesamte X-Timeline wird auf Mastodon, Bluesky, Medium, Telegram, GitHub und IPFS gespiegelt.
  • Stündliche Momentaufnahmen von phishdestroy.io selbst, 14-tägige Aufbewahrungsfrist, eigens eingerichtet, damit nichts, was wir geschrieben haben, stillschweigend verschwinden kann.

Sollte ein einzelner Mirror ausfallen, bleibt der Inhalt auf den anderen sieben erhalten. Die Architektur ist älter als NameSilo. Sie wird NameSilo überdauern.

War das fair? Fünf Fragen an alle Leser

Infographic of uncomfortable questions around the ban
Fragen, die beantwortet werden können. Jede einzelne davon verdient eine öffentliche Antwort.

Das sind keine rhetorischen Fragen. Lesen Sie die oben genannten Argumente und entscheiden Sie dann selbst – ganz privat, auf Ihrer Pinnwand oder während Sie darüber nachdenken, ob Sie Ihre Domains behalten oder umziehen möchten.

  1. Ist es gerechtfertigt, einen Sicherheitsforscher zu sperren, weil er öffentlich auf die eigene öffentliche Erklärung eines Registrars reagiert hat? Der Standesbeamte ergriff das Wort. Der Forscher antwortete mit Fakten. Nur eine Seite wurde zum Schweigen gebracht.
  2. Ist es akzeptabel, dass ein Registrar in einer öffentlichen Erklärung dokumentierte Forschungsergebnisse als unseriös abtut und gleichzeitig einem Betrüger anbietet, ihm dabei zu helfen, Sicherheitserkennungen zu umgehen? Beides geschah in einer einzigen Erklärung von NameSilo. Die Opfer werden darin nirgends erwähnt.
  3. Ist es zulässig, dass X seine eigene Begründung für die Sperre ausdrücklich schriftlich zurückzieht („kein Verstoß, wieder freigeschaltet“) und die Sperre dennoch aufrechterhält? Laut der jüngsten Entscheidung von X sollte der Account aktiv sein.
  4. Ist es akzeptabel, dass ein kostenpflichtiges Verifizierungsabonnement weiterhin in Rechnung gestellt wird, während das zugehörige Konto gesperrt ist? Wenn die Dienstleistung nicht erbracht wird, handelt es sich dann um ein Produkt – oder um eine Vertragsverletzung?
  5. Was bedeutet der Begriff „guter Ruf“ bei einem von der ICANN akkreditierten Registrar? Kann ein akkreditierter Registrar die Missbrauchskanäle einer Drittanbieterplattform dazu missbrauchen, den Forscher zum Schweigen zu bringen, der das Versagen bei der Reaktion auf den Missbrauch dokumentiert? Dies ist eine Frage der Compliance und wird in die bestehende RAA § 3.18-Einreichung aufgenommen.

Falls eine Antwort lautete: „Nein, das ist nicht fair“

Hier sind drei konkrete Maßnahmen, die keine Kosten verursachen, geordnet nach ihrer Wirksamkeit.

1. Öffentlich teilen

Stille Missbilligung bringt nichts. Sichtbarer Druck hingegen schon. Ein Klick, bereits ausgefüllt:

Auf X teilen (voreingestellt) Auf Telegram teilen Auf LinkedIn teilen Auf Reddit teilen

2. Fragen Sie die Parteien namentlich

Markiert sie. Stilles Missbilligen bringt nichts. Sichtbare Fragen von Lesern werden wahrgenommen.

  • @NameSilo — ist das @Phish_Destroy Sperre im Zusammenhang mit Ihrer öffentlichen Erklärung, in der Sie angeboten haben, dem xmrwallet Werden die Erkennungen des Betreibers entfernt?
  • @X / @XSupport / @elonmusk — In E-Mail Nr. 2 heißt es: „Wieder voll funktionsfähig.“ Das Konto ist gesperrt. Welche Entscheidung ist maßgeblich?
  • @ICANN — Bezieht sich RAA § 3.18 auf Vergeltungsmaßnahmen von Registrierungsstellen gegen Forscher?
  • @Tucows — Sind Vergeltungsmaßnahmen gegen Forscher wegen missbräuchlicher Nutzung der Plattform mit Ihren OpenSRS-Reseller-Standards vereinbar?

3. Domains umziehen (das ist der unangenehme Teil)

Unternehmen reagieren auf Umsatzverluste, nicht auf Tweets. Überweisungen dauern etwa fünfzehn Minuten. Unsere Seite mit den Registrierungsstatistiken listet Registrare mit einwandfreier Bilanz bei der Reaktion auf Missbrauch auf. Jede umgezogene Domain ist ein Datenpunkt zur Verlängerungsrate, den die Geschäftsleitung von NameSilo im nächsten Quartal sehen wird.

Wenn Sie eine Organisation sind – sei es ein Krypto-Projekt, eine Bug-Bounty-Plattform, ein journalistisches Medium oder ein Unternehmen für Bedrohungsinformationen – mit wo Domain bei NameSilo: Überlegen Sie sich, was es bedeutet, den Registrar zu unterstützen, der eine Diebstahlaktion im Wert von über 20 Millionen Dollar gedeckt und anschließend den Forscher zum Schweigen gebracht hat, der dies dokumentiert hat. Sie können diesen Schritt öffentlich vollziehen. Das hat Gewicht.

Abschließendes Wort

A megaphone crushed by a red ABUSE REPORT rubber stamp
Man kann nicht zehn Jahre lang einen Diebstahl in Höhe von über 20 Millionen Dollar decken, in der Öffentlichkeit lügen und dann den Forscher, der einen überführt hat, stillschweigend abstrafen.
Man kann nicht zehn Jahre lang einen Diebstahl in Höhe von über 20 Millionen Dollar decken, in der Öffentlichkeit darüber lügen, sich an dem Forscher rächen, der einen überführt hat – und erwarten, dass die ganze Sache stillschweigend in Vergessenheit gerät. Vor allem nicht, solange die Strafverfolgungsbehörden der EU an dem Fall arbeiten.

Wir verlangen nicht, dass Sie uns einfach glauben. Jede der oben genannten Tatsachenbehauptungen ist verlinkt, dokumentiert, mit einem Zeitstempel versehen, extern archiviert und nachprüfbar. Wir bitten Sie, sich die Beweise anzusehen, die fünf Fragen für sich selbst zu beantworten und entsprechend Ihrer eigenen Antwort zu handeln. So sieht Fairness aus – ein Leser, der die Beweise liest und selbst entscheidet. Genau das ist es auch, was durch Zensur verhindert werden soll.

PhishDestroy ist eine von Freiwilligen betriebene Plattform für Bedrohungsinformationen. Keine Zahlungen, keine Sponsoren, keine Gefälligkeiten. Wir veröffentlichen, was wir finden. NameSilo hat uns deswegen gesperrt.

Ursprüngliche Untersuchung: phishdestroy.io/xmrwallet-namesilo-exposed
Medienrecherche (Primärquelle): phishdestroy.medium.com/xmrwallet-com-2953f35b8a79
Beweismittel-Repository: github.com/PhishDestroy

Diese Untersuchung teilen

X / Twitter Telegram Reddit LinkedIn

Verwandte Untersuchungen

xmrwallet.com Exposed: 10 Years of Stolen Keys
GRÜNDLICHE UNTERSUCHUNG
xmrwallet.com entlarvt: 10 Jahre gestohlene Schlüssel
NiceNIC Investigation: ICANN Registrar Enabling Cybercrime
GRÜNDLICHE UNTERSUCHUNG
Untersuchung von NiceNIC: ICANN-Registrar begünstigt Cyberkriminalität
NameSilo, Webnic, NiceNic: Registrars Enabling Scams
UNTERSUCHUNG
NameSilo, Webnic, NiceNic: Registrare, die Betrug ermöglichen