/>
Não recebemos remuneração. Corremos o risco de sofrer consequências reais por parte de criminosos encurralados que têm dinheiro. Esta página explica por que escolhemos essa luta, o que estamos tentando provar e como planejamos essa investigação.
Independência e Capacidade
Atuamos de forma independente. Sem patrocinadores corporativos, sem subsídios, sem alavancagem financeira a ser explorada. Essa autonomia nos permite buscar alvos que as empresas de segurança tradicionais evitam devido a questões de responsabilidade civil ou conflito de interesses. Mais de 130.000 domínios de phishing neutralizados. Anos de atuação no setor. Compreendemos a infraestrutura dos golpes, o comportamento dos operadores sob pressão, o processamento de denúncias de abuso de plataformas e a mecânica das campanhas de supressão.
Como a investigação foi iniciada
A operadora (“Nathalie Roy”) foi advertida diretamente: não minta, não agrave a situação. Ela teve várias oportunidades de resolver o problema discretamente — excluir duas issues do GitHub e encerrar o assunto. Se nenhuma vítima tivesse reclamado, o caso teria terminado ali. Em vez disso, ela optou por ameaçar, mentir e envolver seu registrador. A NameSilo então publicou um tuíte contendo quatro afirmações que podiam ser facilmente refutadas, defendendo publicamente um drainer sinalizado pelo VirusTotal para um público de 11 mil pessoas. Esse erro tático desencadeou uma operação forense em grande escala.
Nosso objetivo está no nosso nome: PhishDestroy. A NameSilo optou por se tornar parte da operação de phishing — defendendo-a, divulgando declarações falsas e ocultando provas. A resposta é de natureza processual: documentar a proteção, neutralizar o golpe e encaminhar o caso às autoridades.
Um dos nossos pesquisadores está escrevendo um artigo de pesquisa forense sobre a criminologia da fraude online. Esta investigação constitui o principal estudo de caso. O artigo desenvolve uma metodologia para investigar o roubo de criptomoeda não rastreável (Monero) — onde a análise tradicional da blockchain é impossível.
O Monero não possui um livro-razão público. Não é possível comprovar um roubo por meio da análise da blockchain. Sem Etherscan, sem histórico de transações, sem atribuição de carteira. É por isso que o xmrwallet.com sobreviveu por uma década — ninguém conseguia quantificar os danos usando ferramentas padrão. O artigo demonstra que, quando não é possível rastrear o dinheiro, ainda é possível provar o crime por meio de:
Esta investigação é a prova de conceito de que o método funciona. Cada elemento de prova coletado aqui — os padrões de supressão, o comportamento idêntico, a resposta ao CAPTCHA, os 21 milhões de registros — é incorporado diretamente ao artigo. O caso precisava existir para que a pesquisa existisse. A arrogância deles tornou isso possível.
Metodologia Operacional e Contramedidas
Previmos todas as medidas que eles tomariam. Deliberadamente, não escrevemos no Twitter que sabemos o que eles fazem com pessoas como nós — porque Eles são tão arrogantes que nem perceberam que não estavam nos oprimindo. Estavam fazendo exatamente o que queríamos.
Faixas paralelas, simultaneamente:
Nós os induzimos? Não. Fizemos o que sempre fazemos — denunciamos o abuso, publicamos as conclusões e documentamos as respostas. Eles optaram por ocultar. Nós já sabíamos que eles fariam isso, e estávamos gravando.
Nós enviamos 11-12 denúncias formais de abuso para a NameSilo — não para enganá-los, mas para testar nossa hipótese. Se eles fossem realmente independentes do operador, investigariam um site sinalizado pelo VirusTotal, com vítimas comprovadas e com e-mails do próprio operador admitindo o controle. Eles ignoraram todos, sem exceção. Todos os outros registradores que testamos tomaram medidas.
Distribuição multiplataforma e rastreamento de supressão
Publicamos em várias plataformas, de forma deliberada. No Medium, desenvolvido para o nosso próprio site. Não porque não pudéssemos colocar tudo em um só lugar — mas porque precisávamos que eles o suprimissem em cada plataforma separadamente. Cada ação de supressão é registrada pela plataforma receptora — identidade do solicitante, endereço IP, data e hora, método. Todos os registros da plataforma estão à disposição das autoridades policiais por meio de procedimentos legais padrão.

Artigo no Medium — 304 claps, 15 comentários, 19 min de leitura. Uma das várias plataformas nas quais publicamos deliberadamente.
Honeytokens e iscas de supressão
Nós não os “induziemos”. Fizemos exatamente o que qualquer pesquisador especializado em combate ao phishing faz: publicamos nossas descobertas, denunciamos os abusos e documentamos as respostas. Eles optaram por silenciar, em vez de responder. Nós já esperávamos que eles fizessem isso — porque esse é o padrão de todos os operadores que estudamos. A diferença é que, desta vez, alguém estava observando e gravando.
Temos não tenho interesse em difamar a NameSilo. Não nos importamos com o preço das ações deles. Publicamos um tuíte — para ver a reação. E foi o que aconteceu: um dos investidores deles tentou divulgar dados pessoais de um pesquisador e, em seguida, apagou os tuítes. A NameSilo respondeu com o mesmo modelo de resposta que comprovou seu comportamento primitivo e previsível — idêntico ao do operador. Nosso objetivo está no nosso nome: PhishDestroy. Nós acabamos com o phishing. É isso aí.
Sacrificamos nossa conta no Twitter — mais de 200 mil tuítes, anos de evidências — porque a investigação assim exigia. Esperamos que o processo restaure tudo o que foi suprimido, pois cada tuíte excluído, cada link removido, cada artigo desindexado é, por si só, uma evidência passível de verificação. Todas as plataformas nas quais nos censuraram mantêm registros. Durante uma década, eles conseguiram apagar tudo o que era negativo dos resultados de busca — nossa análise de SEO comprova isso. Deixaram apenas o que lhes convinha.
Publicamos dois artigos no Medium. O artigo nº 1 mencionava apenas o xmrwallet — sem nenhuma menção ao NameSilo. O artigo nº 2 foi elaborado especificamente com foco em SEO para o NameSilo. Ambos foram removidos do índice. No nosso próprio site — a mesma coisa: conteúdo exclusivamente sobre o xmrwallet e conteúdo especificamente sobre o NameSilo. Mais de 20 links por palavra-chave, todos suprimidos. Se o NameSilo e o operador não têm relação alguma — quem está limpando os resultados de busca do NameSilo? O operador está limpando a reputação do seu registrador? Não é assim que entidades não relacionadas funcionam.
Todas as análises que publicamos incluíam um alerta sobre o registrador e a verdade sobre sua conduta. Eles não gostaram disso. Mas o que eles veem como uma “batalha” — nossas publicações contra as remoções deles — Nunca foi uma batalha. Foi uma operação planejada. Cada ação foi planejada com um único objetivo: levá-los a gerar provas contra si mesmos. Eles acham que estavam reagindo a ataques. Na verdade, estavam reagindo a uma isca. Cada pedido de remoção, cada desindexação, cada notificação DMCA — provas que eles mesmos fabricaram contra si mesmos.
O Monero é impossível de rastrear. Não há rastros na blockchain. Os métodos tradicionais de investigação não funcionam nesse caso. Por isso, nos adaptamos: Se não conseguirmos rastrear o dinheiro, rastreamos o comportamento. Nós nos tornamos o alvo para que eles pudessem demonstrar o padrão. Um caçador não persegue presas impossíveis de rastrear pela floresta — ele arma armadilhas e espera. Eles caíram em todas elas.
Infraestrutura descentralizada e mitigação de riscos
Porque não somos uma única pessoa. 4 ou mais pesquisadores Trabalhamos nessa investigação. As vítimas contribuíram. As autoridades policiais de vários países foram informadas. As provas estão no IPFS — imutáveis, descentralizadas e com monitoramento automatizado. Se algum espelho ficar fora do ar, um novo é ativado automaticamente.
Eles acham que apagar links faz com que as provas desapareçam. Não é isso. Isso gera mais evidências. Cada exclusão é registrada. Cada tentativa de supressão constitui mais uma prova no processo.

Publicação no dev.to — republicada para criar vários registros de supressão em diferentes plataformas.
Avaliação de ameaças ao operador
A operadora nos enviou um e-mail: "Contratei um advogado e um detetive particular." Nenhum advogado apareceu. Nenhum investigador particular apareceu. O que apareceu: notificações de remoção nos termos da DMCA, denúncias em massa, ataques DDoS provenientes de njal.la (um revendedor da NameSilo) e manipulação coordenada no Trustpilot. Cada ameaça, cada ação, cada registro de data e hora — tudo documentado.

Google Search Console — todos os domínios que você vê aqui foram criados com um único objetivo: serem removidos. E foram mesmo. Todos, sem exceção.
Dê uma olhada nessa captura de tela. Cada subdomínio do Azure, cada URL de artigo — Nós os criamos especificamente para que fossem denunciados e removidos. Por que alguém criaria uma dúzia de cópias do mesmo conteúdo em plataformas diferentes? Porque precisávamos delas para enviar uma dúzia de solicitações de remoção separadas. Cada solicitação é registrada pela plataforma. Cada registro contém a identidade do solicitante, o endereço IP, a data e hora e o método utilizado. Os registros de remoção relacionados à DMCA e ao GDPR são mantidos pelas plataformas por anos.
Eles não pensaram. Viram conteúdo negativo — clicaram em “denunciar”. Tanto no NameSilo quanto no xmrwallet. O mesmo padrão, a mesma rapidez, as mesmas plataformas. Eles nunca pararam para perguntar: Por que o PhishDestroy fica criando novos links? Por que um “voluntário maluco” continuaria fabricando espelhos que são constantemente retirados do ar? Porque cada remoção é uma prova. Cada notificação da DMCA é uma impressão digital forense. E quando os investigadores intimam o Google, o Bing, o Twitter, o Trustpilot e o Medium — o padrão em ambas as entidades será idêntico. Mesmo solicitante. Mesmo método. Mesmo cronograma. Não se trata de duas empresas sem relação entre si. Trata-se de uma única operação.
Investigamos centenas de esquemas fraudulentos. Nenhum deles era assim. A maioria dos autores de golpes de phishing foge, se esconde ou fica em silêncio quando é desmascarada. Esses não fizeram isso. Eles fizeram o contrário:
É isso que torna o caso interessante do ponto de vista forense. O padrão de supressão idêntico tanto no NameSilo quanto no xmrwallet Essa é a “impressão digital” que nos propusemos a capturar. Não precisamos comprovar a conexão por meio de e-mails ou pagamentos — comprovamos isso por meio do comportamento. Nós lhes fornecemos alvos. Eles os derrubaram exatamente da mesma forma para ambas as entidades — mesmas plataformas, mesma velocidade, mesmos métodos. Esse padrão de comportamento é a prova. E é a única coisa que eles não podem apagar, porque está nos registros da plataforma de todas as empresas às quais nos denunciaram.
Contaminação de banco de dados e contaminação de telemetria
Porque nosso objetivo é proteger as pessoas — e enquanto o xmrwallet.com estivesse no ar, as pessoas continuavam perdendo dinheiro. Criamos um script no Cloudflare Workers que inseria endereços de carteiras em todos os domínios do xmrwallet (.com, .me, .cc, .biz, .net) continuamente — nos mesmos campos de entrada onde as vítimas reais inserem suas chaves. Se for uma carteira legítima do lado do cliente (como eles afirmam), isso não afeta nada. As entradas da frase-semente em uma carteira legítima são processadas localmente. Não há nada para “atacar”.
Mas o site xmrwallet.com rouba todas as frases-semente inseridas. Realizamos uma operação sistemática de contaminação de dados, injetando 21 milhões de iscas criptográficas para tornar seus conjuntos de dados roubados inutilizáveis do ponto de vista operacional. Nós não teríamos parado. Não até que o site estivesse fora do ar. Independentemente de terem adicionado o hCaptcha, o Cloudflare Turnstile ou qualquer outra coisa — nós teríamos continuado inserindo endereços de carteiras e protegendo as pessoas contra eles. É exatamente isso que nosso nome significa.
Nossas carteiras não se limitaram a autorizar e sair. Cada sessão comportamento realista simulado do usuário — clicar em links, navegar pelas páginas, aguardar intervalos variáveis, simular diferentes tipos de usuários (explorador, remetente, usuário avançado, iniciante, paranóico). Entendemos como funcionam os sistemas de análise — e o xmrwallet.com opera Google Analytics, Google Tag Manager e um pixel de rastreamento do Google em uma carteira “anônima”. Nossas sessões foram projetadas com forte aleatorização para que o operador não conseguiu distinguir nossos registros das vítimas reais pelo comportamento da sessão, pelo tempo de acesso ou pelos padrões de navegação. Cada carteira roubada registrada nos logs deles fica perdida em um palheiro de dados nossos.
Depois que nossa ferramenta ficou em execução por semanas, o operador adicionou um CAPTCHA — um desafio rudimentar de força bruta quadrática que pode ser resolvido em cerca de 0,1 segundo com Python. Uma carteira legítima não precisa de um CAPTCHA na inserção da frase-semente. O Ledger não tem. O Trezor não tem. O MyMonero não tem. Nenhuma carteira legítima tem — porque as carteiras legítimas processam as sementes localmente. A única razão para adicionar um CAPTCHA é se você estiver coletar e registrar todas as entradas no lado do servidor. O próprio CAPTCHA é uma prova do mecanismo de roubo.
Esperávamos que eles implementassem uma solução de verdade — hCaptcha, Cloudflare Turnstile, algo competente. Mas não foi o que fizeram. Eles implementaram um desafio trivial, que pode ser resolvido por força bruta em 0,1 segundo. Isso diz tudo sobre o nível técnico deles. Eles estavam protegendo sua rede de roubo, não seus usuários.
xmrwallet.com: 4.743 sessões · xmrwallet.me: 114.031 sessões. Exemplo de registro de uma execução. A ferramenta foi reiniciada e atualizada várias vezes — quando domínios foram removidos, alterados ou quando o CAPTCHA foi introduzido. Os registros completos de todas as execuções somam aproximadamente 21 milhões de inscrições aprovadas em todos os domínios do xmrwallet, de fevereiro a abril de 2026. O conjunto de dados completo está à disposição das autoridades policiais mediante solicitação.
5,4 RPS no total, considerando todas as ações — mas no máximo 1 autorização a cada 7 a 10 segundos. Isso não é um problema para uma carteira que funciona no lado do cliente, certo? A menos que funcione no lado do servidor. A menos que registrem cada entrada. A menos que roubem tudo e registrem o histórico completo. E é exatamente isso que eles fazem.
Isso é um ataque? Não. Inserimos dados em um formulário público na web. Só isso. Não contornamos a autenticação, não exploramos vulnerabilidades, não acessamos nenhum sistema ao qual não devíamos ter acesso. Usamos o site exatamente como previsto — como uma “carteira”. Se o site funcionar conforme anunciado (apenas no lado do cliente), nossas entradas não têm significado algum. Se nossas entradas forem importantes para eles — isso comprova que o mecanismo de roubo existe.
Notificamos formalmente a DDoS-Guard (seu provedor de hospedagem) sobre a natureza de nossa atividade, descrevemos o mecanismo de coleta de frases-semente e fornecemos os endereços IP dos servidores. Eles nunca entraram em contato conosco, nunca se opuseram, nunca nos pediram para parar. Silêncio = nenhum problema. Nosso script consumia menos de 50 MB de RAM e rodava a 5,4 solicitações por segundo — menos de 1% da capacidade do servidor. Sabemos, mais ou menos, qual servidor eles usaram. Nosso tráfego ficou invisível.
E agora vem a parte interessante. Por ser uma “carteira privada do lado do cliente”, o xmrwallet.com afirma não manter registros. Mas se eles fazer mantêm registros (porque roubam); agora têm aproximadamente o mesmo número de registros que nós — 21 milhões. E se eles estiverem tentando processar, avaliar e esvaziar cada carteira? São 21 milhões de carteiras Monero para escanear, carregar e verificar os saldos. O custo computacional de avaliar 21 milhões de carteiras é enorme. Cada carteira vazia representa um desperdício de tempo e recursos. A carteira de cada vítima real fica perdida em meio a um monte de palha formado por nossos registros. Era exatamente isso que importava.
Quer nos acusar de um ataque? Solicite nossos registros. Forneceremos gigabytes de dados mostrando 21 milhões de entradas de frases-semente em sua “carteira legítima do lado do cliente”. Explique a um tribunal por que uma carteira do lado do cliente registrou, processou e tentou usar todas elas.
Em todos os domínios do xmrwallet (.com, .me, .cc, .biz, .net), nossa ferramenta registrou aproximadamente 21 milhões de acessos bem-sucedidos à carteira. “Bem-sucedido” significa que o xmrwallet.com aceitou a frase-semente, processou-a no servidor e tentou acessar a carteira — exatamente como faz com vítimas reais. Temos registros de cada um desses casos. Cada entrada é uma prova de que o site coleta e processa frases-semente no lado do servidor. Se fosse realmente “apenas no lado do cliente”, não haveria nada para registrar, nada para processar e nenhum motivo para adicionar um CAPTCHA para nos impedir.
A ironia: eles tentaram proteger seu esquema de roubo em vez de se protegerem. Eles adicionaram CAPTCHAs para continuar roubando. Deveriam ter se preparado para uma defesa jurídica. Cada CAPTCHA resolvido, cada desafio do DDoS-Guard, cada sessão do lado do servidor — tudo registrado e com data e hora. Estavam tão ocupados defendendo sua capacidade de roubar as pessoas que se esqueceram de que alguém estava registrando tudo.
As frases-semente do Monero não armazenam a data de criação da carteira (altura de restauração). Isso cria um dilema crítico para o invasor: se ele analisar apenas os blocos recentes, deixará de identificar carteiras mais antigas, que podem conter quantias enormes. Os golpistas são gananciosos. Para garantir que não deixem de identificar os detentores de longo prazo, eles são obrigados a vasculhar toda a blockchain do Monero — desde o bloco Gênesis de 2014 até o presente — em busca de cada frase-semente.
Mesmo com uma infraestrutura otimizada e nós locais, uma verificação criptográfica de toda a cadeia leva aproximadamente De 2 a 5 minutos de alta carga na CPU por carteira.
Criamos assimetria computacional absoluta: levamos apenas milissegundos para gerar e injetar um isca válida, mas, para eles, avaliá-la implica um custo tangível em infraestrutura, milhares de dólares em taxas de servidor e um risco operacional enorme. Não nos limitamos a contaminar o banco de dados deles — Nós transformamos a própria ganância deles em uma arma para levar seus recursos computacionais à falência.
É por isso que alguns consideram nossos métodos agressivos. Nós os consideramos proporcional e totalmente ético. Sem proxies. Sem botnets. Sem serviços de ataque pagos. Sem infraestrutura ilegal. Sem colaboração com fornecedores do mercado cinza. Tudo funciona com o Cloudflare Workers padrão — leve, legal e transparente. Não precisamos de ferramentas caras ou ilegais para proteger as pessoas. Soluções simples e legais são mais eficazes — e se sustentam na Justiça.

Google Search Console — phishdestroy.github.io/DO-NOT-USE-xmrwallet-com: dados de indexação e desempenho.
Não há meio-termo nessa questão.
Um site ou é uma fraude ou não é. Não há meio-termo. Não nos importa quem lucra com isso, quanto pagam ou quem os protege. O operador é um criminoso. O registrador ou não sabia (negligência) ou sabia (cumplicidade). As evidências apontam para a segunda hipótese.
Você cometeu erros de propósito?
Sim. Nós marcadores de IA deixados visíveis intencionalmente e adotamos padrões de comportamento de outras investigações — pequenos erros que fizeram com que o operador e o registrador se sentissem confiantes em sua campanha de supressão. Queríamos que eles nos subestimassem. Queríamos que eles clicassem em “denunciar” com total confiança de que isso funcionaria, de que éramos amadores que desistiriam. Cada medida repressiva que tomaram com convicção é agora uma prova registrada com data e hora. Os detalhes serão publicados em um artigo acadêmico a ser lançado sobre análise forense de fraudes online — especificamente sobre a identificação comportamental de operadores de golpes.
Qual é o objetivo final?
As provas foram apresentadas a Conformidade Contratual da ICANN e autoridades federais responsáveis pela aplicação da lei. A investigação continua por meio dos canais oficiais. Este arquivo existe para que nada possa ser apagado, modificado ou ocultado. Cada alegação é comprovada. Cada captura de tela tem seu hash gerado. Cada ação é documentada.
Se eles negarem ter excluído avaliações — apresentamos os registros do Wayback Machine. Se negarem ter ignorado reclamações — apresentamos os comprovantes de entrega. Se negarem a conexão — apresentamos os registros de data e hora da PR Newswire, a correspondência do padrão de supressão e os registros de compra do domínio.
Eles retiraram 30 a 50 ou mais links dos resultados de pesquisa no Google, no Bing e em várias plataformas — para ambas as entidades. Isso prova uma de duas coisas: ou elas são extraordinariamente estúpidas e não percebem que cada solicitação de remoção é registrada e cria um rastro forense, ou eles têm um acordo permanente com alguém para remover conteúdo negativo. De qualquer forma, os registros existem, o padrão é idêntico para ambas as empresas e tudo isso pode ser obtido por meio de intimação. Toda essa investigação foi planejada para produzir exatamente esse conjunto de dados — tanto para o artigo acadêmico quanto para as autoridades policiais.
Isso nunca foi uma discussão acalorada. Este é um processo.

Perfil do PhishDestroy Medium — uma das diversas plataformas de publicação utilizadas para documentar e divulgar evidências.
Cada alegação acima tem uma prova pública. Comece pelos casos mais emblemáticos:
Equipe de Pesquisa PhishDestroy
Iniciativa independente contra o phishing — fundada em 2019
← Voltar ao PhishDestroy · Arquivo de notícias · abuse@phishdestroy.io