>
PhishDestroy Ao vivo
Voltar às notícias
Compartilhar: Postagem Telegram
● ÚLTIMAS NOTÍCIASAtualizado em 2 de julho de 2026 — ICANN nº 1479 registrado
Investigação

NameSilo Defendeu um autor de golpe de criptomoedas que desviou US$ 100 milhões
— Então Nossa conta no Twitter foi desativada

Um registrador credenciado pela ICANN publicou 4 mentiras comprovadas para proteger uma operação de roubo de Monero que durou 10 anos, se ofereceu para apagar seu histórico no VirusTotal enquanto o drainer ainda estava ativo e, em seguida, usou um X Gold Checkmark pago para bloquear os pesquisadores que provaram que eles estavam errados. Seu engenheiro de DevOps: ex-chefe do departamento de TI de uma pirâmide financeira russa há uma década.

1º de abril de 2026 — Atualizado em 2 de julho de 2026 Pesquisa PhishDestroy 10 minutos de leitura 61 arquivos verificados com SHA-256
$0M+ Estimativa de roubos
0 anos Operação Lifespan
0 Mentiras documentadas
0k Páginas removidas do índice do Bing
0+ Avaliações excluídas
0 Arquivos de evidência SHA-256
Leia a investigação completa em phishdestroy.eth.limo

Este artigo é uma prévia. As evidências completas, os arquivos IPFS e todo o material de origem estão disponíveis no link acima.

O contexto: O que é, na verdade, o xmrwallet.com

xmrwallet.com não é uma página de phishing. É um carteira Monero totalmente funcional com um backdoor no lado do servidor criado em 2018 e em funcionamento até maio de 2026 — quase uma década. O repositório do GitHub é apenas uma fachada pública. O código do roubo existe apenas no servidor de produção, nunca foi submetido ao controle de versão, nunca foi auditado.

Cada interação do usuário envia a chave de visualização privada aos servidores da operadora por meio de uma solicitação POST, codificada em Base64 em uma variável chamada session_key — aproximadamente 40 transmissões por sessão. A transação do lado do cliente é descartada explicitamente (raw_tx_and_hash.raw = 0); o servidor gera a sua própria chave usando as chaves roubadas.

A “Auditoria de Segurança” de 2018 que não abordou nada

A auditoria da NewAlchemy recebeu 67 votos positivos no Reddit e serviu como um indicador de confiança por anos. Seu escopo explícito: "Apenas JavaScript do lado do cliente." Explicitamente fora do escopo: "inúmeros pontos de extremidade da API do PHP." Esses pontos finais constituem o próprio mecanismo de roubo. A auditoria era estruturalmente incapaz de detectar a porta dos fundos.

O roubo é seletivo por natureza. Pequenos depósitos permanecem intocados por anos, gerando confiança e avaliações legítimas. Grandes quantias são roubadas em questão de minutos. Uma vítima documentada depositou 590 XMR — que desapareceram em 2 dias. Total estimado, considerando mais de 15 vítimas documentadas: 5.000–50.000+ XMR roubados (US$ 1,5 milhão a US$ 15 milhões+ a preços históricos). 60% das postagens das vítimas foram denunciadas em massa e excluídas antes da coleta de provas.

# The smoking gun: client-side transaction explicitly discarded raw_tx_and_hash.raw = 0 # thrown away; server builds its own with stolen keys # ~40 POST transmissions per session, every session, since 2016: chave_de_sessão = base64_encode(wallet_address + ":" + private_view_key) # GitHub: 0 occurrences of "session_key" in any commit # Production server: core theft variable, all versions, since 2016
Backdoor do xmrwallet — A fachada pública no GitHub redireciona o tráfego normalmente, enquanto um servidor de produção oculto exfiltra a `session_key`
O roubo em um diagrama: verde = repositório público do GitHub (limpo, auditado, confiável). Vermelho = servidor de produção — nunca apareceu em nenhum commit, nunca foi auditado, está exfiltrando dados session_key ao operador em cada sessão.
 Demonstração ao vivo — Recriamos a vulnerabilidade
Veja como ocorre a exfiltração da chave de sessão no seu navegador

Reconstruímos a exfiltração de chaves baseada em gtag em uma demonstração em ambiente isolado. Abra o DevTools → guia Rede → interaja com a carteira. Assista session_key As solicitações POST são disparadas em tempo real. Foi isso que funcionou durante 10 anos. Foi isso que a “auditoria de segurança” nunca analisou. Foi isso que a NameSilo defendeu publicamente.

Abrir demonstração interativa

A frase que explicou o NameSilo

Prova irrefutável — um martelo de juiz rachado e aspas brilhantes
17 de fevereiro de 2026. Uma frase. Uma década de confiança em seu registrador.

Em 16 de fevereiro de 2026, o operador do site xmrwallet.com enviou um e-mail ao PhishDestroy exigindo a remoção da denúncia. Ele assinou como “Nathalie Roy” — conta no GitHub nathroy, ID 39167759. Respondemos com uma análise técnica completa e uma advertência por escrito: "O que vai acontecer a seguir depende inteiramente de como você decidir agir."

No dia seguinte, ele enviou uma frase que nos dizia tudo sobre sua relação com a NameSilo:

“Fique à vontade para intimar o registrador do domínio a fornecer minhas informações.”
— Administrador do xmrwallet.com, 17 de fevereiro de 2026
Três semanas antes de a NameSilo entrar em contato com ele, a vítima

Ninguém usa um ralo com uma década de uso em $550/mo bulletproof Belize hosting, por trás do DDoS-Guard russo, convida você com toda a calma a intimar seu registrador — a menos que ele já saiba a resposta. Três outros registradores (PDR, WebNic, NICENIC) suspenderam seus domínios poucos dias após a apresentação das mesmas evidências. A NameSilo redigiu um comunicado à imprensa para ele e se ofereceu para limpar seu histórico.

Enquanto a porta dos fundos estava ativa: a xmrwallet pagou à PR Newswire para afirmar o contrário

21 de janeiro de 2026 — A xmrwallet pagou à PR Newswire para divulgar um comunicado à imprensa afirmando que: "As chaves privadas nunca chegam aos servidores centrais." O session_key Durante todo esse período, foram enviadas solicitações POST em todas as sessões de usuário para o servidor de produção. A PR Newswire é um serviço de distribuição pago — as empresas redigem e financiam seus próprios textos, sem revisão editorial. Fonte: PR Newswire, 21 de janeiro de 2026


As quatro mentiras de NameSilo, registradas oficialmente

Em 13 de março de 2026, a conta oficial da NameSilo publicou uma postagem em nosso tópico de investigação. 11.300 visualizações antes da captura. Arquivado permanentemente em ghostarchive.org/archive/CXXZ0. Cada frase é refutada por fontes primárias:


Quem é a NameSilo: uma empresa de terceirização de CIS com endereço postal nos EUA

A NameSilo LLC está registrada em Phoenix, Arizona. Está listada na Bolsa de Valores do Canadá sob o nome de Brisio Innovations (CSE:BZI), tendo registrado uma receita de C$ 65,5 milhões em 2025. A equipe de engenharia propriamente dita está distribuída por Rússia, Bielorrússia, Ucrânia, Sérvia, Argentina e Letônia. Foram identificados pelo menos 13 funcionários que falam russo. A pessoa com acesso total à infraestrutura de DevOps passou uma década administrando a TI de um esquema de pirâmide financeira russo antes de ingressar na NameSilo.

DevOps — Acesso total à infraestrutura
Mikhail Chudinov
Argentina (transferida)
Anteriormente Chefe do Departamento de TI da SuperKopilka — Esquema financeiro piramidal russo, 2007–2017. Dez anos administrando a TI de um esquema de circulação de dinheiro até o colapso. Autodenomina-se “entusiasta de criptomoedas”. Na NameSilo: acesso completo a DevOps para toda a infraestrutura.
Ex-diretor de TI da Pyramid, 10 anos
Desenvolvedor de Back-end em PHP
Ivan Borzenkov
Bryansk, Rússia (+7 920)
Desenvolvedor de backend que mora na Rússia. GitHub: ivan1986. Acesso direto via PHP ao backend do NameSilo a partir da Rússia.
🇷🇺 Acesso ao backend com sede na Rússia
Gerente de Projetos
Vladimir Voskov
Moscou, Rússia
Anteriormente Empresa Zyfra — Contratos de automação industrial do governo russo. Gerenciamento de um registrador de domínios registrado nos EUA a partir de Moscou.
🇷🇺 Moscou — ex-contratado do governo
Gerente de Projetos Sênior
Tatiana Labutina
Belgrado, Sérvia
Anteriormente ForexClub Libertex — Corretora russa de câmbio, alvo de várias sanções regulatórias da UE. Belgrado: principal centro de realocação para profissionais russos após 2022.
Ex-ForexClub Libertex
Também identificados

Aleksey Podashevskiy (Front-end) — Bielorrússia, jurisdição sujeita a sanções, trabalhando para um registrador credenciado pela ICANN e registrado nos EUA. Mais de 13 funcionários que falam russo identificados no total na Rússia, Bielorrússia, Sérvia, Argentina e Letônia. Zero hospedagem ocidental na cadeia de infraestrutura do xmrwallet.

Âmbito da investigação

Mais de 5,18 milhões de domínios analisados em todo o portfólio da NameSilo — cada um deles comparado com o VirusTotal, o URLhaus, o PhishTank, o abuse.ch, o OpenPhish e o SURBL.

Backend em PHP do xmrwallet reconstruído inteiramente a partir de registros de comportamento do lado do cliente — sem acesso ao servidor, sem código-fonte, sem cooperação. O mecanismo de roubo foi mapeado exclusivamente a partir de padrões observáveis na rede.

13 membros da equipe cruzados com dados do LinkedIn, GitHub, HeadHunter, Telegram, registros corporativos e registros judiciais em seis países. Padrões de exclusão no Trustpilot foi monitorado ao longo de vários meses para identificar a frequência sistemática das remoções. Relatórios trimestrais da CSE:BZI comparados com os dados do portfólio de domínios para identificar a anomalia na receita. 5,18 milhões de domínios analisados com base em seis fontes de inteligência sobre ameaças. Todos os dados brutos estão disponíveis publicamente em github.com/phishdestroy/namesilo-evidence. Registrado junto à ICANN, às autoridades de aplicação da lei da UE e a três unidades nacionais de combate ao crime cibernético.


A anomalia dos domínios: 32,2% nunca foram ativados — uma cortina de fumaça estatística

Nós extraímos e analisamos todos os domínios no portfólio da NameSilo — todos os 5,18 milhões deles. Cada um foi verificado no VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish e SURBL. Os dados brutos, a metodologia e as conclusões por domínio estão disponíveis ao público: github.com/phishdestroy/namesilo-evidence. Resultado: 32,2% dos domínios nunca foram ativados — contra 14,7–22,8% em registradores comparáveis. 10.000–17.000 registros em massa em um único dia (pico: 17.180 em 19/07/2025). US$ 12 milhões gastos em domínios nunca ativados; taxa de queima anual de US$ 3,2 milhões por ano em domínios que não servem a nenhum propósito. Em 2024, quando a ShortDot, parceira da NameSilo, adquiriu novos TLDs (.sbs, .cfd a cerca de US$ 0,50 no atacado, vendidos a US$ 14,95 no varejo = margem de lucro de 22–31×), os registros de domínios inativos dispararam 615% em um único ano.

Geografia e escala de domínios do NameSilo — empresa de Phoenix, Arizona; equipe da CIS; 5,18 milhões de domínios
Registrada nos EUA. Operada pela CIS. 5,18 milhões de domínios, dos quais 32,2% nunca foram ativados. A equipe que une os pontos entre Phoenix, Moscou e Buenos Aires.

O PrivacyGuardian oculta a identidade do comprador em mais de 3 milhões de domínios (registrados em nome de pw-{hex}@privacyguardian.org). Aceita-se Bitcoin. Sem KYC. Cada domínio fantasma faz com que a proporção entre abusos e total pareça menor.

0.43% vs 5,18 milhões no total
"quase nada"
2.34% vs HTTP-alive
a cada 43º site
40.9% vs empresas de verdade
1 tentativa de phishing para cada 2,5 tentativas legítimas
Anomalia financeira: CSE:BZI

A NameSilo divulga receita de C$ 65,5 milhões (2025). P/E: 143,8× em comparação com os 21× do setor. Receita por domínio real (ativo): C$ 68 contra os $ 10–15 do setor. 95 registradores da ICANN vendem domínios .com por preços mais baixos. Se os registros em massa de domínios fantasmas estão lavando receitas — conversão de BTC para domínios com margem de lucro de 22 a 31 vezes —, eles aparecem como “receita legítima do registrador” nos relatórios trimestrais apresentados à Bolsa de Valores do Canadá. Esse padrão está documentado e foi encaminhado às autoridades competentes.

Como a NameSilo cria “cobertura da mídia” para os investidores da CSE:BZI — 6 etapas
1
A NameSilo redige um comunicado à imprensa sobre si mesmos. Na terceira pessoa. "NameSilo, o registrador que mais cresce..."
3
A PR Newswire divulga automaticamente para Yahoo Finance, Morningstar, StockWatch, newswire.ca — para quem pagou, sem revisão editorial.
4
O Yahoo Finance publica a notícia com uma pequena legenda: "Este é um comunicado de imprensa patrocinado."
5
A página da NameSilo sobre as ações da CSE:BZI agora exibe "cobertura da mídia." "O Yahoo Finance fez uma matéria sobre nós." "O StockWatch fez uma matéria sobre nós."
!
Ninguém escreveu sobre eles. Eles mesmos escreveram sobre si mesmos e pagaram para que parecesse uma notícia. Esta é a “cobertura da mídia” na página de investidores da CSE de uma empresa cujo registrador defendeu publicamente um drenador ativo de Monero.
Comunicado à imprensa pago de US$ 805 ≠ jornalismo independente. Investidores da CSE:BZI: leiam o que está escrito.

O que aconteceu depois que publicamos

Após a publicação de nossa reportagem, uma campanha coordenada de ação jurídica e supressão nas plataformas teve como alvo todos os principais canais em que o PhishDestroy estava presente. Três mecanismos — cada um deles registrado, arquivado e agora parte da reclamação nº 1479 da ICANN.

X / Twitter — A conta @Phish_Destroy foi bloqueada. O X Gold Checkmark oferece aos assinantes um canal de suporte prioritário que não está disponível para usuários comuns. Esse canal foi utilizado para registrar uma reclamação contra nossa conta. O próprio sistema automatizado de análise do X processou o caso, nos absolveu por escrito e confirmou que não houve violações. Apesar disso, o bloqueio permaneceu. Publicamos a carta de absolvição antes mesmo de o bloqueio ser removido — a previsão com registro de data e hora do GhostArchive está incluída no ICANN #1479.
Google — Solicitações de exclusão nos termos do GDPR + reclamações nos termos da DMCA. Foram apresentados pedidos europeus de “direito ao apagamento” nos termos do GDPR para obrigar o Google a remover páginas específicas da investigação do PhishDestroy dos resultados de busca. Paralelamente, foram enviadas notificações de remoção nos termos da DMCA visando URLs da investigação. Ambos os mecanismos foram aplicados simultaneamente — pressão jurídica por meio da legislação de privacidade da UE e pressão relacionada aos direitos autorais por meio da legislação dos EUA. O conteúdo da investigação em si nunca foi contestado com sucesso com base nos fatos.
Bing — 108.000 páginas retiradas do índice em um único dia. Todo o site phishdestroy.io — 108.000 páginas indexadas — foi removido da pesquisa do Bing em uma única ação em massa. O momento foi perfeito: a desindexação coincidiu exatamente com a divulgação pública da nossa reportagem sobre o NameSilo. Não se tratou de um problema gradual de rastreamento, nem de um erro técnico — foi uma única reclamação em massa que o Bing processou sem aviso prévio.
IPFS — eles apresentaram reclamações. Nada mudou. Foram apresentados pedidos de remoção contra o domínio ENS e os serviços de gateway. O phishdestroy.eth.limo continua em pleno funcionamento. O conteúdo do IPFS é identificado por meio do hash SHA-256 — não há servidor para ser desativado, nenhuma conta de hospedagem para ser suspensa, nenhum registrador para ser pressionado, nenhuma CDN para ser contatada. A investigação está disponível simultaneamente no Arweave, no GhostArchive e no Wayback Machine. A raiva é proporcional ao sentimento de impotência.
Campanha de censura nas plataformas — Marca de verificação dourada do X, GDPR do Google, desindexação do Bing
Uma marca de verificação dourada. Três mecanismos jurídicos. 108.000 páginas no Bing. Todas as plataformas foram atingidas após a mesma publicação. É assim que se manifesta o silenciamento financiado pelas empresas.
Nós previmos isso — registrado com data e hora no GhostArchive antes mesmo de acontecer

Antes que o bloqueio fosse aplicado, publicamos um tuíte prevendo que a NameSilo usaria o manual de supressão dos golpistas e registramos a data e a hora no GhostArchive. Eles fizeram exatamente o que dissemos, dentro do prazo. A previsão com data e hora registradas — comprovando que antecipamos a tática antes mesmo de ela ser utilizada — está incluída na reclamação da ICANN contra a NameSilo (ICANN nº 1479).

O arquivo não pode ser alterado

Está tudo ligado IPFS (phishdestroy.eth), Arweave, GhostArchive e Wayback Machine. 61 capturas de tela verificadas por SHA-256. Zero contestações jurídicas bem-sucedidas a qualquer alegação. Zero refutações técnicas por parte do operador ou da NameSilo. Zero respostas baseadas em fatos — apenas ameaças jurídicas, ataques ad hominem e tuítes excluídos. A investigação completa, com dados brutos, dossiê da equipe, análise de lavagem de dinheiro e recursos para as vítimas, está disponível em phishdestroy.eth.limo — espelhado no IPFS, Arweave, GhostArchive e Wayback Machine. Nenhum selo dourado aparece em nenhum deles.


Rede Escape Domain: preparada meses antes da desativação

Início 4 de fevereiro de 2026 — na mesma semana em que o operador entrou em contato com o PhishDestroy pela primeira vez — ele começou a registrar secretamente domínios de escape em quatro registradores diferentes, com planos pré-pagos de 5 a 10 anos para cada um. A infraestrutura foi projetada para resistir a qualquer ação isolada de desativação. Ela não resistiu à investigação.

Análise técnica inicial com todas as evidências: github.com/phishdestroy/NÃO-USE-xmrwallet-com

Domínios “escapados” — registrados após o início da investigação
Domínio Secretário Pré-pago IP Status
xmrwallet.cc Registro de Domínio Público 8 anos 185.129.100.248 SUSPENSO
xmrwallet.biz WebNic.cc 5 anos 190.115.31.40 SUSPENSO
xmrwallet.net NICENIC International 10 anos 190.115.31.40 ← DNS INOPERANTE
xmrwallet.me Key-Systems GmbH 10 anos 185.129.100.248 ← ATIVO — denúncia de abuso

Agrupamento de IPs: 185.129.100.248 compartilhado por .cc e .me — mesmo provedor. 190.115.31.40 compartilhados por .biz e .net — mesmo provedor. Quatro registradores, dois conjuntos de endereços IP. 33 anos de registro pré-pago. Todos registrados em segredo após o primeiro contato com os investigadores.


Reputação comprada: Wikipédia, Forbes e mais de 15 artigos patrocinados

A reputação pública da NameSilo é fabricada. Wikipédia: sinalizador de conteúdo pago/promocional. Forbes: divulgação de parceria do tipo “Recebemos uma comissão”. SmartCustomer: 1,8/5 — sem nenhum resultado negativo no Google.

Wikipédia — Marcado como “promocional” pelos editores

O NameSilo tem um artigo na Wikipédia — identificado pelos editores como um artigo patrocinado/promocional, e não uma cobertura editorial neutra. Histórico de edições (arquivado): en.wikipedia.org/w/index.php?title=NameSilo&action;=history

Forbes Advisor — Divulgação sobre comissões de afiliados

O NameSilo aparece na Forbes Advisor com uma declaração explícita de afiliação: "A Forbes Advisor segue rigorosos padrões de integridade editorial... Recebemos uma comissão." A Forbes Advisor ganha dinheiro quando os usuários se cadastram por meio de seus links — o que cria um incentivo financeiro direto para uma cobertura positiva. Fonte: forbes.com/advisor/business/software/namesilo-review/

SmartCustomer: 1,8/5 — Nenhum resultado negativo no Google

A NameSilo detém um Avaliação de 1,8/5 no SmartCustomer — fonte: smartcustomer.com/reviews/namesilo.com. Apesar das dezenas de avaliações negativas registradas, uma busca no Google não mostra nenhuma menção negativa — trata-se de uma supressão ativa, utilizando as mesmas ferramentas do GDPR e da DMCA aplicadas contra nossa investigação.

PR Newswire — Publicado de forma independente, pago, sem revisão editorial

A NameSilo Technologies Corp. (CSE:BZI / OTC: URLOF — controladora de capital aberto da NameSilo LLC) utiliza a PR Newswire para divulgar comunicados corporativos. A PR Newswire é um serviço de distribuição pago: a empresa redige o texto e paga pela publicação. Exemplos de comunicados à imprensa pagos da NameSilo Technologies:

O mesmo mecanismo: a xmrwallet utilizou a PR Newswire em 21 de janeiro de 2026 para publicar sua matéria de capa (“as chaves privadas nunca chegam aos servidores centrais”) enquanto o backdoor estava em operação. Distribuição paga que apresentava um texto de autoria do operador como conteúdo jornalístico.


Três cargos. Uma empresa. Nenhum deles sobrevive ao contato com os outros.

A NameSilo não manteve uma versão coerente. A empresa assumiu, sucessivamente, três posições mutuamente exclusivas — especialista confiante, vítima ameaçada e servidor público humilde —, dependendo do grau de risco jurídico que enfrentava em cada momento.

1
Março de 2026 — A posição do especialista confiante
A equipe de combate a abusos do NameSilo tem definitivamente determinado O domínio foi comprometido. Eles investigaram o ataque. Sabem que o registrante é a vítima. Eles estão ajudá-lo a remover as detecções do VirusTotal — o que, segundo a própria lógica deles, significa que têm mais credibilidade do que todos os fornecedores de antivírus que sinalizaram o domínio. Nível de confiança: absoluto.
2
Fase 2 — A ameaça jurídica (tweet público, 11 de maio de 2026)
@namesilo — Conta oficial com selo dourado — 11 de maio de 2026 · 417 visualizações · 107 respostas

"Suas alegações são falsas, caluniosas e difamatórias. A NameSilo toma medidas e analisa todas as denúncias de abuso que nos são enviadas. Caso tenha algum caso desse tipo, envie-o para abuse@namesilo.com. Caso contrário, entre em contato diretamente com o provedor de hospedagem ou com o registrante do site. E pare com suas falsidades contra nós, ou seremos obrigados a tomar medidas legais.”

O especialista confiante que investigou o ataque, identificou o titular do domínio como vítima e estava ajudando-o a remover as detecções do VirusTotal — agora é apenas uma caixa de entrada de denúncias de abuso. A investigação se esvaiu. A expertise se esvaiu. Restou apenas a ameaça jurídica.
3
Resposta da ICANN — A posição do humilde processador
Agora eles analisam os relatórios. Agora não conseguem identificar tentativas de phishing. Agora recorrem aos provedores de hospedagem. A equipe que superou todos os principais fornecedores de antivírus, concluindo que o domínio estava limpo agora está com muita timidez para ligar. Isso não é incompetência. A incompetência é constante. Trata-se de uma postura escolhida para cada público.
A contradição central — Escolha uma, NameSilo

Se a sua equipe de atendimento a vítimas de abuso tivesse competência para realizar uma análise abrangente e aprofundada, determinar que o domínio foi hackeado, identificar o registrante como vítima e começar a ajudá-lo a remover as detecções do VirusTotal — então você está afirmando explicitamente que tem mais autoridade e maior competência técnica do que todos os fornecedores de antivírus que sinalizaram esse domínio como malicioso.

Você não pode alegar posteriormente que simplesmente processar relatórios e não têm conhecimento técnico para identificar tentativas de phishing. A denúncia à ICANN não está exigindo competência que você não possui. Ela está questionando por que você utilizou a competência que comprovadamente possui — para ajudar o golpista, e não as vítimas.


Trustpilot: Fazendas de bots competindo entre si

Exemplo: “Patty Johnson” — Perfil nos EUA, 2 avaliações no total

Uma avaliação de 5 estrelas para a NameSilo (janeiro de 2026): “Leonid foi muito prestativo… 5 estrelas!” A outra avaliação: sobre a Otrium — uma empresa alvo de avaliações que alegam fraude e roubo de dinheiro. Uma conta de bot, duas empresas ligadas a esquemas fraudulentos. Padrão: agentes de suporte identificados pelo nome, tempo de resposta elogiado, linguagem padronizada. Compradores reais de domínios avaliam os preços e a experiência do usuário no painel. As avaliações dos bots elogiam “Leonid”.

Análise de dados — 2.280 avaliações do NameSilo contra 2.480 avaliações do Namecheap

Métrico NameSilo Namecheap
Avaliações de 5 estrelas88.9%74.0%
Avaliações de 1 estrela7.2%16.7%
Contas com revisão única62.4%59.6%
Sem avatar (contas recém-criadas)67.3%51.5%
Avaliações sobre o suporte/atendimento70.0%60.2%
Comentários sobre preço/custo9.8%37.5%
Agente conhecido como “Leonid”5.7%0.0%
Geolocalização nos EUA35.1%26.5%
A Anomalia das Leonídeas

Leonid apareceu em 13 de abril de 2025. Não havia nenhuma menção a ele antes disso. Depois, recebeu 65 avaliações nos dois primeiros meses. Maio de 2025: 106 avaliações (5 vezes o normal), 95% com cinco estrelas, nenhuma com uma estrela. Nenhum cliente insatisfeito em 106 avaliações de um registrador classificado em 96º lugar em preços de domínios .com.

43% das resenhas sobre Leonid têm menos de 80 caracteres. Quatro delas têm apenas o título “Leonid”. Mais três: “Leonid foi muito prestativo.” Entre os revisores: “Satoshi Nakamoto”, “Autor”, “Виктор -”, “Anna Koroleva”, “Boris Martin”, “Andrei Dobrescu”, misturados com “Brad”, “LaToya” e “Patty Johnson”. Um gerador de nomes que alterna entre continentes. O nome Leonid é russo.

Hong Kong: 57 avaliações. 57 de 57 com cinco estrelas. Estatisticamente impossível.

Zero avaliações de quatro estrelas. Zero avaliações de três estrelas. Zero de qualquer outro tipo. 91% de contas com apenas uma avaliação. Ao longo de 7 anos. China: 94% de avaliações de cinco estrelas, 80% com apenas uma avaliação. Cingapura: 95% de avaliações de cinco estrelas. Um total de 168 avaliações dos mercados de língua chinesa — quase todas forjadas.

Por que a China? A NameSilo atua ativamente nesse mercado: namesilo-china.com, bcbay.com/namesilo, posts pagos em blogs chineses, um artigo na Wikipédia em chinês. Quando os investigadores perguntam “quem compra 4,22 milhões de domínios inativos?”, a NameSilo aponta para a China. Os dados do Trustpilot mostram que eles vêm construindo esse álibi desde 2019, uma avaliação falsa de cada vez.

Análise forense independente da API Claude — Teste cego

2.480 avaliações do NameSilo e 2.480 do Namecheap no Trustpilot foram enviadas à API Claude, anonimizadas como “Empresa A” (NameSilo) e “Empresa B” (Namecheap). A IA não tinha conhecimento de qual era qual.

Indicador forense NameSilo (A) Namecheap (B)
Proporção de 5 estrelas89.1%74.0%
Proporção de avaliações com 1 estrela7.1%16.7%
Contas descartáveis com 5 estrelas92%~65%
Avaliações que mencionam o preço11.2%39.2%
Mencionado como único agente nas avaliaçõesLeonid: 168nenhum
Diversidade de vocabulário 5 estrelas (TTR)0.073~0.15
HK: 100% cinco estrelas57/57n/a
Pico em maio–junho de 2025 (5 vezes o normal)215 avaliaçõesnenhum
Veredicto sobre a manipulação por IA92%15%
Conclusão forense de IA — Transcrição literal

“A Empresa A apresenta evidências abrangentes e multidimensionais de manipulação sistemática de revisões por meio da geração artificial coordenada. A probabilidade de que esses padrões ocorram de forma espontânea é praticamente nula.”

Análise completa: phishdestroy.eth.limo/namesilo-trustpilot.html · Dados brutos: relatório-forense-do-trustpilot-final.txt


O que a investigação conseguiu

xmrwallet.com — Operação encerrada

Após a investigação e a publicação do PhishDestroy, o xmrwallet.com encerrou suas atividades. A operadora enviou uma mensagem de despedida — e, notavelmente, não a assinou mais como “Nathalie Roy”. A identidade que havia sido a face pública do xmrwallet por anos foi discretamente abandonada. Nenhuma explicação foi dada.

O domínio agora aponta para o GitHub — na terceira tentativa

O site xmrwallet.com acabou sendo redirecionado para seu repositório no GitHub — a mesma fachada pública que serviu como álibi de “código aberto” por uma década. Foram necessárias três tentativas. O repositório estava inativo há 5 anos antes do redirecionamento: sem commits, sem atualizações, sem manutenção — o que é consistente com um projeto cujo código real residia exclusivamente em um servidor de produção não auditado e nunca teve a intenção de ser submetido à revisão pública.


A mudança do domínio não pôs fim a isso. Pelo contrário, tornou a situação permanente.

O domínio xmrwallet.com foi transferido para a Namecheap em maio de 2026, com registro válido até 2036. Aparentemente, a NameSilo considera o caso resolvido. Não é.

Você achou que os especialistas capazes de superar todos os fabricantes de antivírus iriam parar quando o domínio fosse transferido? A investigação está em andamento no IPFS. Está em andamento no Arweave. Está no sistema formal de denúncias da ICANN. Está nas mãos das autoridades policiais da UE. Está nas mãos de três unidades nacionais de combate ao crime cibernético. A ameaça jurídica acrescentou mais um registro de data e hora ao arquivo. A transferência do domínio acrescentou mais uma prova. Cada ação tomada para impedir essa investigação é, por si só, uma evidência documentada do padrão que descrevemos.

Vocês não eram as pessoas mais espertas nessa situação. Apenas tiveram mais dinheiro por um tempo.

Leia a investigação completa phishdestroy.eth.limo Evidências no GitHub Denunciar um caso de vítima
Aviso sobre Investigação Independente
PhishDestroy · Pesquisa não comercial em segurança

Ninguém pagou por isso. Esta investigação não recebeu financiamento, orientação editorial nem texto fornecido por nenhuma parte. Ao contrário das publicações na Forbes Advisor e na PR Newswire, que são financiadas diretamente pela NameSilo, este autor não tem nenhuma relação financeira com a NameSilo — nem qualquer obrigação de apresentar a narrativa preferida por ela.

Tudo está documentado. Todas as afirmações factuais são respaldadas por evidências verificáveis: respostas de servidores, capturas forenses, registros públicos, denúncias de abuso e fontes primárias citadas no texto. Nada é inventado. As fontes estão linkadas. As evidências estão arquivadas no IPFS. A verificação independente é incentivada.

“Parem de espalhar mentiras sobre nós, ou seremos obrigados a tomar medidas legais.” — NameSilo, em resposta a esta investigação

Aterrorizante. Testemunhamos toda a capacidade operacional da NameSilo: fazer com que uma conta do Twitter/X fosse banida, comprar espaço publicitário na Forbes, escrever suas próprias avaliações no Trustpilot, conseguir a remoção de detecções do VirusTotal e publicar quatro alegações comprovadamente falsas em um único tuíte.

Quanto às “mentiras” — tudo aqui é baseado em fatos. Se uma cobertura precisa do seu produto constitui difamação, acesse seu próprio painel de controle — aquele que você exclui de todos os artigos pagos. Ele mesmo comprova o argumento, sem a nossa intervenção.

Você não pagou a este autor. Você não forneceu nenhum texto. Você não tem direito a reivindicar pesquisa independente. Você tem obrigações — perante a ICANN, perante seus registrantes e de acordo com as leis que regem os registradores de domínios. Essas obrigações não desaparecem só porque uma cobertura precisa seja inconveniente.

Sobre ações judiciais: Essa investigação está arquivada em 5 a 7 nós do IPFS. Como a NameSilo já demonstrou ter experiência operacional com a remoção de conteúdo, sugerimos começar por lá. Você sabe como funciona. Vamos esperar.

Para maior clareza — na sua língua:

O PhishDestroy é um projeto de pesquisa não comercial. Não afirmamos ser infalíveis nem ter certeza absoluta. O tom desta investigação pode parecer direto — estamos cientes disso. Não estamos impondo um ponto de vista: recomendamos que você analise os materiais e as fontes primárias e tire suas próprias conclusões. A presunção de inocência se aplica. Esta é a nossa investigação, nossas observações e nossa comparação subjetiva — na qual dedicamos um tempo considerável.

Investigação completa com todas as evidências e arquivos do IPFS: phishdestroy.eth.limo