NameSilo Defendeu um autor de golpe de criptomoedas que desviou US$ 100 milhões
— Então Nossa conta no Twitter foi desativada
Um registrador credenciado pela ICANN publicou 4 mentiras comprovadas para proteger uma operação de roubo de Monero que durou 10 anos, se ofereceu para apagar seu histórico no VirusTotal enquanto o drainer ainda estava ativo e, em seguida, usou um X Gold Checkmark pago para bloquear os pesquisadores que provaram que eles estavam errados. Seu engenheiro de DevOps: ex-chefe do departamento de TI de uma pirâmide financeira russa há uma década.
Este artigo é uma prévia. As evidências completas, os arquivos IPFS e todo o material de origem estão disponíveis no link acima.
O contexto: O que é, na verdade, o xmrwallet.com
xmrwallet.com não é uma página de phishing. É um carteira Monero totalmente funcional com um backdoor no lado do servidor criado em 2018 e em funcionamento até maio de 2026 — quase uma década. O repositório do GitHub é apenas uma fachada pública. O código do roubo existe apenas no servidor de produção, nunca foi submetido ao controle de versão, nunca foi auditado.
Cada interação do usuário envia a chave de visualização privada aos servidores da operadora por meio de uma solicitação POST, codificada em Base64 em uma variável chamada session_key — aproximadamente 40 transmissões por sessão. A transação do lado do cliente é descartada explicitamente (raw_tx_and_hash.raw = 0); o servidor gera a sua própria chave usando as chaves roubadas.
A auditoria da NewAlchemy recebeu 67 votos positivos no Reddit e serviu como um indicador de confiança por anos. Seu escopo explícito: "Apenas JavaScript do lado do cliente." Explicitamente fora do escopo: "inúmeros pontos de extremidade da API do PHP." Esses pontos finais constituem o próprio mecanismo de roubo. A auditoria era estruturalmente incapaz de detectar a porta dos fundos.
O roubo é seletivo por natureza. Pequenos depósitos permanecem intocados por anos, gerando confiança e avaliações legítimas. Grandes quantias são roubadas em questão de minutos. Uma vítima documentada depositou 590 XMR — que desapareceram em 2 dias. Total estimado, considerando mais de 15 vítimas documentadas: 5.000–50.000+ XMR roubados (US$ 1,5 milhão a US$ 15 milhões+ a preços históricos). 60% das postagens das vítimas foram denunciadas em massa e excluídas antes da coleta de provas.
session_key ao operador em cada sessão.Reconstruímos a exfiltração de chaves baseada em gtag em uma demonstração em ambiente isolado. Abra o DevTools → guia Rede → interaja com a carteira. Assista session_key As solicitações POST são disparadas em tempo real. Foi isso que funcionou durante 10 anos. Foi isso que a “auditoria de segurança” nunca analisou. Foi isso que a NameSilo defendeu publicamente.
A frase que explicou o NameSilo
Em 16 de fevereiro de 2026, o operador do site xmrwallet.com enviou um e-mail ao PhishDestroy exigindo a remoção da denúncia. Ele assinou como “Nathalie Roy” — conta no GitHub nathroy, ID 39167759. Respondemos com uma análise técnica completa e uma advertência por escrito: "O que vai acontecer a seguir depende inteiramente de como você decidir agir."
No dia seguinte, ele enviou uma frase que nos dizia tudo sobre sua relação com a NameSilo:
Três semanas antes de a NameSilo entrar em contato com ele, a vítima
Ninguém usa um ralo com uma década de uso em $550/mo bulletproof Belize hosting, por trás do DDoS-Guard russo, convida você com toda a calma a intimar seu registrador — a menos que ele já saiba a resposta. Três outros registradores (PDR, WebNic, NICENIC) suspenderam seus domínios poucos dias após a apresentação das mesmas evidências. A NameSilo redigiu um comunicado à imprensa para ele e se ofereceu para limpar seu histórico.
21 de janeiro de 2026 — A xmrwallet pagou à PR Newswire para divulgar um comunicado à imprensa afirmando que: "As chaves privadas nunca chegam aos servidores centrais." O session_key Durante todo esse período, foram enviadas solicitações POST em todas as sessões de usuário para o servidor de produção. A PR Newswire é um serviço de distribuição pago — as empresas redigem e financiam seus próprios textos, sem revisão editorial. Fonte: PR Newswire, 21 de janeiro de 2026
As quatro mentiras de NameSilo, registradas oficialmente
Em 13 de março de 2026, a conta oficial da NameSilo publicou uma postagem em nosso tópico de investigação. 11.300 visualizações antes da captura. Arquivado permanentemente em ghostarchive.org/archive/CXXZ0. Cada frase é refutada por fontes primárias:
-
1"O domínio foi comprometido há alguns meses (período durante o qual uma cópia da página da web foi substituída por um crypto-drainer)."Os hashes SHA-256 comprovam que o código não sofreu alterações. O operador nos confirmou que era seu próprio backend em PHP, desenvolvido em 2018. Nada foi injetado. A história do “hack” foi inventada depois do fato.✗ INVENTADO
-
2"Antes disso, não tínhamos recebido nenhuma denúncia de abuso relacionada a esse domínio."Foi o próprio PhishDestroy quem enviou Mais de 20 relatórios pelo portal da NameSilo (2023–2026), com comprovantes de entrega. Há mais de 100 reclamações públicas no BitcoinTalk e no Reddit desde 2018. Desde essa alegação falsa, todas as denúncias que registramos são publicadas com registros de data e hora antes do envio.✗ CONTRADITO PELOS RECIBOS
-
3"Após uma análise aprofundada… sem o envolvimento do titular do registro."O operador nos escreveu em 17 de fevereiro defendendo seu código como obra própria — antes do tuíte da NameSilo. Ele nunca alegou ter sido vítima de um ataque cibernético. A “análise aprofundada” realizada por eles chegou a conclusões que contradizem as declarações por escrito do próprio registrante.✗ AUTOCONTRADITÓRIO
-
4"Trabalhando em conjunto com o registrante para remover o site dos relatórios do VirusTotal."Não é o tratamento de exceções — ajudando um golpista confesso a apagar avisos de segurança enquanto o programa de drenagem ainda estava em execução. A PDR, a WebNic e a NICENIC suspenderam os domínios poucos dias após a apresentação das mesmas evidências. A NameSilo se ofereceu para apagar o registro.✗ PREJUÍZO DIRETO ÀS VÍTIMAS
Quem é a NameSilo: uma empresa de terceirização de CIS com endereço postal nos EUA
A NameSilo LLC está registrada em Phoenix, Arizona. Está listada na Bolsa de Valores do Canadá sob o nome de Brisio Innovations (CSE:BZI), tendo registrado uma receita de C$ 65,5 milhões em 2025. A equipe de engenharia propriamente dita está distribuída por Rússia, Bielorrússia, Ucrânia, Sérvia, Argentina e Letônia. Foram identificados pelo menos 13 funcionários que falam russo. A pessoa com acesso total à infraestrutura de DevOps passou uma década administrando a TI de um esquema de pirâmide financeira russo antes de ingressar na NameSilo.
Aleksey Podashevskiy (Front-end) — Bielorrússia, jurisdição sujeita a sanções, trabalhando para um registrador credenciado pela ICANN e registrado nos EUA. Mais de 13 funcionários que falam russo identificados no total na Rússia, Bielorrússia, Sérvia, Argentina e Letônia. Zero hospedagem ocidental na cadeia de infraestrutura do xmrwallet.
Mais de 5,18 milhões de domínios analisados em todo o portfólio da NameSilo — cada um deles comparado com o VirusTotal, o URLhaus, o PhishTank, o abuse.ch, o OpenPhish e o SURBL.
Backend em PHP do xmrwallet reconstruído inteiramente a partir de registros de comportamento do lado do cliente — sem acesso ao servidor, sem código-fonte, sem cooperação. O mecanismo de roubo foi mapeado exclusivamente a partir de padrões observáveis na rede.
13 membros da equipe cruzados com dados do LinkedIn, GitHub, HeadHunter, Telegram, registros corporativos e registros judiciais em seis países. Padrões de exclusão no Trustpilot foi monitorado ao longo de vários meses para identificar a frequência sistemática das remoções. Relatórios trimestrais da CSE:BZI comparados com os dados do portfólio de domínios para identificar a anomalia na receita. 5,18 milhões de domínios analisados com base em seis fontes de inteligência sobre ameaças. Todos os dados brutos estão disponíveis publicamente em github.com/phishdestroy/namesilo-evidence. Registrado junto à ICANN, às autoridades de aplicação da lei da UE e a três unidades nacionais de combate ao crime cibernético.
A anomalia dos domínios: 32,2% nunca foram ativados — uma cortina de fumaça estatística
Nós extraímos e analisamos todos os domínios no portfólio da NameSilo — todos os 5,18 milhões deles. Cada um foi verificado no VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish e SURBL. Os dados brutos, a metodologia e as conclusões por domínio estão disponíveis ao público: github.com/phishdestroy/namesilo-evidence. Resultado: 32,2% dos domínios nunca foram ativados — contra 14,7–22,8% em registradores comparáveis. 10.000–17.000 registros em massa em um único dia (pico: 17.180 em 19/07/2025). US$ 12 milhões gastos em domínios nunca ativados; taxa de queima anual de US$ 3,2 milhões por ano em domínios que não servem a nenhum propósito. Em 2024, quando a ShortDot, parceira da NameSilo, adquiriu novos TLDs (.sbs, .cfd a cerca de US$ 0,50 no atacado, vendidos a US$ 14,95 no varejo = margem de lucro de 22–31×), os registros de domínios inativos dispararam 615% em um único ano.
O PrivacyGuardian oculta a identidade do comprador em mais de 3 milhões de domínios (registrados em nome de pw-{hex}@privacyguardian.org). Aceita-se Bitcoin. Sem KYC. Cada domínio fantasma faz com que a proporção entre abusos e total pareça menor.
"quase nada"
a cada 43º site
1 tentativa de phishing para cada 2,5 tentativas legítimas
A NameSilo divulga receita de C$ 65,5 milhões (2025). P/E: 143,8× em comparação com os 21× do setor. Receita por domínio real (ativo): C$ 68 contra os $ 10–15 do setor. 95 registradores da ICANN vendem domínios .com por preços mais baixos. Se os registros em massa de domínios fantasmas estão lavando receitas — conversão de BTC para domínios com margem de lucro de 22 a 31 vezes —, eles aparecem como “receita legítima do registrador” nos relatórios trimestrais apresentados à Bolsa de Valores do Canadá. Esse padrão está documentado e foi encaminhado às autoridades competentes.
prnewswire.com — Reach Systems / Pedido da NASA, 23 de junho de 2026
newswire.ca — Aquisição da SewerVUE, 12 de setembro de 2025
prnewswire.com — xmrwallet “as chaves privadas nunca chegam aos servidores”, 21 de janeiro de 2026
O que aconteceu depois que publicamos
Após a publicação de nossa reportagem, uma campanha coordenada de ação jurídica e supressão nas plataformas teve como alvo todos os principais canais em que o PhishDestroy estava presente. Três mecanismos — cada um deles registrado, arquivado e agora parte da reclamação nº 1479 da ICANN.
Antes que o bloqueio fosse aplicado, publicamos um tuíte prevendo que a NameSilo usaria o manual de supressão dos golpistas e registramos a data e a hora no GhostArchive. Eles fizeram exatamente o que dissemos, dentro do prazo. A previsão com data e hora registradas — comprovando que antecipamos a tática antes mesmo de ela ser utilizada — está incluída na reclamação da ICANN contra a NameSilo (ICANN nº 1479).
Está tudo ligado IPFS (phishdestroy.eth), Arweave, GhostArchive e Wayback Machine. 61 capturas de tela verificadas por SHA-256. Zero contestações jurídicas bem-sucedidas a qualquer alegação. Zero refutações técnicas por parte do operador ou da NameSilo. Zero respostas baseadas em fatos — apenas ameaças jurídicas, ataques ad hominem e tuítes excluídos. A investigação completa, com dados brutos, dossiê da equipe, análise de lavagem de dinheiro e recursos para as vítimas, está disponível em phishdestroy.eth.limo — espelhado no IPFS, Arweave, GhostArchive e Wayback Machine. Nenhum selo dourado aparece em nenhum deles.
Rede Escape Domain: preparada meses antes da desativação
Início 4 de fevereiro de 2026 — na mesma semana em que o operador entrou em contato com o PhishDestroy pela primeira vez — ele começou a registrar secretamente domínios de escape em quatro registradores diferentes, com planos pré-pagos de 5 a 10 anos para cada um. A infraestrutura foi projetada para resistir a qualquer ação isolada de desativação. Ela não resistiu à investigação.
Análise técnica inicial com todas as evidências: github.com/phishdestroy/NÃO-USE-xmrwallet-com
| Domínio | Secretário | Pré-pago | IP | Status |
|---|---|---|---|---|
| xmrwallet.cc | Registro de Domínio Público | 8 anos | 185.129.100.248 | SUSPENSO |
| xmrwallet.biz | WebNic.cc | 5 anos | 190.115.31.40 | SUSPENSO |
| xmrwallet.net | NICENIC International | 10 anos | 190.115.31.40 ← | DNS INOPERANTE |
| xmrwallet.me | Key-Systems GmbH | 10 anos | 185.129.100.248 ← | ATIVO — denúncia de abuso |
Agrupamento de IPs: 185.129.100.248 compartilhado por .cc e .me — mesmo provedor. 190.115.31.40 compartilhados por .biz e .net — mesmo provedor. Quatro registradores, dois conjuntos de endereços IP. 33 anos de registro pré-pago. Todos registrados em segredo após o primeiro contato com os investigadores.
Reputação comprada: Wikipédia, Forbes e mais de 15 artigos patrocinados
A reputação pública da NameSilo é fabricada. Wikipédia: sinalizador de conteúdo pago/promocional. Forbes: divulgação de parceria do tipo “Recebemos uma comissão”. SmartCustomer: 1,8/5 — sem nenhum resultado negativo no Google.
O NameSilo tem um artigo na Wikipédia — identificado pelos editores como um artigo patrocinado/promocional, e não uma cobertura editorial neutra. Histórico de edições (arquivado): en.wikipedia.org/w/index.php?title=NameSilo&action;=history
O NameSilo aparece na Forbes Advisor com uma declaração explícita de afiliação: "A Forbes Advisor segue rigorosos padrões de integridade editorial... Recebemos uma comissão." A Forbes Advisor ganha dinheiro quando os usuários se cadastram por meio de seus links — o que cria um incentivo financeiro direto para uma cobertura positiva. Fonte: forbes.com/advisor/business/software/namesilo-review/
A NameSilo detém um Avaliação de 1,8/5 no SmartCustomer — fonte: smartcustomer.com/reviews/namesilo.com. Apesar das dezenas de avaliações negativas registradas, uma busca no Google não mostra nenhuma menção negativa — trata-se de uma supressão ativa, utilizando as mesmas ferramentas do GDPR e da DMCA aplicadas contra nossa investigação.
A NameSilo Technologies Corp. (CSE:BZI / OTC: URLOF — controladora de capital aberto da NameSilo LLC) utiliza a PR Newswire para divulgar comunicados corporativos. A PR Newswire é um serviço de distribuição pago: a empresa redige o texto e paga pela publicação. Exemplos de comunicados à imprensa pagos da NameSilo Technologies:
- Aquisição da SewerVUE Technology Corp. — newswire.ca, 12 de setembro de 2025
- A subsidiária Reach Systems recebe pedido da NASA — prnewswire.com, 23 de junho de 2026
O mesmo mecanismo: a xmrwallet utilizou a PR Newswire em 21 de janeiro de 2026 para publicar sua matéria de capa (“as chaves privadas nunca chegam aos servidores centrais”) enquanto o backdoor estava em operação. Distribuição paga que apresentava um texto de autoria do operador como conteúdo jornalístico.
Três cargos. Uma empresa. Nenhum deles sobrevive ao contato com os outros.
A NameSilo não manteve uma versão coerente. A empresa assumiu, sucessivamente, três posições mutuamente exclusivas — especialista confiante, vítima ameaçada e servidor público humilde —, dependendo do grau de risco jurídico que enfrentava em cada momento.
"Suas alegações são falsas, caluniosas e difamatórias. A NameSilo toma medidas e analisa todas as denúncias de abuso que nos são enviadas. Caso tenha algum caso desse tipo, envie-o para abuse@namesilo.com. Caso contrário, entre em contato diretamente com o provedor de hospedagem ou com o registrante do site. E pare com suas falsidades contra nós, ou seremos obrigados a tomar medidas legais.”
Se a sua equipe de atendimento a vítimas de abuso tivesse competência para realizar uma análise abrangente e aprofundada, determinar que o domínio foi hackeado, identificar o registrante como vítima e começar a ajudá-lo a remover as detecções do VirusTotal — então você está afirmando explicitamente que tem mais autoridade e maior competência técnica do que todos os fornecedores de antivírus que sinalizaram esse domínio como malicioso.
Você não pode alegar posteriormente que simplesmente processar relatórios e não têm conhecimento técnico para identificar tentativas de phishing. A denúncia à ICANN não está exigindo competência que você não possui. Ela está questionando por que você utilizou a competência que comprovadamente possui — para ajudar o golpista, e não as vítimas.
Trustpilot: Fazendas de bots competindo entre si
Uma avaliação de 5 estrelas para a NameSilo (janeiro de 2026): “Leonid foi muito prestativo… 5 estrelas!” A outra avaliação: sobre a Otrium — uma empresa alvo de avaliações que alegam fraude e roubo de dinheiro. Uma conta de bot, duas empresas ligadas a esquemas fraudulentos. Padrão: agentes de suporte identificados pelo nome, tempo de resposta elogiado, linguagem padronizada. Compradores reais de domínios avaliam os preços e a experiência do usuário no painel. As avaliações dos bots elogiam “Leonid”.
Análise de dados — 2.280 avaliações do NameSilo contra 2.480 avaliações do Namecheap
| Métrico | NameSilo | Namecheap |
|---|---|---|
| Avaliações de 5 estrelas | 88.9% | 74.0% |
| Avaliações de 1 estrela | 7.2% | 16.7% |
| Contas com revisão única | 62.4% | 59.6% |
| Sem avatar (contas recém-criadas) | 67.3% | 51.5% |
| Avaliações sobre o suporte/atendimento | 70.0% | 60.2% |
| Comentários sobre preço/custo | 9.8% | 37.5% |
| Agente conhecido como “Leonid” | 5.7% | 0.0% |
| Geolocalização nos EUA | 35.1% | 26.5% |
Leonid apareceu em 13 de abril de 2025. Não havia nenhuma menção a ele antes disso. Depois, recebeu 65 avaliações nos dois primeiros meses. Maio de 2025: 106 avaliações (5 vezes o normal), 95% com cinco estrelas, nenhuma com uma estrela. Nenhum cliente insatisfeito em 106 avaliações de um registrador classificado em 96º lugar em preços de domínios .com.
43% das resenhas sobre Leonid têm menos de 80 caracteres. Quatro delas têm apenas o título “Leonid”. Mais três: “Leonid foi muito prestativo.” Entre os revisores: “Satoshi Nakamoto”, “Autor”, “Виктор -”, “Anna Koroleva”, “Boris Martin”, “Andrei Dobrescu”, misturados com “Brad”, “LaToya” e “Patty Johnson”. Um gerador de nomes que alterna entre continentes. O nome Leonid é russo.
Zero avaliações de quatro estrelas. Zero avaliações de três estrelas. Zero de qualquer outro tipo. 91% de contas com apenas uma avaliação. Ao longo de 7 anos. China: 94% de avaliações de cinco estrelas, 80% com apenas uma avaliação. Cingapura: 95% de avaliações de cinco estrelas. Um total de 168 avaliações dos mercados de língua chinesa — quase todas forjadas.
Por que a China? A NameSilo atua ativamente nesse mercado: namesilo-china.com, bcbay.com/namesilo, posts pagos em blogs chineses, um artigo na Wikipédia em chinês. Quando os investigadores perguntam “quem compra 4,22 milhões de domínios inativos?”, a NameSilo aponta para a China. Os dados do Trustpilot mostram que eles vêm construindo esse álibi desde 2019, uma avaliação falsa de cada vez.
Análise forense independente da API Claude — Teste cego
2.480 avaliações do NameSilo e 2.480 do Namecheap no Trustpilot foram enviadas à API Claude, anonimizadas como “Empresa A” (NameSilo) e “Empresa B” (Namecheap). A IA não tinha conhecimento de qual era qual.
| Indicador forense | NameSilo (A) | Namecheap (B) |
|---|---|---|
| Proporção de 5 estrelas | 89.1% | 74.0% |
| Proporção de avaliações com 1 estrela | 7.1% | 16.7% |
| Contas descartáveis com 5 estrelas | 92% | ~65% |
| Avaliações que mencionam o preço | 11.2% | 39.2% |
| Mencionado como único agente nas avaliações | Leonid: 168 | nenhum |
| Diversidade de vocabulário 5 estrelas (TTR) | 0.073 | ~0.15 |
| HK: 100% cinco estrelas | 57/57 | n/a |
| Pico em maio–junho de 2025 (5 vezes o normal) | 215 avaliações | nenhum |
| Veredicto sobre a manipulação por IA | 92% | 15% |
“A Empresa A apresenta evidências abrangentes e multidimensionais de manipulação sistemática de revisões por meio da geração artificial coordenada. A probabilidade de que esses padrões ocorram de forma espontânea é praticamente nula.”
Análise completa: phishdestroy.eth.limo/namesilo-trustpilot.html · Dados brutos: relatório-forense-do-trustpilot-final.txt
O que a investigação conseguiu
Após a investigação e a publicação do PhishDestroy, o xmrwallet.com encerrou suas atividades. A operadora enviou uma mensagem de despedida — e, notavelmente, não a assinou mais como “Nathalie Roy”. A identidade que havia sido a face pública do xmrwallet por anos foi discretamente abandonada. Nenhuma explicação foi dada.
O site xmrwallet.com acabou sendo redirecionado para seu repositório no GitHub — a mesma fachada pública que serviu como álibi de “código aberto” por uma década. Foram necessárias três tentativas. O repositório estava inativo há 5 anos antes do redirecionamento: sem commits, sem atualizações, sem manutenção — o que é consistente com um projeto cujo código real residia exclusivamente em um servidor de produção não auditado e nunca teve a intenção de ser submetido à revisão pública.
O domínio xmrwallet.com foi transferido para a Namecheap em maio de 2026, com registro válido até 2036. Aparentemente, a NameSilo considera o caso resolvido. Não é.
Você achou que os especialistas capazes de superar todos os fabricantes de antivírus iriam parar quando o domínio fosse transferido? A investigação está em andamento no IPFS. Está em andamento no Arweave. Está no sistema formal de denúncias da ICANN. Está nas mãos das autoridades policiais da UE. Está nas mãos de três unidades nacionais de combate ao crime cibernético. A ameaça jurídica acrescentou mais um registro de data e hora ao arquivo. A transferência do domínio acrescentou mais uma prova. Cada ação tomada para impedir essa investigação é, por si só, uma evidência documentada do padrão que descrevemos.
Vocês não eram as pessoas mais espertas nessa situação. Apenas tiveram mais dinheiro por um tempo.


