O NameSilo acabou com o nosso Twitter Porque contamos a verdade sobre eles
Em 3 de abril de 2026, X bloqueado duas contas do PhishDestroy alegando um “problema de pagamento”, com a promessa de que as assinaturas pagas seriam reembolsadas. O reembolso não foi recebido. Onze dias depois, em 14 de abril, X apresentou uma nova justificativa: “comportamentos não autênticos — a anulação não se justifica.” Entramos com um recurso. O próprio sistema automatizado da X respondeu por escrito: “Nenhuma violação — conta restaurada com todas as funcionalidades.”As contas continuam bloqueadas. O dinheiro ainda não foi reembolsado. O motivo alegado já mudou três vezes. Duas semanas antes, revelamos que a NameSilo estava abrigando uma operação de roubo de Monero no valor de mais de US$ 20 milhões — que agora está sob investigação criminal ativa da União Europeia.

The Receipts: X se contradice por escrito
Dois e-mails de suporte da X. Mesma conta. Mesmo recurso. Decisões opostas. O segundo é o mais recente. Leia-os na ordem.

Olá,
Analisamos seu pedido de recurso relativo à conta, @phish_destroy.
Nossa equipe de suporte constatou que realmente ocorreu uma violação das nossas Regras, mais especificamente:
Violar nossas regras contra comportamentos inautênticos.
Levamos em consideração as informações adicionais fornecidas e decidiu que, neste caso, não se justifica a revogação de nossa decisão original. Portanto, não vamos reverter nossa decisão de bloquear sua conta.
Obrigado,
Suporte X
Olá,
Analisamos seu pedido de recurso relativo à conta, @phish_destroy.
Nossos sistemas automatizados constataram que não houve nenhuma violação e restabeleceram a funcionalidade total da sua conta.
Obrigado,
Suporte X
O e-mail nº 2 é a decisão mais recente. Ele revoga explicitamente o e-mail nº 1. Afirma — por escrito, no próprio papel timbrado da X — que a conta foi restabelecida a sua funcionalidade total. A conta não foi restabelecida. A assinatura paga continua sendo cobrada. Não há um terceiro e-mail que retrate o conteúdo do e-mail nº 2. O compromisso mais recente da X conosco simplesmente não está sendo cumprido.
Ou o e-mail nº 2 é verdadeiro — O sistema de automação analisou o recurso, concluiu que não houve violação, e alguma parte não identificada está mantendo o banimento em vigor, contrariando essa decisão.
Ou o e-mail nº 2 não é verdadeiro — foi enviado por engano; a decisão válida continua sendo a do e-mail nº 1, e X ainda não emitiu uma correção por escrito.
Não há uma terceira possibilidade. Ambas as opções prejudicam a imagem de X. Uma delas, porém, tem consequências catastróficas.
Por que isso aconteceu

Em 27 de março, publicamos O fim do xmrwallet[.]com: a NameSilo mentiu para proteger um ladrão de criptomoedas. A investigação foi reproduzível: capturas de tela do endpoint PHP, instruções arquivadas, mais de 15 vítimas documentadas. Três registradores parceiros (Índia, Malásia, China) analisaram as mesmas evidências e desativaram seus xmrwallet domínios em dias. Apenas a NameSilo defendeu o golpista.
O que aconteceu a seguir é importante. A ordem é importante:
- O golpista nos enviou um e-mail diretamente primeiro — antes de qualquer comunicado público da NameSilo, antes de qualquer recurso ter sido interposto. Seu e-mail nos dizia para “processar o registrador”. Essa não é uma frase que um golpista agindo sozinho escreve para um pesquisador que está atrás dele. É uma frase que alguém escreve quando já sabe que o registrador vai apoiá-lo. Nunca vimos essa reação em nenhum outro golpista que já documentamos.
- NameSilo divulgou então um comunicado público contendo duas falsidades comprováveis, citadas textualmente e arquivado em nossa investigação no Medium:
• “O domínio foi comprometido há alguns meses” — o que é contradito pelo fato de que o próprio código de proteção contra roubo da operadora ainda estava em funcionamento na produção na época da declaração da NameSilo.
• “Antes disso, não tínhamos recebido nenhuma denúncia de abuso” — o que é contradito por nossos comprovantes de entrega relativos a várias denúncias anteriores de abuso, acompanhadas de provas técnicas completas.
O mesmo comunicado também afirmava: “O registrante está se empenhando para ser retirado da lista dos relatórios da VT,” o que confirma que a NameSilo apoiou explicitamente a tentativa da operadora de remover as detecções do VirusTotal enquanto o código de roubo estava ativo. - Na mesma declaração, NameSilo descartou nossa pesquisa como pouco séria e se ofereceu publicamente para ajudar o operador a remover as detecções dos fornecedores de segurança (VirusTotal, Fortinet) — enquanto o código de roubo ainda estava ativo.
- Nós respondeu com base nos fatos em relação àquela declaração pública. Sem assédio. Sem spam. Sem doxing. Retificamos a informação no mesmo canal escolhido pela NameSilo.
- Sete dias depois, duas contas do PhishDestroy X foram bloqueadas. Motivo citado: “pagamento”. As assinaturas foram pagas. Em 14 de abril, o motivo passou a ser “comportamentos não autênticos”. Após o recurso, o motivo mudou novamente para “sem violação, restabelecido”. O bloqueio e os pagamentos não reembolsados não sofreram nenhuma alteração.
NameSilo não conseguiu refutar as evidências — três registradores independentes tomaram medidas com base nelas de forma independente. Então, eles fizeram o que o xmrwallet o que a operadora vinha fazendo com os críticos há dez anos: recorreu a um canal burocrático para silenciar a voz, sem abordar os fatos. O operador excluiu mais de 20 contas do GitHub e mais de 200 avaliações do Trustpilot. A NameSilo teve uma conta no X banida. O mesmo roteiro, em escala corporativa.
O NameSilo e o golpista têm alguma ligação?
O xmrwallet[.]com O operador respondeu às denúncias de abuso com segurança, publicou tuítes em conjunto com o registrador usando argumentos coordenados e nunca transferiu o domínio em dez anos de reclamações. Não é assim que golpistas nervosos se comportam. É assim que se comportam golpistas que têm um acordo.
Nos mais de cem casos de operadores de phishing que documentamos, nunca havíamos visto essa sequência específica antes:
- O golpista nos escreveu primeiro. Antes de a NameSilo fazer qualquer declaração pública, antes de qualquer recurso ser interposto — o próprio operador enviou um e-mail para o PhishDestroy. A identidade está documentada no Investigação de médio porte: os e-mails vieram do
xmrwallet[.]comoperador, identificável publicamente por meio de sua própria presença no repositório como Nathalie Roy (Canadá), GitHubnathroy, Redditu/WiseSolution, banido der/Moneroem 2018. - Suas palavras exatas (literalmente, arquivadas):“Fique à vontade para intimar o registrador do domínio.” Não foi “retire isso do ar”. Nem “eu vou resolver isso”. Ele nos indicou explicitamente seu próprio registrador como a parte a ser responsabilizada — como se já soubesse que o registrador não tomaria medidas contra ele e estivesse confiante de que a posição jurídica deles resistiria a um escrutínio. Essa citação está registrada em nosso Reportagem do Medium (16 de março de 2026).
- Só então a NameSilo abriu o capital com a desculpa de que “nosso cliente foi hackeado” — uma desculpa que é desmentida pelo código de roubo que ainda está em execução — e a afirmação de que “não havia relatos anteriores de abuso”, desmentida pelos nossos comprovantes de entrega.
- O NameSilo, então, transformou um canal de abuso da plataforma em uma arma contra nós — usando o mesmo manual de táticas de silenciamento que o operador já vinha aplicando no GitHub (mais de 20 contas excluídas), no Trustpilot (mais de 200 avaliações excluídas) e no BitcoinTalk.
A infraestrutura do operador não é a de um amador. De acordo com nossa Investigação de médio porte, xmrwallet[.]com está hospedado em $550/month bulletproof hosting via IQWeb FZ-LLC (registrado em Belize), atrás de DDoS-Guard (Rússia). Trata-se de uma estrutura profissional, bem preparada e à prova de ataques — não de uma página fraudulenta criada apenas para uma única ocasião. Um único operador que mantém uma infraestrutura robusta e preparada, ao mesmo tempo em que faz com que seu registrador emita publicamente uma declaração de defesa em seu nome, representa, no mínimo, uma operação excepcionalmente bem coordenada.
Não podemos comprovar essa relação com base em informações externas aos registros contábeis da NameSilo. Somente seus registros internos poderiam fazê-lo. Mas, com base nas evidências visíveis, restam duas explicações: ou o operador é o golpista de criptomoedas mais autoconfiante da última década e apostou corretamente que seu registrador o protegeria por instinto — ou Existe uma relação não revelada entre eles. O primeiro caso merece ser investigado publicamente. O segundo merece uma intimação. As autoridades policiais nas jurisdições da UE estão agora investigando o caso em questão.
Evidência direta: o que a NameSilo afirmou publicamente versus o que realmente aconteceu
Os parágrafos acima descrevem um padrão. Esta seção documenta as contradições factuais específicas entre as declarações públicas da NameSilo e nossos próprios registros de primeira mão. Não estamos pedindo que ninguém acredite em nós apenas por confiança — cada item abaixo pode ser verificado por meio de arquivos de terceiros, comprovantes de entrega e o Wayback Machine.
- Alegação pública: “não havia denúncias anteriores de abuso / as denúncias não foram recebidas dentro dos prazos estabelecidos.”
Nosso histórico: a equipe do PhishDestroy enviou pessoalmente mais de 20 notificações de abuso ao longo de três anos (2023–2026) paraxmrwallet[.]come infraestrutura relacionada. Cada envio utilizou o canal de denúncias de abuso divulgado pela NameSilo, gerou uma referência de rastreamento e — em vários casos — recebeu confirmações por resposta automática que ainda se encontram em nosso arquivo de e-mails. Nós preservamos esses comprovantes. Nós os divulgaremos, na íntegra, a qualquer órgão da ICANN, do GDPR, às autoridades judiciárias da UE ou a qualquer processo judicial que os solicite. Um registrador que afirma “não recebemos nada” após três anos de documentado As reclamações não constituem um descuido administrativo. Trata-se de uma declaração factual incorreta que pode ser comprovada. - Declaração pública: “esse foi um incidente isolado; o cliente foi vítima de um ataque cibernético.”
Nosso histórico: o código de roubo emxmrwallet[.]compermaneceu online durante todo o dez anos consecutivos com o mesmo comportamento de substituição de carteira, a mesma assinatura do operador (Nathalie Roy / nathroy / u/WiseSolution), e a mesma pilha à prova de balas ($550/mo IQWeb FZ-LLC in Belize behind DDoS-Guard). Um acordo que dura uma década e garante um pagamento fixo e inabalável não é um acordo. É um negócios. Nós conhecemos pessoalmente — e temos permissão para citar — pelo menos uma pessoa próxima à nossa equipe que perdeu dinheiro nesse domínio específico antes de iniciarmos a investigação pública. Não se trata de um dano teórico. Trata-se de uma pessoa específica. - A alegação de que o DDoS-Guard → GitHub seria uma conexão não é credível.
Narrativas alinhadas ao NameSilo têm sugerido que a infraestrutura do operador, de alguma forma, prova que ele é apenas um colaborador desorganizado de código aberto. Um domínio que há uma década está protegido por um serviço russo à prova de DDoS, pago por meio de estruturas corporativas offshore em Belize, não é compatível com a imagem de um “cara com uma página no GitHub”. Nenhum observador sensato — seja ele técnico ou não — aceita essa interpretação. Estamos mencionando isso aqui porque o silêncio poderia ser confundido com concordância.
O padrão de exclusão: contas, não apenas comentários
Durante nossa investigação de três anos, observamos, em tempo real, como a camada de supressão atuava em três plataformas diferentes. O padrão era tão consistente que passamos a arquivar os dados antes de publicá-los, todas as vezes.
- GitHub. Na íntegra contas que publicaram questões ou comentários fazendo referência a
xmrwallet[.]comforam removidas — não comentários individuais, nem tópicos, mas as contas inteiras. Temos capturas do Wayback Machine de tópicos em que o perfil do comentarista agora apresenta erro 404. Qualquer pessoa que esteja conduzindo uma investigação pode perguntar ao GitHub, por meio de um processo legal adequado, quantas contas de usuário com postagens mencionandoxmrwalletforam fechadas entre 2018 e 2026, e por qual motivo declarado. Esperamos que o número seja significativo. - Trustpilot. Dezenas de avaliações negativas verdadeiras foram removidas em ondas sucessivas. As remoções concentraram-se em cada ciclo de reclamações públicas, o que indica uma ação coordenada, e não uma moderação orgânica. Mais uma vez, o registro interno de exclusões do Trustpilot, objeto de intimação judicial, é o registro definitivo.
- X (Twitter). As respostas críticas às contas suspeitas de golpes desapareceram a um ritmo difícil de explicar com base na política normal da plataforma. Depois que nossa
@Phish_DestroyQuando a conta acabou sendo banida com base em uma justificativa inconstante (veja os e-mails de confirmação acima), o padrão ficou claro. O mesmo manual de supressão usado contra reclamantes individuais há anos estava agora sendo aplicado contra uma conta de pesquisa.
Queremos ser precisos: não estamos alegando telepatia. Estamos alegando uma cronologia documentada. Publicar. Ser arquivado. Ser excluído. Repetir esse processo em três plataformas, para o mesmo público-alvo, durante uma década, enquanto o registrador nunca transfere o domínio. Essa cronologia não exige uma teoria da conspiração. Exige um pedido de acesso a registros públicos.
Se você for vítima de xmrwallet[.]com — Por favor, venha até a frente
Sabemos que há mais pessoas na mesma situação. Fomos contatados em particular por pessoas que perderam dinheiro e que tinham medo de se manifestar publicamente enquanto o operador ainda estava em atividade e enquanto seu registrador ainda o defendia publicamente. A situação agora mudou. A operação foi desmascarada, a infraestrutura foi documentada e as autoridades policiais nas jurisdições da UE estão investigando o caso.
xmrwallet[.]com — três passos práticos - Registrar um boletim de ocorrência formal no seu país de residência. Indique o domínio
xmrwallet[.]com, a data aproximada e o valor, além da carteira de destino, caso você a tenha. O boletim de ocorrência é o que permite que as solicitações de bloqueio feitas pelas plataformas de câmbio sejam processadas posteriormente. - Preserve todos os artefatos: capturas de tela, histórico do navegador, recibos de e-mail, IDs de transação, endereços de carteira, assinaturas de aprovação. Não presuma que alguma coisa ainda estará disponível online na próxima semana. Salve localmente e enviar para archive.org.
- Conte-nos. Escreva para report@phishdestroy.io ou envie uma mensagem direta por meio de @PhishDestroy_bot. Não divulgamos sua identidade sem o seu consentimento. Seu depoimento — mesmo que anônimo — fortalece o caso contra a infraestrutura que possibilitou o roubo.
Aos órgãos que têm efetivamente o poder de exigir a divulgação — o Departamento de Conformidade da ICANN, as autoridades responsáveis pelo GDPR da UE, o Centro Antifraude do Canadá (já que o operador é canadense), as autoridades fiscais competentes e qualquer tribunal com jurisdição sobre a entidade operacional da NameSilo: o material de fonte primária está preservado e disponível mediante solicitação. Comprovantes de entrega, capturas do Wayback Machine, artigo no Medium, gráfico da infraestrutura de relatórios de domínios e depoimento da vítima com consentimento assinado. Não estamos ocultando provas. Estamos mantendo-as em um formato que vocês possam realmente utilizar.
Chamar o preto de branco não faz com que ele se torne branco. Uma década de evidências públicas, mais de 20 notificações documentadas de abuso, uma máquina de roubo hospedada em um servidor à prova de falhas, exclusões coordenadas de contas em três plataformas, uma conta de pesquisa banida e um operador identificado cuja identidade já é de domínio público — isso não é um problema de relações públicas. É um problema jurisdicional. Estamos confiantes de que os registros públicos já contêm elementos suficientes para resolvê-lo.
As vítimas: quem realmente foi prejudicado
O argumento implícito da NameSilo, ao recorrer a um botão de denúncia de abuso na plataforma em vez de uma retratação, é: “não gostamos de ter sido expostos”. É compreensível. As pessoas raramente gostam de ser expostas. Mas coloque os dois danos na mesma balança.
Prejuízos causados à NameSilo por nossas reportagens: vergonha.
Os danos sofridos pelas vítimas devido à operação NameSilo, que durou dez anos:
- Um único usuário: 590 XMR (~US$ 177.000) perdidos em uma única transação sequestrada.
- Casos iniciais documentados: 15 (Trustpilot, Sitejabber, BitcoinTalk).
- Regiões: diferentes regiões (os relatos das vítimas confirmam isso).
- Total confirmado: mais de US$ 20 milhões. Isso se baseia em relatos das vítimas que podemos verificar individualmente.
- Nossa opinião, baseada em informações, mas não confirmada: mais de US$ 100 milhões. Com base no contato com as vítimas e na duração da operação. Afirmamos isso como nossa estimativa e não podemos comprová-la publicamente. A NameSilo também não pode negá-la de forma convincente sem divulgar seus próprios registros.
- Observação importante sobre preços. Nossos valores totais de perdas são calculados com base na taxa de câmbio do XMR no momento de cada roubo, e não ao preço atual do Monero. Os valores acima correspondem aos montantes reais em dólares americanos que as vítimas perderam no momento em que sofreram a perda.
- Processos criminais em andamento nas jurisdições da UE. Isso já não é apenas pesquisa — é aplicação da lei.
Desde a publicação, outras vítimas entraram em contato conosco diretamente com os valores individuais das perdas e os IDs das transações. Estamos mantendo e verificando esses relatórios.
Tratar esses dois danos como comparáveis — ao permitir que um registrador silencie o pesquisador que documentou a operação — é, por si só, uma falha política.
O Registro Permanente

Silenciar uma conta no Twitter não apaga as provas. Tudo o que é relevante para este caso está arquivado:
- Todas as declarações públicas da NameSilo em defesa da
xmrwalletoperador — Wayback Machine, Archive.today, nosso repositório de evidências no GitHub. - Capturas de tela do código de roubo em tempo real no ambiente de produção, com registros de data e hora.
- 8 endpoints em PHP foram submetidos a engenharia reversa e publicados.
- A sequência completa de mensagens da denúncia de abuso.
- Toda a nossa linha do tempo do X está espelhada no Mastodon, Bluesky, Medium, Telegram, GitHub e IPFS.
- Informações atualizadas a cada hora sobre
phishdestroy.ioem si, retenção de 14 dias, configurada especificamente para que nada do que escrevemos possa desaparecer sem que percebamos.
Se algum dos espelhos for desativado, o conteúdo permanecerá nos outros sete. A arquitetura é mais antiga que o NameSilo. Ela vai durar mais do que eles.
Isso foi justo? Cinco perguntas para todos que estão lendo

Essas perguntas não são retóricas. Leia as evidências acima e, em seguida, responda por conta própria — em particular, na sua linha do tempo ou enquanto decide se vai manter ou transferir seus domínios.
- É justo banir um pesquisador de segurança por ter respondido publicamente a uma declaração pública feita pelo próprio registrador? O secretário deu início à conversa. O pesquisador respondeu com fatos. Apenas um dos lados foi silenciado.
- É aceitável que uma declaração pública de um registrador descarte pesquisas documentadas como pouco sérias e, ao mesmo tempo, se ofereça para ajudar um operador de esquema fraudulento a remover detecções de segurança? Ambos os fatos ocorreram em um único comunicado da NameSilo. As vítimas não são mencionadas em nenhuma parte do comunicado.
- É aceitável que X retire explicitamente, por escrito, sua própria justificativa para o bloqueio (“sem violação, restabelecido”) e, mesmo assim, mantenha o banimento em vigor? A decisão mais recente da própria X afirma que a conta deve permanecer ativa.
- É aceitável que uma assinatura paga de verificação continue sendo cobrada enquanto a conta associada estiver bloqueada? Se o serviço não está sendo prestado, isso é considerado um produto — ou uma violação contratual?
- O que significa “situação regular” de um registrador credenciado pela ICANN? e se um registrador credenciado puder se valer dos canais de denúncia de abuso de uma plataforma de terceiros para silenciar o pesquisador que está documentando sua falha na resposta a abusos? Trata-se de uma questão de conformidade, e ela está sendo incluída no documento já existente do RAA § 3.18.
Se alguma resposta fosse “Não, isso não é justo”
Aqui estão três medidas concretas e sem custo, em ordem crescente de impacto.
1. Compartilhe publicamente
A desaprovação silenciosa não adianta nada. A pressão visível, sim. Um clique, já preenchido:
2. Pergunte às partes pelo nome
Mencione-os. A desaprovação silenciosa não adianta nada. As perguntas visíveis dos leitores chamam a atenção.
- @NameSilo — é o
@Phish_Destroysuspensão relacionada à sua declaração pública na qual você se ofereceu para ajudar oxmrwalletAs detecções do operador foram removidas? - @X / @XSupport / @elonmusk — O e-mail nº 2 diz “restaurada à funcionalidade total”. A conta está bloqueada. Qual decisão prevalece?
- @ICANN — O artigo 3.18 do RAA abrange retaliações por parte de registradores contra pesquisadores?
- @Tucows — A retaliação contra pesquisadores por uso indevido da plataforma é compatível com os padrões da OpenSRS para revendedores?
3. Transfira seus domínios (essa é a parte mais difícil)
As empresas reagem à perda de receita, não aos tuítes. As transferências levam cerca de quinze minutos. Nossa página de estatísticas do registrador apresenta uma lista de registradores com histórico impecável de resposta a abusos. Cada domínio transferido representa um dado sobre o número de renovações que a diretoria da NameSilo verá no próximo trimestre.
Se você representa uma organização — seja um projeto de criptomoedas, uma plataforma de recompensa por bugs, um veículo de jornalismo ou uma empresa de inteligência contra ameaças — com qualquer domínio na NameSilo: reflita sobre o que significa apoiar financeiramente o registrador que abrigou uma operação de roubo de mais de US$ 20 milhões e, em seguida, silenciou o pesquisador que a documentou. Você pode tomar essa atitude publicamente. Isso tem um grande impacto.
Considerações finais

Não dá para proteger uma operação de roubo de mais de US$ 20 milhões por dez anos, mentir publicamente sobre o assunto, retaliar o pesquisador que te pegou — e fazer com que tudo isso seja discretamente esquecido. Especialmente não enquanto as autoridades da UE estiverem investigando o caso.
Não estamos pedindo que você acredite apenas na nossa palavra. Cada afirmação factual acima possui um link, está documentada, tem data e hora registradas, está arquivada externamente e é reproduzível. Pedimos que você analise as evidências, responda às cinco perguntas por conta própria e aja de acordo com sua própria resposta. É assim que funciona a imparcialidade — um leitor que analisa as evidências e decide por si mesmo. É também exatamente o que o silenciamento visa impedir.
O PhishDestroy é uma fonte independente de inteligência sobre ameaças. Sem pagamentos, sem patrocínios, sem favores. Publicamos o que descobrimos. Por causa disso, a NameSilo nos baniu.
Pesquisa original: phishdestroy.io/xmrwallet-NameSilo-exposed
Investigação do Medium (fonte primária): PhishDestroy.medium.com/xmrwallet-com-2953f35b8a79
Repositório de evidências: github.com/PhishDestroy



