>
PhishDestroy В прямом эфире
Вернуться к новостям
 Поделиться: Сообщение Telegram
● ПОСЛЕДНИЕ НОВОСТИОбновлено 2 июля 2026 г. — подана заявка ICANN № 1479
Расследование

NameSilo Защищал обвиняемого в хищении криптовалюты на сумму 100 млн долларов
— Тогда Мы закрыли наш аккаунт в Twitter

Регистратор, аккредитованный ICANN, опубликовал 4 зафиксированных случая лжи чтобы прикрыть 10-летнюю операцию по краже Monero, предложили очистить свою запись в VirusTotal, пока система кражи ещё работала, а затем использовали платную отметку X Gold Checkmark, чтобы заблокировать исследователей, доказавших их неправоту. Их инженер по DevOps: бывший руководитель ИТ-отдела одной из российских финансовых пирамид в течение десятилетия.

1 апреля 2026 г. — Обновлено 2 июля 2026 г. Исследование PhishDestroy Время чтения: 10 минут 61 файл, проверенный с помощью алгоритма SHA-256
$0M+ Предположительно похищено
0 лет Операция «Срок службы»
0 Документально подтвержденная ложь
0k Страницы, исключенные из индекса Bing
0+ Отзывы удалены
0 Файлы с доказательствами SHA-256
Ознакомьтесь с полным отчетом о расследовании на сайте phishdestroy.eth.limo

Эта статья представляет собой предварительный обзор. Полные доказательства, архивы IPFS и все исходные материалы доступны по ссылке выше.

Предыстория: что на самом деле представляет собой xmrwallet.com

xmrwallet.com — это не фишинговый сайт. Это полнофункциональный кошелек Monero с бэкдором на стороне сервера создан в 2018 году и работает до мая 2026 года — почти десять лет. Репозиторий на GitHub — это лишь публичный фасад. Код, позволяющий совершать кражи, существует только на производственном сервере, он никогда не заносился в репозиторий и никогда не проверялся.

При каждом взаимодействии пользователя на серверы оператора отправляется частный ключ просмотра посредством запроса POST, закодированный в Base64 в переменной с именем session_key — примерно 40 передач за сеанс. Транзакция на стороне клиента явно отменяется (raw_tx_and_hash.raw = 0); сервер создаёт свой собственный ключ с помощью похищенных ключей.

«Аудит безопасности» 2018 года, который ничего не выявил

Аудит NewAlchemy получил 67 голосов «за» на Reddit и на протяжении многих лет служил индикатором доверия. Его четко обозначенная сфера охвата: «Только JavaScript на стороне клиента». Явно не входит в сферу применения: «множество конечных точек API PHP». Именно эти конечные точки и являются собственно механизмом кражи. В рамках аудита было структурно невозможно обнаружить этот бэкдор.

Эта схема кражи по своему характеру носит избирательный характер. Небольшие вклады остаются нетронутыми в течение многих лет, что позволяет завоевать доверие и получить положительные отзывы. Крупные суммы похищаются в течение нескольких минут. Одна из задокументированных жертв внесла 590 XMR — средства исчезли в течение 2 дней. Приблизительная общая сумма по более чем 15 задокументированным жертвам: Украдено 5 000–50 000+ XMR (от 1,5 млн до 15 млн долларов и более по историческим ценам). 60 % постов пострадавших были массово заблокированы и удалены до того, как удалось сохранить доказательства.

# The smoking gun: client-side transaction explicitly discarded raw_tx_and_hash.raw = 0 # thrown away; server builds its own with stolen keys # ~40 POST transmissions per session, every session, since 2016: session_key = base64_encode(wallet_address + ":" + private_view_key) # GitHub: 0 occurrences of "session_key" in any commit # Production server: core theft variable, all versions, since 2016
Бэкдор xmrwallet — публичный фасад на GitHub не выдает подозрений, а скрытый производственный сервер осуществляет вывод session_key
Характеристики взлома на одной схеме: зеленый = общедоступный репозиторий GitHub (чистый, прошедший аудит, надежный). Красный = производственный сервер — никогда не фигурировал ни в одном коммите, никогда не проходил аудит, осуществляет утечку данных session_key оператору при каждом сеансе.
 Демонстрация в реальном времени — мы переработали эксплойт
Посмотрите, как происходит утечка session_key в вашем браузере

Мы воссоздали процесс похищения ключей с использованием gtag в демонстрационной версии в изолированной среде. Откройте DevTools → вкладка «Сеть» → взаимодействуйте с кошельком. Смотрите session_key POST-запросы отправляются в режиме реального времени. Именно так система работала в течение 10 лет. Именно на это «аудит безопасности» так и не обратил внимания. Именно это публично защищала компания NameSilo.

Открыть интерактивную демонстрацию

Фраза, объяснившая NameSilo

Неопровержимое доказательство — треснувший молоток и светящиеся кавычки
17 февраля 2026 года. Одно предложение. Десятилетие доверия к своему регистратору.

16 февраля 2026 года оператор сайта xmrwallet.com направил PhishDestroy электронное письмо с требованием удалить отчет. Он подписался как «Натали Рой» — аккаунт на GitHub nathroy, ID 39167759. Мы ответили, предоставив полную техническую разбивку и направив письменное предупреждение: «Что будет дальше, полностью зависит от того, как вы решите поступить».

На следующий день он отправил одно предложение, которое рассказало нам всё о его отношениях с NameSilo:

«Не стесняйтесь выдать повестку регистратору домена с требованием предоставить мои данные».
— Администратор сайта xmrwallet.com, 17 февраля 2026 года
За три недели до того, как NameSilo назвала его жертвой

Никто не использует десятилетний дренажный насос на $550/mo bulletproof Belize hosting, скрывающийся за Russian DDoS-Guard, спокойно предлагает вам направить повестку в суд его регистратору — если, конечно, он уже не знает ответа. Ещё три регистратора (PDR, WebNic, NICENIC) заблокировали его домены в течение нескольких дней после получения тех же доказательств. NameSilo подготовило для него пресс-релиз и предложило очистить его репутацию.

Пока бэкдор был активен: xmrwallet заплатила PR Newswire, чтобы та заявила об обратном

21 января 2026 года — компания xmrwallet оплатила услуги PR Newswire для распространения пресс-релиза, в котором говорилось: «Закрытые ключи никогда не попадают на центральные серверы». Этот session_key На протяжении всего этого периода в каждом пользовательском сеансе на производственный сервер отправлялись запросы POST. PR Newswire — это платная служба распространения новостей: компании самостоятельно составляют и финансируют свои тексты, которые не проходят редакционную проверку. Источник: PR Newswire, 21 января 2026 г.


«Четыре лжи NameSilo», официальное заявление

13 марта 2026 года официальный аккаунт NameSilo оставил сообщение в нашей ветке, посвящённой расследованию. На момент сохранения сообщения количество просмотров составило 11 300. Постоянно заархивировано по адресу ghostarchive.org/archive/CXXZ0. Каждое утверждение опровергается первоисточниками:


Что такое NameSilo: аутсорсинговая компания из СНГ с почтовым адресом в США

Компания NameSilo LLC зарегистрирована в Фениксе, штат Аризона. Котируется на Канадской фондовой бирже под названием Brisio Innovations (CSE:BZI), выручка которой в 2025 году составила 65,5 млн канадских долларов. Сама инженерная команда распределена по Россия, Беларусь, Украина, Сербия, Аргентина и Латвия. Выявлено не менее 13 русскоязычных сотрудников. Человек, имевший полный доступ к инфраструктуре DevOps, в течение десяти лет отвечал за ИТ-поддержку российской финансовой пирамиды, прежде чем присоединиться к NameSilo.

DevOps — полный доступ к инфраструктуре
Михаил Чудинов
Аргентина (перенесено)
Ранее Руководитель ИТ-отдела компании «SuperKopilka» — Русская финансовая пирамида, 2007–2017 годы. Десять лет управления ИТ-инфраструктурой схемы денежного оборота до момента краха. Сам себя называет «энтузиастом криптовалют». В NameSilo: полный доступ к DevOps для всей инфраструктуры.
Бывший руководитель ИТ-отдела компании «Пирамида», 10 лет
Разработчик бэкенда на PHP
Иван Борзенков
Брянск, Россия (+7 920)
Бэкенд-разработчик из России. GitHub: ivan1986. Прямой доступ к бэкенду NameSilo через PHP из России.
🇷🇺 Доступ к бэкенду из России
Руководитель проекта
Владимир Восков
Москва, Россия
Ранее Компания «Zyfra» — Контракты в сфере промышленной автоматизации в России. Управление регистратором доменов, зарегистрированным в США, из Москвы.
🇷🇺 Москва — бывший подрядчик государства
Старший менеджер по проектам
Татьяна Лабутина
Белград, Сербия
Ранее ForexClub Libertex — Российский форекс-брокер, в отношении которого ЕС ввел ряд санкций. Белград: основной центр переезда для российских специалистов после 2022 года.
Бывший ForexClub Libertex
Также выявлены

Алексей Подашевский (Фронтенд) — Беларусь, юрисдикция, подпадающая под санкции, работающая на регистратора, зарегистрированного в США и аккредитованного ICANN. Всего выявлено более 13 русскоязычных сотрудников в России, Беларуси, Сербии, Аргентине и Латвии. В цепочке инфраструктуры xmrwallet полностью отсутствует хостинг на западных серверах.

Масштаб расследования

Более 5,18 млн доменов проанализированы по всему портфелю NameSilo — каждый из них был сверен с базами данных VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish и SURBL.

PHP-бэкенд xmrwallet полностью воссоздан на основе данных о поведении на стороне клиента — без доступа к серверу, без исходного кода и без содействия со стороны клиента. Механизм кражи был восстановлен исключительно на основе наблюдаемых сетевых паттернов.

13 членов команды данные были сопоставлены на платформах LinkedIn, GitHub, HeadHunter, Telegram, в корпоративных реестрах и судебных архивах шести стран. Закономерности удаления отзывов на Trustpilot отслеживалось в течение нескольких месяцев с целью выявления закономерностей в частоте удаления. CSE:BZI — квартальная отчетность были сопоставлены с данными портфеля доменов с целью выявления аномалий в выручке. 5,18 млн доменов проанализированы с учетом данных из 6 источников информации об угрозах. Все исходные данные доступны по адресу github.com/phishdestroy/namesilo-evidence. Заявление подано в ICANN, правоохранительные органы ЕС и 3 национальные подразделения по борьбе с киберпреступностью.


Аномалия доменов: 32,2 % никогда не активировались — статистическая уловка

Мы собрали и проанализировали каждый домен в портфеле NameSilo — все 5,18 млн доменов. Каждый из них был проверен с помощью сервисов VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish и SURBL. Исходные данные, методология и результаты по каждому домену доступны для общего доступа: github.com/phishdestroy/namesilo-evidence. Результат: 32,2 % доменов никогда не активировались — по сравнению с 14,7–22,8 % у аналогичных регистраторов. 10 000–17 000 массовых регистраций за один день (пик: 17 180 — 19 июля 2025 г.). 12 млн долларов потрачено на домены, которые так и не были активированы; годовой уровень расходов составляет 3,2 млн долларов на домены, не несущие никакой полезной нагрузки. В 2024 году, когда партнер NameSilo, компания ShortDot, приобрела новые домены верхнего уровня (.sbs, .cfd по оптовой цене около 0,50 доллара, продаваемые по розничной цене 14,95 доллара = 22–31-кратная наценка), количество регистраций доменов с неактивными адресами резко возросло 615% за один год.

География и масштаб доменной базы NameSilo — компания из Феникса (Аризона), команда из СНГ, 5,18 млн доменов
Зарегистрировано в США. Управляется в СНГ. 5,18 млн доменов, 32,2 % из которых так и не были активированы. Команда, связывающая Феникс, Москву и Буэнос-Айрес.

PrivacyGuardian скрывает личность покупателя на более чем 3 млн доменов (зарегистрированных на pw-{hex}@privacyguardian.org). Принимаются биткойны. Без KYC. Каждый «фантомный» домен снижает показатель соотношения злоупотреблений к общему количеству.

0.43% против 5,18 млн всего
«практически ничего»
2.34% vs HTTP-alive
каждый 43-й сайт
40.9% по сравнению с реальными компаниями
1 случай фишинга на 2,5 легитимных
Финансовая аномалия: CSE:BZI

NameSilo сообщает о выручке в размере 65,5 млн канадских долларов (2025 г.). Коэффициент P/E: 143,8× по сравнению с отраслевым показателем 21×. Выручка на один реальный (активный) домен: 68 канадских долларов против 10–15 долларов в отрасли. 95 регистраторов ICANN продают домены .com дешевле. Если массовые регистрации фиктивных доменов используются для отмывания доходов — с наценкой 22–31× при обмене BTC на домены — они фигурируют как «законная выручка регистраторов» в квартальных отчётах, подаваемых на Канадскую фондовую биржу. Эта схема задокументирована и передана в правоохранительные органы.

Как NameSilo создает «освещение в СМИ» для инвесторов CSE:BZI — 6 шагов
1
NameSilo публикует пресс-релиз о себе. От третьего лица. «NameSilo — самый быстрорастущий регистратор...»
3
PR Newswire автоматически публикует эту информацию в Yahoo Finance, Morningstar, StockWatch, newswire.ca — всем, кто оплатил, без редакционной проверки.
4
Yahoo Finance публикует эту информацию с одной небольшой пометкой: «Это платный пресс-релиз».
5
На странице акций CSE:BZI на сайте NameSilo теперь отображается «освещение в СМИ». «О нас написали в Yahoo Finance». «О нас написали в StockWatch».
!
Никто о них не писал. Они сами писали о себе и платили за то, чтобы это выглядело как новости. Вот как об этом «сообщают СМИ» на странице для инвесторов CSE компании, регистратор которой публично выступил в защиту лица, занимающегося активным сливом монет Monero.
 Платный пресс-релиз за 805 долларов ≠ независимая журналистика. Инвесторы CSE:BZI: внимательно изучайте информацию.

Что произошло после публикации

После публикации нашего материала была развернута скоординированная кампания по правовому преследованию и блокировке на платформах, направленная против всех основных ресурсов, на которых присутствовал проект PhishDestroy. Были задействованы три механизма — каждый из них был зафиксирован, заархивирован и теперь включен в жалобу ICANN № 1479.

X / Twitter — аккаунт @Phish_Destroy заблокирован. Золотая галочка в X предоставляет подписчикам приоритетный канал поддержки, недоступный для обычных пользователей. Именно через этот канал была подана жалоба на наш аккаунт. Собственная автоматизированная система проверки X рассмотрела дело, оправдала нас в письменной форме и подтвердила отсутствие нарушений. Тем не менее блокировка осталась в силе. Мы опубликовали письмо об оправдании ещё до снятия блокировки — прогноз с отметкой времени от GhostArchive включён в отчёт ICANN № 1479.
Google — запросы на удаление данных в соответствии с GDPR + жалобы по закону DMCA. В соответствии с GDPR были поданы европейские запросы о «праве на удаление», чтобы заставить Google исключить из результатов поиска конкретные страницы, посвящённые расследованию PhishDestroy. Параллельно были направлены уведомления об удалении в соответствии с DMCA, касающиеся URL-адресов, связанных с расследованием. Оба механизма применялись одновременно — правовое давление через законодательство ЕС о защите персональных данных и давление в сфере авторского права через законодательство США. Сам по себе содержательный материал расследования так и не был успешно оспорен по существу.
Bing — 108 000 страниц исключено из индекса за один день. Весь сайт phishdestroy.io — 108 000 проиндексированных страниц — был удален из поисковой системы Bing в результате одной массовой операции. Время было выбрано точно: исключение из индекса точно совпало с публикацией нашего отчета о NameSilo. Это не была проблема с постепенным сканированием, не была техническая ошибка — это была единственная массовая жалоба, которую Bing обработал без предварительного уведомления.
IPFS — они подали жалобы. Ничего не изменилось. В отношении домена ENS и шлюзовых сервисов были поданы запросы на удаление. phishdestroy.eth.limo по-прежнему полностью функционирует. Контент в IPFS идентифицируется по хешу SHA-256 — нет сервера, который можно было бы отключить, нет хостинг-аккаунта, который можно было бы заблокировать, нет регистратора, на которого можно было бы оказать давление, нет CDN, в который можно было бы обратиться. Расследование ведётся одновременно на Arweave, GhostArchive и Wayback Machine. Гнев пропорционален беспомощности.
Кампания по цензуре платформ — «Золотая галочка» в X, GDPR в Google, исключение из индекса Bing
Одна золотая галочка. Три правовых механизма. 108 000 страниц в Bing. Все платформы отреагировали на одну и ту же публикацию. Вот как выглядит попытка заставить замолчать, финансируемая корпорациями.
Мы это предсказали — запись с отметкой времени в GhostArchive была сделана ещё до того, как это произошло

Еще до того, как блокировка вступила в силу, мы опубликовали твит, в котором предсказали, что NameSilo воспользуется «схемой подавления» мошенников, и зафиксировали его с отметкой времени в GhostArchive. Они поступили именно так, как мы и предсказывали, в точном соответствии с нашим графиком. Этот прогноз с отметкой времени — доказывающий, что мы предвидели эту тактику до её применения — включён в жалобу ICANN против NameSilo (ICANN № 1479).

К архиву нельзя прикасаться

Всё включено IPFS (phishdestroy.eth), Arweave, GhostArchive и Wayback Machine. 61 скриншот, проверенный с помощью SHA-256. Ни одного успешного юридического оспаривания какого-либо утверждения. Ни одного технического опровержения со стороны оператора или NameSilo. Ни одного аргументированного ответа — только юридические угрозы, нападки на личность и удаленные твиты. Полное расследование с исходными данными, досье команды, анализом отмывания средств и ресурсами для пострадавших доступно по адресу phishdestroy.eth.limo — дублируется в IPFS, Arweave, GhostArchive и Wayback Machine. Ни один из них не имеет «золотой галочки».


Сеть «Escape Domain»: подготовка велась за несколько месяцев до ликвидации

Начало 4 февраля 2026 года — в ту же неделю, когда оператор впервые связался с PhishDestroy, — он начал тайно регистрировать «домены-убежища» у 4 разных регистраторов, оплатив каждый из них на 5–10 лет вперед. Инфраструктура была рассчитана на то, чтобы выдержать любое отдельное отключение. Однако она не выдержала расследования.

Первоначальный технический анализ с полным перечнем доказательств: github.com/phishdestroy/НЕ-ИСПОЛЬЗУЙТЕ-xmrwallet-com

Домены «Escape» — зарегистрированы после начала расследования
Домен Регистратор Предоплата IP Статус
xmrwallet.cc Реестр общественного домена 8 лет 185.129.100.248 ПРИОСТАНОВЛЕНО
xmrwallet.biz WebNic.cc 5 лет 190.115.31.40 ПРИОСТАНОВЛЕНО
xmrwallet.net NICENIC International 10 лет 190.115.31.40 ← DNS не работает
xmrwallet.me Key-Systems GmbH 10 лет 185.129.100.248 ← АКТИВНО — поступило сообщение о злоупотреблении

Кластеризация IP-адресов: 185.129.100.248 общий для доменов .cc и .me — один и тот же хост. 190.115.31.40 общие для доменов .biz и .net — один и тот же хостинг-провайдер. Четыре регистратора, два IP-кластера. 33 года предоплаченной регистрации. Все зарегистрировано в тайне после первого контакта со следователями.


Купленная репутация: Википедия, Forbes и более 15 спонсируемых статей

Репутация NameSilo в общественном пространстве является сфабрикованной. Википедия: пометка «платная/рекламная». Forbes: уведомление о партнерской программе «Мы получаем комиссию». SmartCustomer: 1,8/5 — при этом в Google нет ни одного отрицательного результата.

Википедия — Отмечено редакторами как рекламный материал

У NameSilo есть статья в Википедии — отмечено редакторами как платная/рекламная статья, а не нейтральное освещение в редакционных материалах. История правок (архив): en.wikipedia.org/w/index.php?title=NameSilo&action;=history

Forbes Advisor — Информация о партнерских комиссиях

NameSilo упоминается на сайте Forbes Advisor с явным указанием на партнерские отношения: «Forbes Advisor придерживается строгих стандартов редакционной честности… Мы получаем комиссионные». Forbes Advisor получает доход, когда пользователи регистрируются по его ссылкам, что создает прямой финансовый стимул для публикации положительных материалов. Источник: forbes.com/advisor/business/software/namesilo-review/

SmartCustomer: 1,8/5 — Ни одного отрицательного результата в Google

NameSilo владеет Рейтинг 1,8 из 5 на SmartCustomer — источник: smartcustomer.com/reviews/namesilo.com. Несмотря на десятки негативных отзывов, поиск в Google не выдает ни одного негативного упоминания — это активное подавление информации с использованием тех же инструментов GDPR и DMCA, которые применялись против нашего расследования.

PR Newswire — Самостоятельная публикация, платная, без редакционной проверки

Компания NameSilo Technologies Corp. (CSE:BZI / OTC: URLOF — котирующаяся на бирже материнская компания NameSilo LLC) использует PR Newswire для публикации корпоративных объявлений. PR Newswire — это платный сервис распространения новостей: компания готовит текст и оплачивает его размещение. Примеры платных пресс-релизов NameSilo Technologies:

Тот же механизм: 21 января 2026 года xmrwallet воспользовался сервисом PR Newswire для публикации своей главной статьи («частные ключи никогда не попадают на центральные серверы») в то время, как действовал бэкдор. Платная рассылка, в рамках которой текст, составленный оператором, представлялся как новостной контент.


Три подразделения. Одна компания. Ни одно из них не выдерживает взаимодействия с другими.

NameSilo не смогла придерживаться единой версии событий. В зависимости от того, насколько серьёзной была угроза судебного преследования в тот или иной момент, компания поочерёдно выдвигала три взаимоисключающие позиции: уверенного эксперта, находящегося под угрозой жертвы и скромного государственного служащего.

1
Март 2026 года — Позиция уверенного эксперта
Команда NameSilo по борьбе со злоупотреблениями окончательно определено домен был взломан. Они провели расследование этого взлома. Им известно, что владелец домена является жертвой. Они помогая ему устранить срабатывания VirusTotal — что, по их собственной логике, означает, что они обладают большим авторитетом, чем все производители антивирусных программ, которые занесли этот домен в черный список. Уровень достоверности: абсолютный.
2
Этап 2 — Юридическая угроза (публичный твит от 11 мая 2026 года)
@namesilo — Официальный аккаунт с золотой галочкой — 11 мая 2026 г. · 417 просмотров · 107 ответов

«Ваши утверждения являются ложными, клеветническими и порочащими. NameSilo принимает меры и рассматривает все поступающие к нам сообщения о нарушениях. Если у вас есть подобные случаи, пожалуйста, направляйте их по адресу abuse@namesilo.com. В противном случае, пожалуйста, обращайтесь напрямую к хостинг-провайдеру или регистранту сайта. И прекратите распространять ложную информацию о нас, иначе мы будем вынуждены прибегнуть к судебным мерам».

Уверенный в себе эксперт, который расследовал случай взлома, установил, что владелец домена является жертвой, и помогал ему устранить срабатывания VirusTotal, — теперь превратился в обычный ящик для жалоб на злоупотребления. Расследование сошло на нет. Экспертиза сошла на нет. Осталась только юридическая угроза.
3
Ответ ICANN — «Скромная позиция процессора»
Сейчас они занимаются обработкой отчетов. Сейчас они не могут выявить фишинг. Сейчас они полагаются на хостинг-провайдеров. Команда, которая превзошла всех крупных производителей антивирусных программ и пришла к выводу, что домен чист теперь он слишком скромен, чтобы позвонить. Это не некомпетентность. Некомпетентность — это постоянное явление. А это позиция, которую выбирают в зависимости от конкретной аудитории.
Основное противоречие — выбери одно, NameSilo

Если бы ваша группа по борьбе с насилием обладала компетенцией, чтобы провести всестороннюю и тщательную проверку, установить, что домен был взломан, определить, что владелец домена является жертвой, и начать оказывать ему помощь в удалении обнаружений VirusTotal — значит, вы прямо заявляете, что обладаете большим авторитетом и более высокой технической компетентностью, чем все производители антивирусных программ, которые пометили этот домен как вредоносный.

Вы не сможете позже утверждать, что вы просто обрабатывать отчеты и не обладают необходимыми знаниями для выявления фишинга. В жалобе, поданной в ICANN, не требуется от вас компетенции, которой у вас нет. В ней задается вопрос: почему вы использовали ту компетенцию, которой, как видно, у вас есть, — чтобы помочь мошеннику, а не жертвам?


Trustpilot: «Фермы ботов» соревнуются с «фермами ботов»

Пример: «Пэтти Джонсон» — профиль из США, всего 2 отзыва

Одна 5-звездочная оценка для NameSilo (январь 2026 г.): «Леонид очень помог… 5 звезд!» Еще один отзыв: об Otrium — компании, в отзывах о которой звучат обвинения в мошенничестве и хищении денег. Один аккаунт-бот, две компании, связанные с мошенничеством. Характерные черты: упоминание конкретных сотрудников службы поддержки, похвалы за скорость ответа, шаблонные формулировки. Настоящие покупатели доменов оценивают цены и удобство использования панели управления. В отзывах-ботах хвалят «Леонида».

Анализ данных — 2 280 отзывов о NameSilo против 2 480 отзывов о Namecheap

Метрическая система NameSilo Namecheap
5-звездочные отзывы88.9%74.0%
Отзывы с 1 звездой7.2%16.7%
Учетные записи с одной рецензией62.4%59.6%
Аватар отсутствует (новые аккаунты)67.3%51.5%
Отзывы о поддержке/обслуживании70.0%60.2%
Отзывы о цене/стоимости9.8%37.5%
Агент по имени «Леонид»5.7%0.0%
Геолокация в США35.1%26.5%
Аномалия Леонидов

Леонид появился 13 апреля 2025 года. До этого о нём не было ни одного упоминания. Затем за первые два месяца он получил 65 отзывов. Май 2025 года: 106 отзывов (в 5 раз больше обычного), 95 % пятизвездочных, ни одного однозвездочного. Ни одного недовольного клиента в 106 отзывах о регистраторе, занимающем 96-е место по ценам на домены .com.

43 % отзывов о Леониде содержат менее 80 символов. В четырёх из них есть только заголовок «Леонид». Еще три: «Леонид очень помог». Среди рецензентов: «Сатоши Накамото», «Автор», «Виктор -», «Анна Королева», «Борис Мартин», «Андрей Добреску» вперемешку с «Брэдом», «Латойей», «Пэтти Джонсон». Генератор имен, перебирающий имена со всех континентов. Имя Леонид — русское.

Гонконг: 57 отзывов. 57 из 57 — пятизвездочные. Статистически невозможно.

Ни одной четырёхзвёздочной оценки. Ни одной трёхзвёздочной. Ни одной другой оценки. 91 % аккаунтов с одним отзывом. Более 7 лет. Китай: 94 % пятизвёздочных оценок, 80 % аккаунтов с одним отзывом. Сингапур: 95 % пятизвёздочных оценок. В общей сложности 168 отзывов с китайскоязычных рынков — почти все сфальсифицированы.

Почему Китай? Компания NameSilo активно ведет там маркетинговую деятельность: namesilo-china.com, bcbay.com/namesilo, платные посты в китайских блогах, статья в китайской Википедии. Когда следователи задают вопрос: «Кто покупает 4,22 миллиона неактивных доменов?», — NameSilo указывает на Китай. Данные Trustpilot показывают, что они создавали это алиби с 2019 года, добавляя по одному фальшивому отзыву за раз.

Независимый криминалистический анализ API Claude — «слепое» тестирование

2 480 отзывов о NameSilo и 2 480 отзывов о Namecheap с сайта Trustpilot были переданы в API Claude и анонимизированы как «Компания A» (NameSilo) и «Компания B» (Namecheap). ИИ не знал, какой отзыв к какой компании относится.

Криминалистический индикатор NameSilo (A) Namecheap (B)
5-звездочный рейтинг89.1%74.0%
Доля 1-звездочных оценок7.1%16.7%
Одноразовые аккаунты, ставящие 5 звезд92%~65%
Отзывы, в которых упоминается цена11.2%39.2%
Упоминается в обзорах как единственный агентЛеонид: 168нет
5-звездочный показатель разнообразия лексики (TTR)0.073~0.15
Гонконг: 100 % пятизвездочных отелей57/57н/д
Всплеск в мае–июне 2025 года (в 5 раз выше нормы)215 отзывовнет
Приговор по делу о манипуляциях с помощью ИИ92%15%
Заключение по результатам искусственного интеллекта в рамках судебной экспертизы — дословно

«Компания А демонстрирует обширные и многоаспектные доказательства систематического манипулирования результатами обзоров посредством скоординированного искусственного формирования данных. Вероятность того, что такие закономерности возникли бы естественным путем, стремится к нулю».

Полный анализ: phishdestroy.eth.limo/namesilo-trustpilot.html · Исходные данные: trustpilot-forensic-report-final.txt


Каких результатов удалось добиться в ходе расследования

xmrwallet.com — Сайт закрыт

После расследования и публикации материала PhishDestroy сайт xmrwallet.com прекратил свою деятельность. Оператор отправил прощальное сообщение — и, что примечательно, больше не подписал его как «Натали Рой». Личность, которая на протяжении многих лет была публичным лицом xmrwallet, была незаметно убрана. Никаких объяснений не последовало.

Домен теперь перенаправляет на GitHub — с третьей попытки

В конце концов сайт xmrwallet.com был перенаправлен на свой репозиторий на GitHub — тот самый публичный фасад, который на протяжении десятилетия служил алиби в виде «открытого исходного кода». На это ушло три попытки. Репозиторий не обновлялся в течение 5 лет до перенаправления: никаких фиксаций, никаких обновлений, никакого технического обслуживания — что соответствовало проекту, фактический код которого хранился исключительно на непроверенном производственном сервере и никогда не предназначался для публичного ознакомления.


Перенос домена не положил этому конец. Он сделал это бессрочным.

Домен xmrwallet.com был перенесен в Namecheap в мае 2026 года, срок регистрации действует до 2036 года. Судя по всему, NameSilo считает этот вопрос урегулированным. Нет.

Вы думали, что эксперты, способные превзойти любого производителя антивирусов, остановятся, когда домен переехал? Расследование ведется в IPFS. Оно ведется в Arweave. Оно находится в системе официальных жалоб ICANN. Оно ведется правоохранительными органами ЕС. Оно ведется тремя национальными подразделениями по борьбе с киберпреступностью. Юридическая угроза добавила к делу ещё одну отметку о времени. Перенос домена добавил ещё одно доказательство. Каждое действие, предпринятое с целью пресечения этого расследования, само по себе является задокументированным доказательством описанной нами схемы.

В этой ситуации вы не были самыми умными. Просто какое-то время у вас было больше денег.

Ознакомьтесь с полным текстом расследования phishdestroy.eth.limo Материалы на GitHub Сообщить о случае с пострадавшим
Уведомление о проведении независимого расследования
PhishDestroy · Некоммерческие исследования в области безопасности

За это никто не заплатил. Данное расследование не получало финансирования, не подвергалось редакционному влиянию и не содержало текстов, предоставленных какой-либо стороной. В отличие от публикаций в Forbes Advisor и PR Newswire, которые NameSilo финансирует напрямую, у автора данной статьи нет никаких финансовых связей с NameSilo — и никаких обязательств по представлению предпочтительной для компании точки зрения.

Все задокументировано. Каждое утверждение, основанное на фактах, подкреплено поддающимися проверке доказательствами: ответами серверов, криминалистическими записями, открытыми источниками, заявлениями о злоупотреблениях и первоисточниками, ссылки на которые приводятся в тексте. Ничего не выдумано. На источники даны ссылки. Доказательства архивируются в IPFS. Приветствуется независимая проверка.

«Прекратите распространять ложь о нас, иначе мы будем вынуждены обратиться в суд». — NameSilo в ответ на данное расследование

Ужасающе. Мы стали свидетелями всего спектра возможностей NameSilo: блокировка аккаунта в Twitter/X, покупка рекламного места в Forbes, написание собственных отзывов на Trustpilot, удаление обнаружений в VirusTotal и публикация четырёх явно ложных утверждений в одном твите.

Что касается «лжи» — здесь всё соответствует действительности. Если объективное освещение вашего продукта считается клеветой, откройте свою собственную панель управления — ту самую, которую вы исключаете из каждой платной статьи. Она сама доказывает правоту этого утверждения, без нашего участия.

Вы не заплатили этому автору. Вы не предоставили никакого текста. У вас нет никаких прав на результаты независимых исследований. У вас, однако, есть обязательства — перед ICANN, перед вашими регистрантами, а также в соответствии с законодательством, регулирующим деятельность регистраторов доменов. Эти обязательства не исчезают только потому, что достоверное освещение событий вам неудобно.

О судебных разбирательствах: Данное расследование архивировано на 5–7 узлах IPFS. Поскольку NameSilo уже продемонстрировал опыт в удалении контента, мы предлагаем начать именно с него. Вы знаете, как это работает. Мы подождём.

Для большей ясности — на вашем языке:

PhishDestroy — это некоммерческий исследовательский проект. Мы не претендуем на непогрешимость или абсолютную уверенность. Тон данного расследования может показаться резким — мы это осознаем. Мы не навязываем свою точку зрения: мы рекомендуем ознакомиться с материалами и первоисточниками и сделать собственные выводы. Действует презумпция невиновности. Это наше расследование, наши наблюдения и наше субъективное сравнение — над которым мы потратили немало времени.

Полное расследование со всеми доказательствами и архивами IPFS: phishdestroy.eth.limo