NameSilo уничтожило наш Twitter Потому что мы рассказали о них правду
On 3 апреля 2026 года, X заблокировано два аккаунта PhishDestroy сославшись на «проблемы с оплатой» и пообещав вернуть деньги за оплаченные подписки. Возврат средств так и не последовал. Через одиннадцать дней, 14 апреля, X привёл новое обоснование: «Недостоверные действия — отмена не обоснована». Мы подали апелляцию. Автоматическая система компании X ответила в письменной форме: «Нарушений не выявлено — аккаунт восстановлен в полном объеме». Счета по-прежнему заблокированы. Деньги так и не возвращены. Причина, указанная в качестве обоснования, к настоящему моменту менялась уже три раза. Две недели назад мы раскрыли, что NameSilo укрывала операцию по хищению монет Monero на сумму более 20 млн долларов — в настоящее время в отношении этой компании ведется активное уголовное расследование со стороны ЕС.
«The Receipts»: X противоречит самому себе в своих текстах
Два официальных письма от службы поддержки X. Один и тот же аккаунт. Один и тот же запрос. Противоположные решения. Второе письмо пришло позже. Прочитайте их по порядку.
Здравствуйте,
Мы рассмотрели Вашу апелляцию в отношении счета, @Phish_Destroy.
Наша служба поддержки установила, что действительно имело место нарушение наших Правил, а именно:
Нарушение наших правил, запрещающих неаутентичное поведение.
Мы рассмотрели предоставленную дополнительную информацию и постановили, что в данном случае нет оснований для отмены нашего первоначального решения. Поэтому мы не отменим наше решение о блокировке вашей учетной записи.
Спасибо,
X Поддержка
Здравствуйте,
Мы рассмотрели Вашу апелляцию в отношении счета, @Phish_Destroy.
Наши автоматизированные системы установили, что нарушений не было, и восстановили полную функциональность вашей учетной записи.
Спасибо,
X Поддержка
Письмо № 2 представляет собой более позднее решение. Оно прямо отменяет решение, изложенное в письме № 1. В нем — в письменной форме, на бланке компании X — говорится, что счет был восстановлена полная работоспособность. Аккаунт не восстановлен. Плата за платную подписку продолжает списываться. Третьего письма, отменяющего письмо № 2, не поступало. Последнее обещание, данное нам компанией X, просто не выполняется.
Либо письмо № 2 является подлинным — система автоматизации рассмотрела апелляцию, не выявила нарушений, однако некая неназванная сторона продолжает применять запрет, несмотря на это решение.
Или адрес электронной почты № 2 не существует — оно было отправлено по ошибке, действительным остается письмо № 1, а компания X не выпустила официального исправления.
Третьего варианта нет. Оба варианта бросают тень на X. Один из них — с катастрофическими последствиями.
Почему это произошло
27 марта мы опубликовали Конец xmrwallet[.]com: NameSilo солгала, чтобы защитить криптовалютного мошенника. Результаты расследования подтвердились: были получены дампы конечных точек PHP, заархивированы запросы, зафиксировано более 15 жертв. Три независимых регистратора (из Индии, Малайзии и Китая) изучили те же доказательства и заблокировали свои xmrwallet домены за несколько дней. Только NameSilo встал на защиту мошенника.
Важно то, что произошло дальше. Важна последовательность событий:
- Мошенник сначала написал нам напрямую по электронной почте — ещё до того, как NameSilo сделало какое-либо публичное заявление, ещё до подачи какой-либо апелляции. В своём электронном письме он посоветовал нам «подать в суд на регистратора». Такую фразу не напишет одиночный мошенник исследователю, который его преследует. Такую фразу пишет тот, кто уже знает, что регистратор его поддержит. Мы никогда не сталкивались с подобной реакцией со стороны других мошенников, о которых у нас есть данные.
- Затем NameSilo выпустила официальное заявление содержащие две доказанные неправды, приведенные дословно и архивировано в нашем расследовании на Medium:
• «Домен был взломан несколько месяцев назад» — что опровергается тем фактом, что собственный код защиты от краж оператора по-прежнему использовался в рабочей среде на момент заявления NameSilo.
• «До этого мы не получали никаких сообщений о нарушениях» — что опровергается нашими квитанциями о доставке, касающимися нескольких предыдущих заявлений о нарушениях, подкрепленных исчерпывающими техническими доказательствами.
В том же заявлении также говорилось: «Регистрант предпринимает шаги для исключения из отчётов VT», что подтверждает: NameSilo явно поддержала попытку оператора удалить обнаружения VirusTotal в то время, когда код-вирус все еще действовал. - В том же заявлении, NameSilo отвергло результаты нашего исследования как несерьезные и публично предложил помочь оператору добиться удаления результатов проверки от поставщиков решений безопасности (VirusTotal, Fortinet) — при том, что код, используемый для кражи данных, по-прежнему оставался активным.
- We ответил, приведя факты в соответствии с этим публичным заявлением. Никаких домогательств. Никакого спама. Никакого доксинга. Мы внесли исправления в том же месте, которое выбрала компания NameSilo.
- Спустя семь дней, Были заблокированы два аккаунта PhishDestroy X. Указанная причина: «оплата». Подписки были оплачены. 14 апреля причина изменилась на «неаутентичное поведение». После подачи апелляции причина снова изменилась на «нарушений нет, доступ восстановлен». Блокировка и невозвращенные платежи остались без изменений.
NameSilo не смогла опровергнуть эти доказательства — три независимых регистратора приняли меры на их основании. Поэтому они поступили так, как xmrwallet то, что оператор делал с критиками на протяжении десяти лет: воспользовался бюрократическим каналом, чтобы заглушить голос, не обращая внимания на факты. Оператор удалил более 20 аккаунтов на GitHub и более 200 отзывов на Trustpilot. У NameSilo заблокировали аккаунт в X. Старый добрый сценарий, только на корпоративном уровне.
Есть ли связь между NameSilo и мошенником?
Этот xmrwallet[.]com оператор уверенно реагировал на сообщения о злоупотреблениях, публиковал в Твиттере сообщения вместе с регистратором, следуя согласованным тезисам, и за десять лет жалоб ни разу не перенес домен. Так не ведут себя нервничающие мошенники. Так ведут себя мошенники, у которых есть договоренность.
Из более чем ста случаев с фишинговыми операторами, которые мы зафиксировали, мы никогда раньше не сталкивались с именно такой последовательностью действий:
- Мошенник написал нам первым. Еще до того, как NameSilo сделало какое-либо публичное заявление, еще до подачи какой-либо апелляции — сам оператор направил электронное письмо в PhishDestroy. Личность подтверждается в Среднее расследование: письма пришли от
xmrwallet[.]comоператор, которого можно идентифицировать по следам его репозиториев как Натали Рой (Канада), GitHubnathroy, Redditu/WiseSolution, запрещеноr/Moneroв 2018 году. - Его точные слова (дословно, из архива): «Не стесняйтесь выдать повестку в суд регистратору домена». Не «удалите это». Не «я исправлю». Он прямо указал нам на своего собственного регистратора как на сторону, к которой следует обратиться — словно он уже знал, что регистратор не примет против него никаких мер, и был уверен, что их правовая позиция выдержит проверку. Эта цитата сохранилась в нашем Расследование Medium (16 марта 2026 г.).
- Только тогда NameSilo вышла на биржу с помощью прикрытия в виде заявления «нашего клиента взломали» — заявления, которое опровергается по-прежнему действующим кодом кражи, — а также утверждения о том, что «ранее не поступало никаких сообщений о злоупотреблениях», которое опровергается нашими квитанциями о доставке.
- Затем NameSilo превратил канал, посвящённый злоупотреблениям платформой, в инструмент для нанесения вреда против нас — используя тот же сценарий подавления, который этот оператор уже применял на GitHub (удалено более 20 аккаунтов), Trustpilot (удалено более 200 отзывов) и BitcoinTalk.
Инфраструктура оператора не похожа на инфраструктуру любителя. Согласно нашим Среднее расследование, xmrwallet[.]com размещен на Надежный хостинг за 550 долларов в месяц от IQWeb FZ-LLC (зарегистрирован в Белиз), позади DDoS-Guard (Россия). Это профессионально организованная, тщательно подготовленная и защищенная от атак система — а не разовый мошеннический сайт. То, что один оператор использует готовую, надежно защищенную инфраструктуру, а его регистратор при этом публично выпускает заявление в его защиту, свидетельствует, как минимум, о необычайно скоординированной операции.
Мы не можем доказать наличие такой связи, опираясь на данные, не содержащиеся в отчетности NameSilo. Это можно сделать только на основании их внутренних документов. Однако, судя по имеющимся данным, остается два объяснения: либо этот оператор — самый самоуверенный криптовалютный мошенник последнего десятилетия, который правильно рассчитал, что его регистратор инстинктивно прикроет его, — or Между ними существует нераскрытая связь. Первое заслуживает общественного внимания. Второе — вызова в суд. Правоохранительные органы стран ЕС в настоящее время ведут расследование по данному делу.
Прямые доказательства: что NameSilo заявляло публично и что произошло на самом деле
В предыдущих абзацах описана общая картина. В данном разделе приводятся конкретные фактические противоречия между публичными заявлениями компании NameSilo и нашими собственными записями, полученными из первых рук. Мы не просим никого верить нам на слово — каждый из приведенных ниже пунктов можно проверить с помощью сторонних архивов, квитанций о доставке и сервиса Wayback Machine.
-
Публичное заявление: «сообщений о злоупотреблениях ранее не поступало / сообщения не были получены в установленные сроки».
Наши достижения: команда PhishDestroy лично прислала более 20 уведомлений о нарушениях за три года (2023–2026 гг.) дляxmrwallet[.]comи сопутствующей инфраструктуры. В каждом случае для подачи заявки использовался официальный канал NameSilo для сообщений о злоупотреблениях, генерировался отслеживаемый номер заявки, а в ряде случаев были получены подтверждения от автоответчика, которые до сих пор хранятся в нашем почтовом архиве. Мы сохранили эти подтверждения. Мы готовы предоставить их в полном объеме по запросу в рамках любого разбирательства, проводимого ICANN, в соответствии с GDPR, правоохранительными органами ЕС или судом. Регистратор, заявляющий «мы ничего не получали» спустя три года задокументированный Рассмотрение жалоб — это не административная оплошность. Это доказуемое искажение фактов. -
Официальное заявление: «Это был единичный случай; аккаунт клиента был взломан».
Наши достижения: код кражи вxmrwallet[.]comоставался в сети на протяжении десять лет подряд с таким же поведением при замене кошелька, с таким же отпечатком оператора (Натали Рой / nathroy / u/WiseSolution), а также тот же надежный стек (550 долларов в месяц — IQWeb FZ-LLC в Белизе с защитой DDoS-Guard). Компромисс, который действует целое десятилетие и обеспечивает стабильные, надежные выплаты, — это не компромисс. Это бизнес. Мы лично знакомы с ним и имеем его согласие на упоминание — по крайней мере один человек, близкий к нашей команде который понес убытки в связи с этим конкретным доменом ещё до того, как мы начали публичное расследование. Речь идёт не о гипотетическом ущербе, а о конкретном человеке. -
Версия о том, что DDoS-Guard связан с GitHub, не вызывает доверия.
В нарративах, продвигаемых NameSilo, выдвигается идея о том, что инфраструктура оператора якобы доказывает, будто он всего лишь неорганизованный участник сообщества открытого исходного кода. Домен, который на протяжении десятилетия находился за защитой российского «непробиваемого» сервиса по отражению DDoS-атак, оплачиваемого через офшорные корпоративные структуры в Белизе, не вписывается в образ «парня с страницей на GitHub». Ни один здравомыслящий наблюдатель — технический специалист или нет — не примет такую интерпретацию. Мы отмечаем это здесь, поскольку молчание можно принять за согласие.
Принцип очистки: учетные записи, а не только комментарии
В ходе нашего трехлетнего расследования мы наблюдали в режиме реального времени за тем, как работает механизм подавления информации на трёх разных платформах. Эта тенденция проявлялась настолько последовательно, что мы каждый раз стали архивировать материалы перед их публикацией.
- GitHub. Весь счета в которых были опубликованы вопросы или комментарии со ссылкой на
xmrwallet[.]comбыли удалены — не отдельные комментарии, не ветки обсуждений, а аккаунты целиком. У нас есть архивные копии ветки обсуждения на Wayback Machine, где при переходе на страницу профиля комментатора теперь выдает ошибку 404. Любой, кто проводит расследование, может в рамках надлежащей юридической процедуры запросить у GitHub информацию о том, сколько пользовательских аккаунтов с сообщениями, в которых упоминаетсяxmrwalletбыли закрыты в период с 2018 по 2026 год, и по каким причинам. Мы ожидаем, что это число будет немалым. - Trustpilot. Десятки правдивых отрицательных отзывов удалялись несколькими волнами. Удаления происходили приуроченно к каждому циклу публичных жалоб, что свидетельствует о скоординированных действиях, а не о естественной модерации. Опять же, окончательным доказательством служит внутренний журнал удалений Trustpilot, предоставленный по судебному запросу.
- X (Twitter). Критические отзывы в адрес аккаунтов, связанных с мошенничеством, исчезали с такой скоростью, которую трудно объяснить обычными правилами платформы. После того, как мы
@Phish_DestroyКогда аккаунт в конце концов заблокировали под надуманным предлогом (см. приведенные выше подтверждения по электронной почте), картина стала ясна. Тот же самый сценарий подавления, который годами применялся против отдельных авторов жалоб, теперь был запущен в отношении исследовательского аккаунта.
Хотим уточнить: мы не утверждаем, что речь идет о телепатии. Мы утверждаем, что существует документально подтвержденная хронология событий. Опубликовать. Поместить в архив. Удалить. И так по кругу — на трёх платформах, для одной и той же целевой аудитории, на протяжении десятилетия, при этом регистратор никогда не переносит домен. Для этой хронологии не нужны теории заговора. Для этого достаточно подать запрос на предоставление публичных документов.
Если вы стали жертвой xmrwallet[.]com — Просьба выйти вперед
Мы знаем, что таких, как вы, гораздо больше. К нам в частном порядке обращались люди, которые лишились своих средств и боялись выступить публично, пока оператор продолжал свою деятельность, а его регистратор по-прежнему открыто его защищал. Сейчас ситуация изменилась. Операция раскрыта, инфраструктура задокументирована, а правоохранительные органы в странах ЕС ведут расследование по данному делу.
xmrwallet[.]com — три практических шага- Подать официальное заявление в полицию в стране вашего проживания. Укажите домен
xmrwallet[.]com, примерную дату и сумму, а также адрес кошелька получателя, если он у вас есть. Полицейский протокол — это то, что позволяет разблокировать запросы на размораживание средств на бирже. - Сохраните каждый артефакт: скриншоты, история браузера, подтверждения по электронной почте, идентификаторы транзакций, адреса кошельков, подписи на подтверждение. Не стоит полагаться на то, что на следующей неделе эта информация будет доступна в сети. Сохраняйте данные локально и отправить archive.org.
- Расскажите нам. Напишите report@phishdestroy.io или напишите в личные сообщения через @PhishDestroy_bot. Мы не разглашаем ваши личные данные без вашего согласия. Ваше свидетельство — даже анонимное — укрепляет позицию в деле против тех структур, которые способствовали совершению кражи.
Вниманию органов, которые действительно могут обязать раскрыть информацию — отдела по обеспечению соблюдения требований ICANN, органов ЕС, ответственных за соблюдение GDPR, Канадского центра по борьбе с мошенничеством (оператор является канадским), соответствующих налоговых органов, а также любого суда, в юрисдикции которого находится операционная компания NameSilo: исходные материалы сохранены и доступны по запросу. Квитанции о доставке, скриншоты из Wayback Machine, статья на Medium, схема инфраструктуры доменных отчетов и показания потерпевших с подписанным согласием. Мы не утаиваем доказательства. Мы храним их в том виде, в котором вы действительно сможете их использовать.
Называя чёрное белым, его белым не сделаешь. Десятилетие открытых фактов, более 20 задокументированных сообщений о злоупотреблениях, надежно защищённая «машина для краж», скоординированное удаление аккаунтов на трёх платформах, заблокированный исследовательский аккаунт и оператор, чьё имя уже известно общественности — это не проблема пиара. Это проблема юрисдикции. Мы уверены, что в открытых источниках уже содержится достаточно информации для её решения.
Жертвы: кому на самом деле был нанесен ущерб
Неявный аргумент NameSilo, заключающийся в том, что компания предпочла нажать кнопку о злоупотреблении платформой, а не опровергнуть информацию, сводится к следующему: «Нам не понравилось, что нас разоблачили». Это понятно. Людям редко нравится, когда их разоблачают. Но давайте сравним эти два вида вреда.
Ущерб, нанесенный NameSilo в результате наших публикаций: неловкость.
Ущерб, нанесенный жертвам в результате деятельности NameSilo, скрывавшийся в течение десяти лет:
- Один пользователь: 590 XMR (около 177 000 долларов США) потерянные в результате одной взломанной транзакции.
- Первые зафиксированные случаи: 15 (Trustpilot, Sitejabber, BitcoinTalk).
- Регионы: различные регионы (это подтверждается показаниями потерпевших).
- Подтвержденный совокупный объем: более 20 млн долларов. Эта информация основана на заявлениях потерпевших, которые мы можем проверить в каждом отдельном случае.
- Наше мнение, основанное на имеющейся информации, но не подтвержденное: более 100 млн долларов. Исходя из данных о количестве пострадавших и продолжительности операции. Мы приводим эту информацию в качестве предположения и не можем подтвердить её публично. Компания NameSilo также не может достоверно опровергнуть её, не раскрыв свои собственные данные.
- Важное примечание по ценам. Общая сумма наших убытков рассчитывается по курсу XMR во время каждой кражи, а не по сегодняшнему курсу Monero. Приведенные выше цифры отражают реальные суммы в долларах США, которые потерпевшие потеряли на момент потери средств.
- Действующие уголовные дела в странах ЕС. Это уже не просто научные исследования — это работа правоохранительных органов.
С момента публикации, к нам напрямую обратились новые пострадавшие с указанием сумм убытков по каждому случаю и идентификаторов транзакций. Мы сохраняем эти отчеты и проверяем их достоверность.
Рассматривать эти два вида вреда как сопоставимые — позволяя регистратору заставить замолчать исследователя, зафиксировавшего эту операцию, — само по себе является провалом политики.
Постоянный архив
Блокировка аккаунта в Twitter не приводит к удалению доказательств. Всё, что имеет отношение к этому делу, сохраняется в архиве:
- Каждое публичное заявление NameSilo в защиту
xmrwalletоператор — Wayback Machine, Archive.today, наш репозиторий доказательств на GitHub. - Скриншоты кода, связанного с кражей данных в режиме реального времени в рабочей среде, с отметками времени.
- Проведено обратное проектирование и опубликовано 8 конечных точек PHP.
- Полная цепочка сообщений в рамках процедуры подачи жалобы о нарушении
- Вся наша лента X дублируется на Mastodon, Bluesky, Medium, Telegram, GitHub и IPFS.
- Ежечасные снимки
phishdestroy.ioсам по себе, 14-дневный срок хранения, установленный специально для того, чтобы ничто из написанного нами не исчезло незаметно.
Если какой-либо из зеркальных серверов перестанет работать, контент останется доступен на остальных семи. Эта архитектура появилась раньше, чем NameSilo. И она просуществует дольше, чем они.
Было ли это справедливо? Пять вопросов для всех читателей
Это не риторические вопросы. Ознакомьтесь с приведенными выше фактами, а затем ответьте на них самостоятельно — в частном порядке, в своей ленте или при принятии решения о том, оставить ли домены или перенести их.
- Справедливо ли блокировать исследователя в области информационной безопасности за то, что он публично отреагировал на собственное публичное заявление регистратора? Регистратор начал разговор. Исследователь ответил фактами. Замолчала только одна сторона.
- Приемлемо ли, чтобы регистратор в своем публичном заявлении отвергал подтвержденные исследования как несерьезные и одновременно предлагал мошеннику помощь в обходе систем безопасности? Оба случая упоминаются в одном заявлении NameSilo. О жертвах в нем нигде не говорится.
- Допустимо ли, чтобы X официально отозвал своё обоснование блокировки в письменной форме («нарушения не было, доступ восстановлен») и тем не менее оставил блокировку в силе? Согласно последнему решению самой компании X, аккаунт должен быть активен.
- Допустимо ли, чтобы с оплачиваемой подписки на верификацию продолжали списывать средства, если соответствующий аккаунт заблокирован? Если услуга не предоставляется, является ли это дефектом товара или нарушением договора?
- Что означает «хорошая репутация» у регистратора, аккредитованного ICANN Может ли аккредитованный регистратор использовать каналы обратной связи сторонней платформы в своих интересах, чтобы заставить замолчать исследователя, фиксирующего неэффективность его мер по реагированию на злоупотребления? Это вопрос, касающийся соблюдения нормативных требований, и он добавляется в существующую форму RAA § 3.18.
Если бы кто-то ответил: «Нет, это несправедливо»
Вот три конкретных шага, не требующих затрат, в порядке возрастания их эффективности.
1. Опубликуйте это
Молчаливое неодобрение ничего не дает. А вот открытое давление — да. Один клик, форма уже заполнена:
2. Обратитесь к участникам по имени
Отметьте их. Молчаливое неодобрение ничего не дает. А вот заметные вопросы читателей не останутся незамеченными.
- @NameSilo — это
@Phish_Destroyзапрет, связанный с вашим публичным заявлением о готовности помочьxmrwalletУдаляются ли обнаружения оператора? - @X / @XSupport / @elonmusk — В электронном письме № 2 говорится: «восстановлена полная функциональность». Аккаунт заблокирован. Какое из этих решений имеет силу?
- @ICANN — распространяется ли действие пункта 3.18 Правил RAA на меры возмездия со стороны регистратора в отношении исследователей?
- @Tucows — Соответствуют ли меры возмездия за злоупотребление платформой в отношении исследователей стандартам OpenSRS для реселлеров?
3. Перенесите свои домены (это самое неприятное)
Компании реагируют на потерю доходов, а не на твиты. Переводы занимают около пятнадцати минут. Наш страница статистики регистратора содержит список регистраторов с безупречной репутацией в плане реагирования на злоупотребления. Каждый перенесенный домен — это показатель количества продлений, который руководство NameSilo увидит в следующем квартале.
Если вы представляете организацию — криптовалютный проект, платформу по поиску уязвимостей, журналистское издание, компанию, занимающуюся анализом угроз — с где домен в NameSilo: подумайте, что значит поддерживать регистратора, который прикрывал операцию по хищению средств на сумму более 20 миллионов долларов, а затем заставил замолчать исследователя, задокументировавшего это. Вы можете сделать этот шаг публично. Это будет иметь вес.
Заключительное слово
Невозможно в течение десяти лет прикрывать преступную схему, приносящую более 20 миллионов долларов, публично лгать об этом, мстить исследователю, который вас разоблачил, — и при этом надеяться, что все это тихо забудется. Особенно если этим делом занимаются правоохранительные органы ЕС.
Мы не просим вас поверить нам на слово. Каждое из приведенных выше утверждений сопровождается ссылкой, подтверждено документально, имеет отметку о времени, заархивировано вне нашего сайта и может быть воспроизведено. Мы просим вас ознакомиться с доказательствами, самостоятельно ответить на пять вопросов и действовать в соответствии со своим ответом. Именно в этом заключается справедливость — когда читатель знакомится с доказательствами и принимает решение. Именно этому и призвано помешать замалчивание.
PhishDestroy — это проект по сбору информации об угрозах, основанный на работе волонтеров. Никаких выплат, никакого спонсорства, никаких одолжений. Мы публикуем то, что находим. Из-за этого нас заблокировали на NameSilo.
Оригинальное расследование: phishdestroy.io/xmrwallet-namesilo-exposed
Среднее исследование (первоисточник): phishdestroy.medium.com/xmrwallet-com-2953f35b8a79
Репозиторий доказательств: github.com/PhishDestroy
