NameSilo уничтожило наш Twitter Потому что мы рассказали о них правду
О 3 апреля 2026 года, X заблокировано два аккаунта PhishDestroy сославшись на «проблему с оплатой» и пообещав, что деньги за оплаченные подписки будут возвращены. Возврат средств так и не состоялся. Через одиннадцать дней, 14 апреля, X привёл новое обоснование: «Недостоверные действия — отмена решения не обоснована». Мы подали апелляцию. Автоматическая система компании X ответила в письменной форме: «Нарушений не выявлено — аккаунт восстановлен в полном объеме».Счета по-прежнему заблокированы. Деньги до сих пор не возвращены. Причина, указанная в объяснении, к настоящему моменту менялась уже три раза. Две недели назад мы раскрыли, что NameSilo прикрывала операцию по хищению монет Monero на сумму более 20 млн долларов — в настоящее время по этому делу ведется активное уголовное расследование со стороны ЕС.

«The Receipts»: X противоречит самому себе в своих текстах
Два официальных письма от службы поддержки X. Один и тот же аккаунт. Одна и та же жалоба. Противоположные решения. Второе письмо пришло позже. Прочитайте их по порядку.

Здравствуйте,
Мы рассмотрели Вашу апелляцию в отношении счета, @phish_destroy.
Наша служба поддержки установила, что действительно имело место нарушение наших Правил, а именно:
Нарушение наших правил, запрещающих неаутентичное поведение.
Мы рассмотрели предоставленную дополнительную информацию и постановили, что в данном случае нет оснований для отмены нашего первоначального решения. Поэтому мы не отменим наше решение о блокировке вашей учетной записи.
Спасибо,
X Поддержка
Здравствуйте,
Мы рассмотрели Вашу апелляцию в отношении счета, @phish_destroy.
Наши автоматизированные системы установили, что нарушения не было, и восстановили полную функциональность вашей учетной записи.
Спасибо,
X Поддержка
Письмо № 2 представляет собой более позднее решение. Оно прямо отменяет решение, изложенное в письме № 1. В нем — в письменной форме, на бланке компании X — говорится, что счет был восстановлена полная работоспособность. Аккаунт не восстановлен. С оплаченной подписки продолжают списывать деньги. Третьего письма, отменяющего письмо № 2, не поступало. Последнее обещание, данное нам компанией X, просто не выполняется.
Либо письмо № 2 — подлинное — система автоматизации рассмотрела апелляцию, пришла к выводу об отсутствии нарушений, однако некая неназванная сторона продолжает применять запрет, несмотря на это решение.
Или адрес электронной почты № 2 несуществующий — оно было отправлено по ошибке, действительным решением по-прежнему является письмо № 1, и X не выпустил письменного исправления.
Третьего варианта нет. Оба варианта бросают тень на X. Один из них — катастрофически.
Почему это произошло

27 марта мы опубликовали Конец xmrwallet[.]com: NameSilo солгала, чтобы защитить криптовалютного мошенника. Результаты расследования подтвердились: дампы конечных точек PHP, заархивированные запросы, более 15 задокументированных жертв. Три независимых регистратора (из Индии, Малайзии и Китая) изучили те же доказательства и заблокировали свои xmrwallet домены за несколько дней. Только NameSilo встало на защиту мошенника.
Важно то, что произошло дальше. Важна последовательность событий:
- Мошенник сначала написал нам напрямую по электронной почте — ещё до того, как NameSilo выступило с каким-либо публичным заявлением, ещё до подачи какой-либо апелляции. В своём электронном письме он посоветовал нам «подать в суд на регистратора». Такую фразу не напишет одиночный мошенник исследователю, который его преследует. Такую фразу пишет тот, кто уже знает, что регистратор его поддержит. Мы никогда не наблюдали подобной реакции ни у одного из мошенников, о которых мы вели документацию.
- После этого NameSilo выступила с публичным заявлением содержащие две доказанные неправды, приведённые дословно и архивировано в рамках нашего расследования на Medium:
• «Домен был взломан несколько месяцев назад» — что опровергается тем фактом, что собственный код оператора, предназначенный для предотвращения краж, по-прежнему работал в производственной среде на момент заявления NameSilo.
• «До этого мы не получали никаких сообщений о злоупотреблениях» — что опровергается нашими квитанциями о доставке, касающимися нескольких предыдущих заявлений о злоупотреблениях, сопровождаемых полным комплексом технических доказательств.
В том же заявлении также говорилось: «Регистрант предпринимает шаги для исключения из отчётов VT», что подтверждает: NameSilo явно поддержала попытку оператора удалить сигналы VirusTotal в то время, когда код, связанный с кражей, все еще действовал. - В том же заявлении, NameSilo отвергло результаты нашего исследования как несерьезные и публично предложил помочь оператору добиться удаления результатов сканирования от поставщиков решений безопасности (VirusTotal, Fortinet) — при том, что код, используемый для кражи данных, по-прежнему оставался активным.
- Мы ответил, приведя факты в связи с этим публичным заявлением. Никаких домогательств. Никакого спама. Никакого доксинга. Мы внесли исправления в том же месте, которое выбрала компания NameSilo.
- Семь дней спустя, Были заблокированы две учетные записи PhishDestroy X. Указанная причина: «оплата». Подписки были оплачены. 14 апреля причина изменилась на «неаутентичное поведение». После подачи апелляции причина снова изменилась на «нарушений нет, доступ восстановлен». Блокировка и невозвращенные платежи остались без изменений.
NameSilo не смогла опровергнуть эти доказательства — три независимых регистратора приняли меры на их основании. Поэтому они поступили так, как xmrwallet то, что оператор делал с критиками на протяжении десяти лет: воспользовался бюрократическим каналом, чтобы заглушить этот голос, не обращая внимания на факты. Оператор удалил более 20 учетных записей на GitHub и более 200 отзывов на Trustpilot. У NameSilo заблокировали аккаунт в X. Та же самая схема, но уже на корпоративном уровне.
Есть ли связь между NameSilo и мошенником?
Этот xmrwallet[.]com Оператор уверенно отвечал на жалобы о злоупотреблениях, публиковал твиты вместе с регистратором, придерживаясь согласованных тезисов, и за десять лет, несмотря на постоянные жалобы, ни разу не перенес домен. Так не ведут себя нервничающие мошенники. Так ведут себя мошенники, у которых есть договоренность.
В более чем ста случаях с фишинговыми операторами, которые мы зафиксировали, мы никогда раньше не сталкивались с именно такой последовательностью действий:
- Мошенник написал нам первым. Еще до того, как NameSilo сделало какое-либо публичное заявление, еще до подачи какой-либо апелляции — сам оператор направил электронное письмо в PhishDestroy. Личность подтверждается в Среднее расследование: эти электронные письма пришли от
xmrwallet[.]comоператор, которого можно идентифицировать по следам его собственного репозитория как Натали Рой (Канада), GitHubnathroy, Redditu/WiseSolution, запрещено вr/Moneroв 2018 году. - Его точные слова (дословно, из архива):«Не стесняйтесь выдать повестку регистратору домена». Не «удалите это». Не «я исправлю это». Он прямо указал нам на своего собственного регистратора как на сторону, к которой следует обратиться — словно он уже знал, что регистратор не примет против него никаких мер, и был уверен, что их правовая позиция выдержит проверку. Эта цитата сохранилась в нашем Расследование издания «Medium» (16 марта 2026 г.).
- Только тогда NameSilo вышла на биржу с прикрытием в виде истории о том, что «нашего клиента взломали» — прикрытием, опровергаемым по-прежнему действующим кодом кражи, — и утверждением о том, что «ранее не поступало никаких сообщений о злоупотреблениях», опровергаемым нашими квитанциями о доставке.
- Затем NameSilo превратил канал, предназначенный для злоупотребления платформой, в инструмент для атак против нас — используя тот же сценарий подавления мнений, который этот оператор уже применял на GitHub (удалено более 20 аккаунтов), Trustpilot (удалено более 200 отзывов) и BitcoinTalk.
Инфраструктура оператора не похожа на инфраструктуру любителя. Согласно нашим Среднее расследование, xmrwallet[.]com размещен на $550/month bulletproof hosting via IQWeb FZ-LLC (зарегистрировано в Белиз), позади DDoS-Guard (Россия). Это профессионально организованная, тщательно подготовленная и защищенная от атак система — а не разовый мошеннический сайт. То, что один оператор управляет заранее подготовленной, надежно защищенной инфраструктурой, а его регистратор при этом публично выпускает заявление в его защиту, свидетельствует, как минимум, о необычайно скоординированной операции.
Мы не можем доказать наличие такой связи, опираясь на данные, не содержащиеся в бухгалтерских документах NameSilo. Это можно было бы сделать только на основании их внутренних записей. Однако, исходя из имеющихся данных, остаются два объяснения: либо этот оператор — самый самоуверенный криптовалютный мошенник последнего десятилетия, который верно рассчитал, что его регистратор инстинктивно прикроет его, — или Между ними существует нераскрытая связь. Первый случай заслуживает общественного внимания. Второй — вызова в суд. Правоохранительные органы стран ЕС в настоящее время ведут расследование по данному делу.
Прямые доказательства: что компания NameSilo заявила публично и что произошло на самом деле
В предыдущих абзацах описана общая картина. В этом разделе приводятся конкретные фактические противоречия между публичными заявлениями компании NameSilo и нашими собственными данными, полученными из первых рук. Мы не просим никого верить нам на слово — каждый из приведённых ниже пунктов можно проверить с помощью сторонних архивов, квитанций о доставке и сервиса Wayback Machine.
- Публичное заявление: «ранее не поступало сообщений о злоупотреблениях / сообщения не поступали в установленные сроки».
Наши результаты: команда PhishDestroy лично прислала более 20 уведомлений о нарушениях за три года (2023–2026 гг.) дляxmrwallet[.]comи связанную с ней инфраструктуру. Каждый запрос отправлялся через официальный канал NameSilo для сообщений о злоупотреблениях, при этом генерировался отслеживаемый номер, и — в ряде случаев — поступали подтверждения от автоответчика, которые до сих пор хранятся в нашем почтовом архиве. Мы сохранили эти подтверждения. Мы предоставим их в полном объеме любому органу ICANN, органу по вопросам GDPR, правоохранительным органам ЕС или суду, которые запросят их. Регистратор, заявляющий «мы ничего не получали» спустя три года после задокументированный Жалобы — это не административная оплошность. Это доказуемое искажение фактов. - Публичное заявление: «Это был единичный случай; аккаунт клиента был взломан».
Наши результаты: код кражи вxmrwallet[.]comоставался в сети на протяжении всего десять лет подряд с таким же поведением при замене кошелька, таким же «отпечатком» оператора (Натали Рой / nathroy / u/WiseSolution), а также тот же «непробиваемый» стек ($550/mo IQWeb FZ-LLC in Belize behind DDoS-Guard). Компромисс, который длится целое десятилетие и обеспечивает стабильные, надежные выплаты, — это не компромисс. Это бизнес. Мы лично знаем об этом — и имеем разрешение на упоминание — по крайней мере один человек, близкий к нашей команде который понес убытки в связи с этим конкретным доменом ещё до того, как мы начали публичное расследование. Речь идёт не о теоретическом ущербе. Речь идёт о конкретном человеке. - Версия о том, что DDoS-Guard → GitHub — это неправдоподобно.
В нарративах, ориентированных на NameSilo, выдвигается идея о том, что инфраструктура оператора каким-то образом доказывает, будто он всего лишь неорганизованный участник сообщества открытого исходного кода. Домен, который на протяжении десятилетия находился за защитой российского «непробиваемого» сервиса по отражению DDoS-атак, оплачиваемого через офшорные корпоративные структуры в Белизе, не вписывается в образ «парня со страницей на GitHub». Ни один здравомыслящий наблюдатель — технический специалист или нет — не примет такую интерпретацию. Мы отмечаем это здесь, поскольку молчание можно было бы принять за согласие.
Принцип очистки: аккаунты, а не только комментарии
В ходе нашего трёхлетнего расследования мы наблюдали в режиме реального времени за действием механизма подавления информации на трёх различных платформах. Эта закономерность проявлялась настолько последовательно, что мы каждый раз начинали архивировать материалы ещё до их публикации.
- GitHub. Весь счета в которых были опубликованы вопросы или комментарии со ссылкой на
xmrwallet[.]comбыли удалены — не отдельные комментарии, не ветки обсуждений, а аккаунты целиком. У нас есть архивные копии ветки обсуждения на Wayback Machine, где при переходе на профиль комментатора теперь выдает ошибку 404. Любой, кто проводит расследование, может в рамках надлежащей юридической процедуры запросить у GitHub информацию о том, сколько пользовательских аккаунтов с сообщениями, в которых упоминаетсяxmrwalletбыли закрыты в период с 2018 по 2026 год, и по какой именно причине. Мы ожидаем, что это число будет значительным. - Trustpilot. Десятки правдивых отрицательных отзывов были удалены в ходе нескольких последовательных волн. Удаления происходили группами, совпадая по времени с каждым циклом публичных жалоб, что свидетельствует о скоординированных действиях, а не о естественной модерации. И вновь окончательным доказательством служит внутренний журнал удалений Trustpilot, предоставленный по судебному предписанию.
- X (Twitter). Критические комментарии в адрес аккаунтов, связанных с мошенничеством, исчезали с такой скоростью, которую трудно объяснить обычными правилами платформы. После того, как мы
@Phish_DestroyКогда аккаунт в конечном итоге был заблокирован по постоянно меняющемуся поводу (см. приведенные выше подтверждения по электронной почте), картина стала ясной. Тот же самый сценарий подавления, который годами применялся против отдельных заявителей, теперь был задействован в отношении исследовательского аккаунта.
Хотим уточнить: мы не утверждаем, что речь идет о телепатии. Мы утверждаем, что существует задокументированная хронология событий. Опубликовать. Поместить в архив. Удалить. И так по кругу — на трёх платформах, для одной и той же целевой аудитории, на протяжении десятилетия, при этом регистратор никогда не переносит домен. Для этой хронологии не нужна теория заговора. Для этого достаточно подать запрос на предоставление публичных документов.
Если вы стали жертвой xmrwallet[.]com — Просьба выйти вперед
Мы знаем, что таких, как вы, гораздо больше. К нам в частном порядке обращались люди, которые лишились своих средств и боялись выступить публично, пока оператор продолжал свою деятельность, а его регистратор по-прежнему публично его защищал. Сейчас ситуация изменилась. Операция раскрыта, инфраструктура задокументирована, а правоохранительные органы в странах ЕС ведут расследование по данному делу.
xmrwallet[.]com — три практических шага - Подать официальное заявление в полицию в стране вашего проживания. Укажите домен
xmrwallet[.]com, примерную дату и сумму, а также адрес кошелька получателя, если он у вас есть. Полицейский протокол — это то, что позволяет разблокировать последующие запросы на размораживание средств со стороны биржи. - Сохраните каждый артефакт: скриншоты, история браузера, подтверждения по электронной почте, идентификаторы транзакций, адреса кошельков, подписи на подтверждение. Не стоит полагать, что на следующей неделе что-либо из этого будет доступно в сети. Сохраняйте данные локально и отправить в archive.org.
- Расскажите нам. Напишите по адресу report@phishdestroy.io или напишите мне в личные сообщения через @PhishDestroy_bot. Мы не разглашаем вашу личность без вашего согласия. Ваше свидетельство — даже анонимное — укрепляет дело против инфраструктуры, которая сделала возможным эту кражу.
Вниманию организаций, которые действительно могут обязать раскрыть информацию — отдела по обеспечению соблюдения требований ICANN, органов ЕС, ответственных за соблюдение GDPR, Канадского центра по борьбе с мошенничеством (оператор является канадским), соответствующих налоговых органов, а также любого суда, в юрисдикции которого находится операционная компания NameSilo: исходные материалы сохранены и доступны по запросу. Подтверждения доставки, скриншоты из Wayback Machine, статья на Medium, график инфраструктуры доменных отчетов и показания потерпевших с подписанным согласием. Мы не утаиваем доказательства. Мы храним их в том виде, в котором вы действительно сможете их использовать.
Называя чёрное белым, белым его не сделаешь. Десятилетие открытых доказательств, более 20 задокументированных уведомлений о злоупотреблениях, «непробиваемая» система краж, скоординированные удаления аккаунтов на трёх платформах, заблокированный исследовательский аккаунт и оператор, чьё имя уже известно общественности — это не проблема пиара. Это проблема юрисдикции. Мы уверены, что в открытых источниках уже имеется достаточно информации для её решения.
Жертвы: кому на самом деле был нанесён ущерб
Неявный аргумент NameSilo, заключающийся в том, что компания предпочла воспользоваться кнопкой «О нарушении правил платформы», а не опровергнуть информацию, сводится к следующему: «Нам не понравилось, что нас разоблачили». Вполне понятно. Людям редко нравится, когда их разоблачают. Но давайте сравним эти два вида вреда.
Ущерб, нанесённый NameSilo в результате наших публикаций: неловкость.
Ущерб, нанесённый жертвам в результате деятельности организации NameSilo, которая укрывала их в течение десяти лет:
- Один пользователь: 590 XMR (около 177 000 долларов) потерянные в результате одной взломанной транзакции.
- Первые зафиксированные случаи: 15 (Trustpilot, Sitejabber, BitcoinTalk).
- Регионы: различные регионы (об этом свидетельствуют показания потерпевших).
- Подтверждённый совокупный объём: более 20 млн долларов. Эта информация основана на сообщениях пострадавших, которые мы можем проверить в каждом отдельном случае.
- Наше мнение, основанное на имеющейся информации, но не подтвержденное: более 100 млн долларов. Исходя из данных о количестве пострадавших и продолжительности операции. Мы приводим эту информацию в качестве предположения и не можем подтвердить её публично. Компания NameSilo также не может достоверно опровергнуть её, не раскрыв свои собственные данные.
- Важное примечание по ценам. Общая сумма наших убытков рассчитывается по курсу XMR во время каждой кражи, а не по сегодняшнему курсу Monero. Приведенные выше цифры отражают фактические суммы в долларах США, которые потерпевшие потеряли в момент потери средств.
- Действующие уголовные дела в юрисдикциях стран ЕС. Это уже не просто научные исследования — это правоохранительная деятельность.
С момента публикации, к нам напрямую обратились ещё несколько пострадавших с указанием сумм отдельных убытков и идентификаторов транзакций. Мы сохраняем эти отчеты и проверяем их достоверность.
Рассматривать эти два вида вреда как сопоставимые — позволяя регистратору заставить замолчать исследователя, задокументировавшего операцию, — само по себе является провалом политики.
Постоянный архив

Блокировка аккаунта в Twitter не приводит к удалению доказательств. Всё, что имеет отношение к данному делу, сохраняется в архиве:
- Каждое публичное заявление NameSilo в защиту
xmrwalletоператор — Wayback Machine, Archive.today, наш репозиторий доказательств на GitHub. - Скриншоты кода, связанного с кражей данных в режиме реального времени в производственной среде, с отметками времени.
- Проведено обратное проектирование и опубликованы 8 конечных точек PHP.
- Полная цепочка сообщений, связанных с сообщением о нарушении.
- Вся наша лента X дублируется на Mastodon, Bluesky, Medium, Telegram, GitHub и IPFS.
- Ежечасные моментальные снимки
phishdestroy.ioсам по себе, 14-дневный срок хранения, установленный специально для того, чтобы ничто из написанного нами не могло незаметно исчезнуть.
Если какой-либо из зеркальных серверов перестанет работать, контент останется доступен на остальных семи. Эта архитектура появилась раньше, чем NameSilo. И она просуществует дольше, чем они.
Было ли это справедливо? Пять вопросов для всех читателей

Это не риторические вопросы. Ознакомьтесь с приведёнными выше фактами, а затем ответьте сами — в частном порядке, в своей ленте или при принятии решения о том, оставить ли свои домены или перенести их.
- Справедливо ли блокировать исследователя в области безопасности за то, что он публично отреагировал на собственное публичное заявление регистратора? Регистратор начал разговор. Исследователь ответил фактами. Замолчала только одна сторона.
- Приемлемо ли, чтобы регистратор в своём публичном заявлении отвергал документально подтверждённые исследования как несерьёзные и одновременно предлагал мошеннику помощь в обходе систем обнаружения угроз? Оба случая упоминаются в одном заявлении компании NameSilo. О жертвах в нём нигде не говорится.
- Допустимо ли, чтобы X официально отозвал своё обоснование блокировки в письменной форме («нарушения нет, доступ восстановлен») и тем не менее оставил блокировку в силе? Согласно самому последнему решению компании X, аккаунт должен быть активен.
- Допустимо ли, чтобы с оплачиваемой подписки на верификацию продолжали списывать средства, пока соответствующая учетная запись заблокирована? Если услуга не предоставляется, является ли это товаром — или нарушением договора?
- Что означает «хорошая репутация» регистратора, аккредитованного ICANN? Может ли аккредитованный регистратор использовать каналы обращения о злоупотреблениях сторонней платформы в своих интересах, чтобы заставить замолчать исследователя, документирующего неэффективность его мер по реагированию на злоупотребления? Это вопрос, касающийся соблюдения нормативных требований, и он добавляется в существующую документацию по § 3.18 RAA.
Если какой-либо ответ был «Нет, это несправедливо»
Вот три конкретных шага, не требующих затрат, перечисленных в порядке возрастания их эффективности.
1. Опубликовать
Тихое неодобрение ничего не дает. А вот открытое давление — да. Один клик, форма уже заполнена:
2. Обратитесь к сторонам по имени
Отметьте их. Молчаливое неодобрение ничего не дает. А вот заметные вопросы читателей не остаются незамеченными.
- @NameSilo — это
@Phish_Destroyзапрет, связанный с вашим публичным заявлением, в котором вы предложили помощьxmrwalletОператор удалил обнаружения? - @X / @XSupport / @elonmusk — В электронном письме № 2 говорится: «восстановлена полная функциональность». Аккаунт заблокирован. Какое решение имеет силу?
- @ICANN — распространяется ли действие пункта 3.18 RAA на меры возмездия со стороны регистратора в отношении исследователей?
- @Tucows — Соответствуют ли меры возмездия за злоупотребление платформой в отношении исследователей вашим стандартам для реселлеров OpenSRS?
3. Перенесите свои домены (это самое неприятное)
Компании реагируют на потерю доходов, а не на твиты. Переводы занимают около пятнадцати минут. Наш страница статистики регистратора содержит список регистраторов с безупречной историей реагирования на случаи злоупотребления. Каждый перенесенный домен — это показатель количества продлений, который руководство NameSilo увидит в следующем квартале.
Если вы представляете организацию — криптовалютный проект, платформу по поиску уязвимостей с вознаграждением, журналистское издание, компанию, занимающуюся анализом угроз — и любой домен в NameSilo: задумайтесь, что значит поддерживать регистратора, который прикрывал операцию по хищению средств на сумму более 20 млн долларов, а затем заставил замолчать исследователя, задокументировавшего этот случай. Вы можете сделать этот шаг публично. Это будет иметь большой вес.
Заключительное слово

Невозможно в течение десяти лет прикрывать преступную схему, связанную с хищением более 20 млн долларов, публично лгать об этом, мстить исследователю, который вас разоблачил, — и при этом надеяться, что всё это тихо забудется. Особенно если этим делом занимаются правоохранительные органы ЕС.
Мы не просим вас верить нам на слово. Каждое из приведённых выше утверждений подкреплено ссылками, документально подтверждено, имеет отметку времени, заархивировано вне нашего сайта и может быть воспроизведено. Мы просим вас ознакомиться с доказательствами, самостоятельно ответить на пять вопросов и действовать в соответствии со своим ответом. Именно так выглядит справедливость — когда читатель знакомится с доказательствами и принимает решение. И именно этому и призвано противостоять замалчивание.
PhishDestroy — это независимый ресурс по анализу угроз. Никаких выплат, никакого спонсорства, никаких одолжений. Мы публикуем то, что обнаруживаем. Из-за этого NameSilo заблокировал наш доступ.
Оригинальное исследование: phishdestroy.io/xmrwallet-NameSilo-exposed
Среднее исследование (первоисточник): PhishDestroy.medium.com/xmrwallet-com-2953f35b8a79
Репозиторий доказательств: github.com/PhishDestroy



