NameSilo Захистив фігуранта справи про виведення коштів з криптовалюти на суму 100 млн доларів
— Тоді Ми заблокували наш акаунт у Twitter
Реєстратор, акредитований ICANN, опублікував 4 задокументовані брехні щоб приховати 10-річну операцію з крадіжки Monero, запропонували очистити свій запис на VirusTotal, поки система викачування коштів ще працювала, а потім скористалися платною позначкою X Gold Checkmark, щоб заблокувати дослідників, які довели їхню неправоту. Їхній інженер з DevOps: колишній керівник ІТ-відділу російської фінансової піраміди протягом десятиліття.
Ця стаття є попереднім оглядом. Повні докази, архіви IPFS та всі вихідні матеріали можна знайти за посиланням вище.
Історія питання: що таке xmrwallet.com насправді
xmrwallet.com — це не фішингова сторінка. Це повністю функціональний гаманець Monero із «задніми дверцятами» на стороні сервера створений у 2018 році та працює до травня 2026 року — майже десятиліття. Репозиторій на GitHub є лише публічною вітриною. Код, що здійснює крадіжку, існує виключно на виробничому сервері, його ніколи не заносили до репозиторію та ніколи не перевіряли.
Кожна взаємодія користувача надсилає приватний ключ перегляду на сервери оператора за допомогою запиту POST, закодований у Base64 у змінній під назвою session_key — приблизно 40 передач за сеанс. Транзакція на стороні клієнта явно скасовується (raw_tx_and_hash.raw = 0); сервер створює власний, використовуючи викрадені ключі.
Аудит NewAlchemy отримав 67 голосів «за» на Reddit і протягом багатьох років використовувався як показник надійності. Його чітко визначена сфера застосування: «Тільки JavaScript на стороні клієнта». Явно не входить до сфери застосування: «численні кінцеві точки API PHP». Саме ці кінцеві точки і є власне механізмом крадіжки. Аудит був структурно не в змозі виявити цей «задній хід».
Ця крадіжка за своєю суттю є вибірковою. Невеликі суми залишаються недоторканими роками, що дозволяє завоювати довіру та отримати позитивні відгуки. Великі суми викрадаються за лічені хвилини. Одна з задокументованих жертв внесла 590 XMR — ці кошти зникли за 2 дні. За найскромнішими підрахунками, загальна сума по понад 15 задокументованих жертв становить: Викрадено 5 000–50 000+ XMR (від 1,5 млн до понад 15 млн доларів за історичними цінами). 60 % дописів жертв були масово заблоковані та видалені до того, як вдалося зберегти докази.
session_key оператору під час кожного сеансу.Ми відтворили витік ключів на основі gtag у демонстраційній версії в пісочниці. Відкрийте DevTools → вкладка «Мережа» → взаємодійте з гаманцем. Дивіться session_key POST-запити надсилаються в режимі реального часу. Саме це працювало протягом 10 років. Саме це ніколи не перевірялося під час «аудиту безпеки». Саме це публічно захищала компанія NameSilo.
Речення, яке пояснило NameSilo
16 лютого 2026 року оператор сайту xmrwallet.com надіслав електронного листа на адресу PhishDestroy із вимогою видалити звіт. Він підписався як «Наталі Рой» — обліковий запис на GitHub nathroy, ID 39167759. Ми надіслали відповідь із повним технічним роз’ясненням та письмовим попередженням: «Те, що буде далі, повністю залежить від того, як ви вирішите діяти далі».
Наступного дня він надіслав одне речення, яке повністю пролило світло на його стосунки з NameSilo:
За три тижні до того, як компанія NameSilo назвала його потерпілим
Ніхто не використовує десятирічний зливний пристрій на $550/mo bulletproof Belize hosting, який стоїть за проектом «Russian DDoS-Guard», спокійно пропонує вам надіслати повістку його реєстратору — якщо, звичайно, він уже не знає відповіді. Три інші реєстратори (PDR, WebNic, NICENIC) заблокували його домени вже через кілька днів після отримання тих самих доказів. NameSilo підготувало для нього прес-реліз і запропонувало очистити його обліковий запис.
21 січня 2026 року — компанія xmrwallet заплатила агентству PR Newswire за поширення прес-релізу, в якому зазначалося: «Приватні ключі ніколи не надходять на центральні сервери». Цей session_key Протягом усього цього періоду під час кожного сеансу користувача на виробничий сервер надсилалися POST-запити. PR Newswire — це платна служба розповсюдження новин: компанії самостійно пишуть і фінансують свої матеріали, які не проходять редакційну перевірку. Джерело: PR Newswire, 21 січня 2026 року
«Чотири брехні NameSilo», офіційна заява
13 березня 2026 року офіційний акаунт NameSilo опублікував допис у нашій темі, присвяченій розслідуванню. На момент збереження допису кількість переглядів становила 11 300. Постійно архівується за адресою ghostarchive.org/archive/CXXZ0. Кожне речення спростовується першоджерелами:
-
1«Домен був зламаний кілька місяців тому (під час цього копія веб-сторінки була замінена на крипто-драйнер)».Хеші SHA-256 підтверджують, що код не змінювався. Оператор підтвердив нам, що це так свій власний PHP-бекенд, написаний у 2018 році. Нічого не вводили. Історія про «злом» була вигадана вже після того, як все сталося.✗ ВИГАДАНЕ
-
2«До цього ми не отримували жодних повідомлень про зловживання, пов’язаних із цим доменом».Тільки PhishDestroy надіслав Понад 20 звітів через портал NameSilo (2023–2026), з квитанціями про доставку. З 2018 року на BitcoinTalk та Reddit зареєстровано понад 100 публічних скарг. З моменту появи цього неправдивого твердження кожна наша заява публікується з позначкою часу перед її подачею.✗ СПОРІВНО З КВИТАНЦІЯМИ
-
3«Після ретельного розгляду… без участі реєстранта».17 лютого оператор написав нам, відстоюючи свій код як власну роботу — ще до публікації твіту NameSilo. Він ніколи не заявляв про злом. У результаті їхнього «ретельного аналізу» були зроблені висновки, що суперечать письмовим заявам їхнього власного реєстранта.✗ СУПЕРЕЧЛИВЕ
-
4«Співпраця з власником домену з метою виключення веб-сайту зі звітів VirusTotal».Не обробка помилок — допомагав запеклому шахраєві прибрати попередження про безпеку, поки програма для викачування коштів ще працювала. Компанії PDR, WebNic та NICENIC призупинили дію доменів протягом кількох днів після отримання тих самих доказів. NameSilo запропонувала видалити відповідний запис.✗ АКТИВНА ШКОДА, ЗАВДАНА ЖЕРТВАМ
Хто такий NameSilo: аутсорсингова компанія з країн СНГ, що має поштову адресу в США
Компанія NameSilo LLC зареєстрована у Феніксі, штат Арізона. Котирується на Канадській фондовій біржі під назвою Brisio Innovations (CSE:BZI), а її виторг у 2025 році склав 65,5 млн канадських доларів. Фактична команда інженерів розташована в різних містах Росія, Білорусь, Україна, Сербія, Аргентина та Латвія. Встановлено щонайменше 13 російськомовних співробітників. Особа, яка мала повний доступ до інфраструктури DevOps, протягом десяти років керувала ІТ-підрозділом російської фінансової піраміди, перш ніж приєднатися до NameSilo.
Олексій Подашевський (Фронтенд) — Білорусь, країна, що перебуває під санкціями, робота для реєстратора, зареєстрованого в США та акредитованого ICANN. Загалом виявлено понад 13 російськомовних співробітників у Росії, Білорусі, Сербії, Аргентині та Латвії. У ланцюжку інфраструктури xmrwallet повністю відсутні західні хостинг-провайдери.
Понад 5,18 млн доменів проаналізовано у всьому портфелі NameSilo — кожне доменне ім’я було перевірено за допомогою VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish та SURBL.
PHP-бекенд xmrwallet відтворено виключно на основі даних про поведінку на стороні клієнта — без доступу до сервера, без вихідного коду, без співпраці. Механізм крадіжки було відтворено виключно на основі спостережуваних мережевих закономірностей.
13 членів команди дані, зіставлені на платформах LinkedIn, GitHub, HeadHunter, Telegram, у корпоративних реєстрах та судових документах у 6 країнах. Закономірності видалення відгуків на Trustpilot відстежувалося протягом кількох місяців з метою визначення систематичної періодичності видалення. CSE:BZI — квартальні звіти зроблено зіставлення з даними портфеля доменів для виявлення аномалії у доходах. 5,18 млн доменів проаналізовано з урахуванням 6 джерел інформації про загрози. Усі необроблені дані оприлюднені за адресою github.com/phishdestroy/namesilo-evidence. Подано до ICANN, правоохоронних органів ЄС та 3 національних підрозділів з боротьби з кіберзлочинністю.
Аномалія доменів: 32,2 % ніколи не активувалися — статистична завіса
Ми зібрали та проаналізували кожен домен у портфоліо NameSilo — усі 5,18 млн доменів. Кожен з них було перевірено за допомогою VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish та SURBL. Вихідні дані, методологія та результати перевірки для кожного домену є загальнодоступними: github.com/phishdestroy/namesilo-evidence. Результат: 32,2 % доменів ніколи не активувалися — проти 14,7–22,8 % у аналогічних реєстраторів. 10 000–17 000 масових реєстрацій за один день (пік: 17 180 — 19 липня 2025 року). 12 млн доларів витрачено на домени, які ніколи не активувалися; щорічні витрати становлять 3,2 млн доларів на домени, які не виконують жодної функції. У 2024 році, коли партнер NameSilo, компанія ShortDot, придбала нові домени верхнього рівня (.sbs, .cfd за оптовою ціною ~0,50 долара, продані за роздрібною ціною 14,95 долара = 22–31-кратне збільшення), кількість реєстрацій з неактивними доменами різко зросла 615% за один рік.
PrivacyGuardian приховує особу покупця на понад 3 млн доменів (зареєстрованих на ім’я pw-{hex}@privacyguardian.org). Приймаються біткойни. Без KYC. Кожен «фантомний» домен робить співвідношення кількості зловживань до загальної кількості меншим.
«майже нічого»
кожен 43-й сайт
1 фішинг на 2,5 легітимних
NameSilo повідомляє про виручку в розмірі 65,5 млн канадських доларів (2025 р.). Коефіцієнт P/E: 143,8× проти 21× у галузі. Дохід на один реальний (активний) домен: 68 канадських доларів проти 10–15 доларів у галузі. 95 реєстраторів ICANN продають домени .com дешевше. Якщо масові реєстрації фіктивних доменів слугують для відмивання коштів — з націнкою 22–31× при конвертації BTC у домени — вони фігурують як «законний дохід реєстратора» у квартальних звітах, що подаються на Канадській фондовій біржі. Ця схема задокументована та передана до правоохоронних органів.
prnewswire.com — Reach Systems / Замовлення НАСА, 23 червня 2026 року
newswire.ca — Придбання компанії SewerVUE, 12 вересня 2025 року
prnewswire.com — xmrwallet: «Приватні ключі ніколи не надходять на сервери», 21 січня 2026 року
Що сталося після публікації
Після оприлюднення нашої публікації проти всіх основних ресурсів, на яких був присутній PhishDestroy, було розпочато скоординовану кампанію з юридичного тиску та блокування на платформах. Три механізми — кожен із яких було зафіксовано, заархівовано і який тепер є частиною скарги ICANN № 1479.
Ще до того, як блокування набуло чинності, ми опублікували твіт, у якому передбачили, що NameSilo скористається шаблонною схемою дій шахраїв, і зафіксували час публікації в GhostArchive. Вони вчинили саме так, як ми і передбачали, і зробили це точно за графіком. Цей прогноз із позначкою часу — який доводить, що ми передбачили цю тактику ще до її застосування — включено до скарги ICANN проти NameSilo (ICANN № 1479).
Все працює IPFS (phishdestroy.eth), Arweave, GhostArchive та Wayback Machine. 61 скріншот із підтвердженням SHA-256. Жодного успішного юридичного оскарження будь-якого твердження. Жодних технічних заперечень з боку оператора чи NameSilo. Жодних фактичних відповідей — лише юридичні погрози, нападки на особистість та видалені твіти. Повне розслідування з необробленими даними, досьє команди, аналізом відмивання коштів та ресурсами для жертв можна знайти за адресою phishdestroy.eth.limo — дублюється в IPFS, Arweave, GhostArchive та Wayback Machine. Жодна з цих платформ не має золотої галочки.
Мережа «Escape Domain»: підготовка тривала кілька місяців до її ліквідації
Початок 4 лютого 2026 року — того самого тижня, коли оператор вперше зв’язався з PhishDestroy, — він почав таємно реєструвати «домени-запасні варіанти» у 4 різних реєстраторах, оплативши кожний на 5–10 років наперед. Інфраструктура була розроблена так, щоб витримати будь-яке окреме вилучення. Однак вона не витримала розслідування.
Попередній технічний аналіз із повним переліком доказів: github.com/phishdestroy/НЕ-ВИКОРИСТОВУЙТЕ-xmrwallet-com
| Домен | Реєстратор | Попередня оплата | IP | Статус |
|---|---|---|---|---|
| xmrwallet.cc | Реєстр об’єктів, що перебувають у публічному домені | 8 років | 185.129.100.248 | ПРИПИНЕНО |
| xmrwallet.biz | WebNic.cc | 5 років | 190.115.31.40 | ПРИПИНЕНО |
| xmrwallet.net | NICENIC International | 10 років | 190.115.31.40 ← | DNS не працює |
| xmrwallet.me | Key-Systems GmbH | 10 років | 185.129.100.248 ← | АКТИВНО — повідомлено про зловживання |
Кластеризація IP-адрес: 185.129.100.248 розміщено на доменах .cc та .me — один і той самий хост. 190.115.31.40 спільні для доменів .biz та .net — один і той самий хостинг-провайдер. Чотири реєстратори, два IP-кластери. 33 роки реєстрації з попередньою оплатою. Усі домени були зареєстровані таємно після першого контакту зі слідчими.
Куплена репутація: Вікіпедія, Forbes та понад 15 спонсорованих статей
Репутація NameSilo в суспільстві є штучно створеною. Вікіпедія: позначка «оплачений/рекламний». Forbes: повідомлення про партнерську програму «Ми отримуємо комісію». SmartCustomer: 1,8/5 — при цьому в Google немає жодних негативних результатів.
Про NameSilo є стаття у Вікіпедії — позначена редакторами як платна/рекламна стаття, а не нейтральне висвітлення в редакційних матеріалах. Історія редагувань (архів): en.wikipedia.org/w/index.php?title=NameSilo&action=history
NameSilo з’являється на сайті Forbes Advisor із чітким повідомленням про партнерські відносини: «Forbes Advisor дотримується суворих стандартів редакційної доброчесності... Ми отримуємо комісійні». Forbes Advisor отримує дохід, коли користувачі реєструються за їхніми посиланнями, що створює прямий фінансовий стимул для позитивного висвітлення. Джерело: forbes.com/advisor/business/software/namesilo-review/
NameSilo володіє Оцінка 1,8 з 5 на сайті SmartCustomer — джерело: smartcustomer.com/reviews/namesilo.com. Незважаючи на десятки негативних відгуків, пошук у Google не видає жодних негативних згадок — це свідчить про активне приховування інформації за допомогою тих самих інструментів GDPR та DMCA, що й у випадку з нашим розслідуванням.
Компанія NameSilo Technologies Corp. (CSE:BZI / OTC: URLOF — материнська компанія NameSilo LLC, акції якої котируються на біржі) використовує PR Newswire для оприлюднення корпоративних повідомлень. PR Newswire — це платна служба розповсюдження інформації: компанія готує текст і оплачує його розміщення. Приклади платних прес-релізів NameSilo Technologies:
- Придбання компанії SewerVUE Technology Corp. — newswire.ca, 12 вересня 2025 року
- Дочірня компанія Reach Systems отримала замовлення від НАСА — prnewswire.com, 23 червня 2026 року
Той самий механізм: 21 січня 2026 року xmrwallet скористався сервісом PR Newswire для публікації своєї головної статті («приватні ключі ніколи не надходять на центральні сервери») під час роботи бекдору. Платне поширення інформації, в рамках якого текст, написаний оператором, подавався як новинний матеріал.
Три посади. Одна компанія. Жодна з них не витримує взаємодії з іншими.
Компанія NameSilo не дотримувалася єдиної версії подій. Вона по черзі висувала три взаємовиключні позиції — впевненого експерта, жертви, що перебуває під загрозою, та скромного державного службовця — залежно від того, наскільки серйозним був ризик юридичних наслідків у кожен конкретний момент.
«Ваші твердження є неправдивими, наклепницькими та дискредитуючими. NameSilo вживає заходів і розглядає всі повідомлення про зловживання, що надходять до нас. Якщо у вас є такі випадки, будь ласка, надсилайте їх на адресу abuse@namesilo.com. В іншому разі, будь ласка, зверніться безпосередньо до хостинг-провайдера або реєстранта веб-сайту. І припиніть поширювати неправдиві відомості про нас, інакше ми будемо змушені вжити юридичних заходів».
Якби ваша команда з питань протидії насильству мала достатню компетенцію, щоб провести всебічний і ретельний аналіз, встановити, що домен було зламано, визначити, що власник домену є жертвою, та розпочати надання йому допомоги у видаленні виявлених VirusTotal загроз — то ви прямо стверджуєте, що маєте більший авторитет і вищу технічну компетентність, ніж усі виробники антивірусного програмного забезпечення, які позначили цей домен як шкідливий.
Ви не зможете згодом стверджувати, що ви просто обробляти звіти та не мають достатніх знань для виявлення фішингу. У скарзі до ICANN не йдеться про те, що у вас немає необхідних компетенцій. У ній ставиться питання, чому ви використали ті компетенції, які, як видно, у вас є, — щоб допомогти шахраєві, а не жертвам.
Trustpilot: «Ферми ботів» конкурують із «фермами ботів»
Одна 5-зіркова оцінка для NameSilo (січень 2026 року): «Леонід дуже допоміг… 5 зірок!» Ще один відгук: про компанію Otrium — компанію, щодо якої є відгуки про ймовірне шахрайство та розкрадання коштів. Один акаунт-бот, дві компанії, пов’язані з шахрайством. Характерні риси: згадуються імена співробітників служби підтримки, хвалять швидкість реагування, використовуються шаблонні формулювання. Справжні покупці доменів оцінюють ціни та зручність користування панеллю. У відгуках-ботах хвалять «Леоніда».
Аналіз даних — 2 280 відгуків про NameSilo проти 2 480 відгуків про Namecheap
| Метрична система | NameSilo | Namecheap |
|---|---|---|
| 5-зіркові відгуки | 88.9% | 74.0% |
| Відгуки з 1 зіркою | 7.2% | 16.7% |
| Облікові записи з одним відгуком | 62.4% | 59.6% |
| Аватар відсутній (нові облікові записи) | 67.3% | 51.5% |
| Відгуки про підтримку/обслуговування | 70.0% | 60.2% |
| Відгуки про ціну/вартість | 9.8% | 37.5% |
| Агент під псевдонімом «Леонід» | 5.7% | 0.0% |
| Геолокація у США | 35.1% | 26.5% |
Леонід з'явився 13 квітня 2025 року. До цього про нього ніхто не згадував. Потім за перші два місяці він отримав 65 відгуків. Травень 2025 року: 106 відгуків (у 5 разів більше, ніж зазвичай), 95 % — п’ятизіркові, жодного однозіркового. Серед 106 відгуків про реєстратора, який посідає 96-те місце за цінами на домени .com, не було жодного незадоволеного клієнта.
43 % відгуків про Леоніда містять менше 80 символів. У чотирьох із них заголовок складається лише з «Леонід». Ще три: «Леонід дуже допоміг». Серед рецензентів: «Сатоші Накамото», «Автор», «Віктор -», «Анна Корольова», «Борис Мартін», «Андрій Добреску» у поєднанні з «Бредом», «ЛаТоєю», «Патті Джонсон». Генератор імен, що циклічно перебирає континенти. Ім’я Леонід є російським.
Жодних чотиризіркових. Жодних тризіркових. Жодних інших оцінок. 91 % акаунтів з одним відгуком. Протягом 7 років. Китай: 94 % п’ятизіркових, 80 % з одним відгуком. Сінгапур: 95 % п’ятизіркових. Разом 168 відгуків з китайськомовних ринків — майже повністю сфабриковані.
Чому саме Китай? Компанія NameSilo активно веде там маркетингову діяльність: namesilo-china.com, bcbay.com/namesilo, оплачені публікації в китайських блогах, стаття в китайській Вікіпедії. Коли слідчі запитують: «Хто купує 4,22 мільйона неактивних доменів?» — NameSilo вказує на Китай. Дані Trustpilot свідчать, що вони створювали це алібі з 2019 року, додаючи по одному фейковому відгуку за раз.
Незалежний криміналістичний аналіз API Claude — сліпе тестування
2 480 відгуків про NameSilo та 2 480 відгуків про Namecheap на Trustpilot, надісланих до Claude API, були анонімізовані як «Компанія А» (NameSilo) та «Компанія Б» (Namecheap). Штучний інтелект не мав уявлення, яка з них є якою.
| Криміналістичний показник | NameSilo (A) | Namecheap (B) |
|---|---|---|
| 5-зірковий рейтинг | 89.1% | 74.0% |
| Частка 1-зіркових оцінок | 7.1% | 16.7% |
| Одноразові акаунти, які ставлять 5 зірок | 92% | ~65% |
| Відгуки, в яких згадується ціна | 11.2% | 39.2% |
| У відгуках згадується як єдиний представник | Леонід: 168 | немає |
| 5-зірковий рівень різноманітності лексики (TTR) | 0.073 | ~0.15 |
| Гонконг: 100 % п’ятизіркових | 57/57 | не вказано |
| Стрибок у травні–червні 2025 року (у 5 разів вище норми) | 215 відгуків | немає |
| Вирок у справі про маніпуляції з використанням штучного інтелекту | 92% | 15% |
«Компанія А демонструє численні та багатоаспектні докази систематичного маніпулювання результатами оглядів шляхом скоординованого штучного генерування. Імовірність того, що такі закономірності виникли б природним чином, наближається до нуля».
Повний аналіз: phishdestroy.eth.limo/namesilo-trustpilot.html · Необроблені дані: trustpilot-forensic-report-final.txt
Яких результатів вдалося досягти в ході розслідування
Після розслідування та публікації PhishDestroy сайт xmrwallet.com припинив свою діяльність. Оператор надіслав прощальне повідомлення — і, що примітно, більше не підписував його як «Наталі Рой». Особа, яка роками була публічним обличчям xmrwallet, була непомітно усунена. Жодних пояснень надано не було.
xmrwallet.com зрештою перенаправив на свій репозиторій на GitHub — той самий публічний фасад, який протягом десятиліття слугував алібі під виглядом «відкритого коду». На це знадобилося три спроби. Репозиторій був неактивним протягом 5 років до перенаправлення: жодних комітів, жодних оновлень, жодних робіт з обслуговування — що відповідає проекту, фактичний код якого зберігався виключно на неаудитованому виробничому сервері й ніколи не призначався для публічного огляду.
Домен xmrwallet.com було перенесено до Namecheap у травні 2026 року, термін реєстрації — до 2036 року. Судячи з усього, NameSilo вважає це питання вирішеним. Це не так.
Ви думали, що експерти, які здатні перевершити будь-якого виробника антивірусів, зупиняться, коли домен перенесеться? Розслідування ведеться в мережі IPFS. Воно ведеться в мережі Arweave. Воно ведеться в рамках офіційної системи розгляду скарг ICANN. Воно ведеться правоохоронними органами ЄС. Воно ведеться трьома національними підрозділами з боротьби з кіберзлочинністю. Юридична погроза додала до справи ще один часовий штамп. Передача домену додала ще один доказ. Кожна дія, спрямована на придушення цього розслідування, сама по собі є задокументованим доказом описаної нами закономірності.
У цій ситуації ви не були найрозумнішими. Просто деякий час у вас було більше грошей.


