NameSilo знищив наш Twitter Тому що ми сказали про них правду
Про 3 квітня 2026 року, X заблоковано два облікові записи PhishDestroy посилаючись на «проблему з оплатою» та обіцяючи повернути кошти за оплачені передплати. Повернення коштів так і не відбулося. Одинадцять днів по тому, 14 квітня, X надав нове обґрунтування: «Недостовірні дії — скасування рішення не є обґрунтованим». Ми подали апеляцію. Автоматизована система компанії X надала письмову відповідь: «Порушень не виявлено — обліковий запис відновлено до повної функціональності».Рахунки досі заблоковані. Гроші досі не повернено. Зазначена причина вже тричі змінювалася. Два тижні тому ми викрили компанію NameSilo, яка прикривала операцію з крадіжки монет Monero на суму понад 20 млн доларів — зараз щодо цього ведеться активне кримінальне розслідування в ЄС.

«The Receipts»: X суперечить самому собі у своїх статтях
Два офіційні листи від служби підтримки X. Один і той самий обліковий запис. Одне й те саме звернення. Протилежні рішення. Другий лист надіслано пізніше. Прочитайте їх по порядку.

Привіт,
Ми розглянули Вашу апеляцію щодо рахунку, @phish_destroy.
Наша служба підтримки встановила, що порушення наших Правил дійсно мало місце, а саме:
Порушення наших правил щодо неавтентична поведінка.
Ми розглянули надану додаткову інформацію та вирішили, що в даному випадку перегляд нашого попереднього рішення не є обґрунтованим. Тому ми не скасуємо наше рішення про блокування вашого облікового запису.
Дякую,
X Підтримка
Привіт,
Ми розглянули Вашу апеляцію щодо рахунку, @phish_destroy.
Наші автоматизовані системи встановили, що порушення не було, і відновили повну функціональність вашого облікового запису.
Дякую,
X Підтримка
Електронний лист № 2 — це більш пізнє рішення. Воно прямо скасовує рішення, викладене в електронному листі № 1. У ньому зазначено — у письмовій формі, на бланку самої компанії X — що рахунок було відновлено повну функціональність. Акаунт не відновлено. Оплата за платну підписку продовжується. Не надходило третього листа, який би спростовував лист № 2. Останнє зобов’язання компанії X перед нами просто не виконується.
Або електронний лист № 2 є справжнім — система автоматизації розглянула апеляцію, дійшла висновку про відсутність порушення, проте якась неназвана сторона продовжує дотримуватися заборони всупереч цьому рішенню.
Або електронний лист № 2 є фейковим — його надіслали помилково, справжнє рішення — це все-таки електронний лист № 1, а X не опублікував письмового виправлення.
Третього варіанту немає. Обидва варіанти кидають тінь на X. Один із них — катастрофічно.
Чому це сталося

27 березня ми опублікували Кінець xmrwallet[.]com: NameSilo збрехало, щоб захистити криптозлодія. Результати розслідування можна було відтворити: дампи кінцевих точок PHP, заархівовані запити, понад 15 задокументованих жертв. Три інші реєстратори (Індія, Малайзія, Китай) переглянули ті самі докази та заблокували свої xmrwallet доменів за кілька днів. Лише NameSilo виступило на захист шахрая.
Важливо те, що сталося далі. Важлива послідовність подій:
- Шахрай спочатку надіслав нам електронного листа безпосередньо — ще до будь-якої публічної заяви NameSilo, ще до подання будь-якої апеляції. У своєму електронному листі він порадив нам «подати позов проти реєстратора». Таке речення не пише одиночний шахрай досліднику, який його переслідує. Таке речення пише той, хто вже знає, що реєстратор його підтримає. Ми ніколи не бачили такої реакції від жодного іншого шахрая, про якого ми мали інформацію.
- Після цього компанія NameSilo опублікувала офіційну заяву що містить дві доказові неправди, наведені дослівно та збережено в нашому розслідуванні на Medium:
• «Домен був зламаний кілька місяців тому» — що суперечить тому факту, що власний код оператора для запобігання крадіжкам на момент заяви NameSilo все ще працював у виробничому середовищі.
• «До цього ми не отримували жодних повідомлень про зловживання» — що суперечить нашим квитанціям про доставку, які стосуються численних попередніх повідомлень про зловживання та містять повні технічні докази.
У цій же заяві також зазначалося: «Реєстрант вживає заходів для виключення з переліку звітів штату Вермонт», що підтверджує: NameSilo відкрито підтримало спробу оператора прибрати виявлення VirusTotal, поки код для крадіжки був активним. - У тій самій заяві, компанія NameSilo відкинула результати нашого дослідження як несерйозні та публічно запропонував допомогти оператору домогтися видалення результатів виявлення від постачальників засобів безпеки (VirusTotal, Fortinet) — у той час, коли код для крадіжки ще був активним.
- Ми відповів, спираючись на факти щодо цієї публічної заяви. Ніякого харассменту. Ніякого спаму. Ніякого доксингу. Ми внесли виправлення в тому ж місці, яке обрала компанія NameSilo.
- Через сім днів, було заблоковано два облікові записи PhishDestroy X. Зазначена причина: «оплата». Передплата була оплачена. 14 квітня причина змінилася на «неавтентичну поведінку». Після оскарження причина знову змінилася на «порушення відсутнє, доступ відновлено». Блокування та неповернені платежі залишилися без змін.
NameSilo не змогла спростувати ці докази — три незалежні реєстратори діяли на їхній підставі незалежно один від одного. Тож вони зробили те, що xmrwallet що оператор робив із критиками протягом десяти років: скористався бюрократичним механізмом, щоб придушити голос, не звертаючи уваги на факти. Оператор видалив понад 20 облікових записів на GitHub та понад 200 відгуків на Trustpilot. У NameSilo заблокували обліковий запис у X. Та сама схема, але на корпоративному рівні.
Чи пов’язані NameSilo та шахрай?
Цей xmrwallet[.]com оператор впевнено реагував на повідомлення про зловживання, публікував твіти разом із реєстратором, дотримуючись узгоджених тез, і за десять років скарг жодного разу не переніс домен. Так не поводяться знервовані шахраї. Так поводяться шахраї, які мають домовленість.
У понад сотні випадків, пов’язаних з фішинговими операторами, які ми задокументували, ми раніше ніколи не зустрічали саме цю послідовність:
- Шахрай написав нам першим. Ще до того, як NameSilo зробило будь-яку публічну заяву, ще до подання будь-якої апеляції — сам оператор надіслав електронного листа на адресу PhishDestroy. Ідентичність зафіксована в Середнє розслідування: електронні листи надійшли від
xmrwallet[.]comоператор, якого можна ідентифікувати за допомогою даних про його репозиторій як Наталі Рой (Канада), GitHubnathroy, Redditu/WiseSolution, забороненоr/Moneroу 2018 році. - Його точні слова (дослівно, з архіву):«Не соромтеся виписати повістку реєстратору домену». Не «видалити». Не «я це виправлю». Він прямо вказав нам на свого власного реєстратора як сторону, до якої слід звернутися — нібито він уже знав, що реєстратор не вживатиме заходів проти нього, і був упевнений, що їхня правова позиція витримає перевірку. Ця цитата збережена в нашому Розслідування видання «Medium» (16 березня 2026 року).
- Лише тоді компанія NameSilo вийшла на біржу з прикриттям у вигляді твердження «нашого клієнта зламали» — твердження, яке суперечить коду крадіжки, що досі діє, — та твердженням, що «попередніх повідомлень про зловживання не було», що суперечить нашим квитанціям про доставку.
- Потім NameSilo перетворив канал, присвячений зловживанню платформою, на інструмент для зловмисних дій проти нас — використовуючи той самий сценарій придушення, який цей оператор уже застосовував на GitHub (видалено понад 20 облікових записів), Trustpilot (видалено понад 200 відгуків) та BitcoinTalk.
Інфраструктура оператора не схожа на інфраструктуру любителя. Згідно з нашими Середнє розслідування, xmrwallet[.]com розміщено на $550/month bulletproof hosting via IQWeb FZ-LLC (зареєстровано в Беліз), за DDoS-Guard (Росія). Це професійний, ретельно підготовлений і захищений від зловживань стек — а не одноразова шахрайська сторінка. Те, що один оператор керує ретельно підготовленою, надійно захищеною інфраструктурою, а його реєстратор при цьому публічно оприлюднює заяву на його захист, є, як мінімум, надзвичайно злагодженою операцією.
Ми не можемо довести існування такого зв’язку, спираючись лише на дані, що не містяться в бухгалтерських документах NameSilo. Це можна зробити лише на основі їхніх внутрішніх записів. Але, судячи з тих даних, що є у відкритому доступі, залишаються два пояснення: або цей оператор є найвпевненішим у собі криптошахраєм останнього десятиліття і правильно розрахував, що його реєстратор інстинктивно його захистить — або Між ними існують приховані зв’язки. Перше заслуговує на громадський контроль. Друге — на виклик до суду. Правоохоронні органи в юрисдикціях ЄС наразі розслідують цю справу.
Прямі докази: що компанія NameSilo заявила публічно та що насправді сталося
У наведених вище абзацах описано загальну закономірність. У цьому розділі наведено конкретні фактичні суперечності між публічними заявами компанії NameSilo та нашими власними записами з перших рук. Ми не просимо нікого вірити нам на слово — кожну наведену нижче інформацію можна перевірити за допомогою архівів сторонніх джерел, квитанцій про доставку та сервісу Wayback Machine.
- Публічна заява: «попередніх повідомлень про зловживання не було / повідомлення не надходили у встановлені терміни».
Наші результати: команда PhishDestroy особисто надіслала понад 20 повідомлень про зловживання протягом трьох років (2023–2026) дляxmrwallet[.]comта пов’язану інфраструктуру. Кожне звернення надсилалося через опублікований канал для повідомлень про зловживання від NameSilo, при цьому генерувався ідентифікаційний номер, а в багатьох випадках надходили підтвердження від автовідповідача, які досі зберігаються в нашому архіві електронної пошти. Ми зберегли ці підтвердження. Ми надамо їх у повному обсязі будь-якому органу ICANN, органу з питань GDPR, правоохоронним органам ЄС або суду, які їх зажадають. Реєстратор, який заявляє «ми нічого не отримували» через три роки після задокументовані Скарги — це не адміністративна помилка. Це доведена фактична неправдива інформація. - Публічна заява: «Це був одноразовий компроміс; акаунт клієнта зламали».
Наші результати: код крадіжки за адресоюxmrwallet[.]comзалишався в мережі протягом десять років поспіль з такою самою поведінкою заміни гаманця, таким самим відбитком оператора (Наталі Рой / nathroy / u/WiseSolution), а також той самий надійний стек ($550/mo IQWeb FZ-LLC in Belize behind DDoS-Guard). Компроміс, який триває десятиліття і передбачає стабільні, надійні виплати, — це не компроміс. Це — бізнес. Ми особисто знаємо — і маємо дозвіл на посилання — принаймні одна людина, близька до нашої команди яка зазнала фінансових втрат саме на цьому домені ще до того, як ми розпочали публічне розслідування. Це не теоретична шкода. Йдеться про конкретну особу. - Версія про те, що DDoS-Guard переорієнтувався на GitHub, не виглядає правдоподібною.
У наративах, що відповідають позиції NameSilo, висувалася ідея, ніби інфраструктура оператора якимось чином доводить, що він є лише неорганізованим учасником проєкту з відкритим кодом. Домен, який вже десять років знаходиться за захистом російської служби протидії DDoS-атакам, оплачуваний через офшорні корпоративні структури в Белізі, не узгоджується з образом «хлопця зі сторінкою на GitHub». Жоден розсудливий спостерігач — технічний чи ні — не сприймає такого трактування. Ми зазначаємо це тут, оскільки мовчання можна помилково сприйняти за згоду.
Схема очищення: акаунти, а не лише коментарі
Протягом нашого трирічного розслідування ми спостерігали в режимі реального часу за тим, як працює механізм придушення на трьох різних платформах. Ця закономірність була настільки стабільною, що ми щоразу починали архівувати матеріали ще до їх оприлюднення.
- GitHub. Усі рахунки у яких опубліковано проблеми або коментарі, що стосуються
xmrwallet[.]comбули видалені — не окремі коментарі, не теми, а цілі облікові записи. У нас є архівні копії з Wayback, де профілі коментаторів, які брали участь у цих темах, тепер видають помилку 404. Будь-хто, хто проводить розслідування, може звернутися до GitHub у рамках належної юридичної процедури з питанням, скільки облікових записів користувачів із дописами, у яких згадуєтьсяxmrwalletбули закриті в період з 2018 по 2026 рік, і з яких саме причин. Ми очікуємо, що ця кількість буде значною. - Trustpilot. Десятки правдивих негативних відгуків були видалені кількома хвилями поспіль. Видалення відбувалися скупчено під час кожного циклу публічних скарг, що свідчить про скоординовані дії, а не про органічну модерацію. І знову ж таки, остаточним доказом є внутрішній журнал видалень Trustpilot, який було надано на підставі судової повістки.
- X (Twitter). Критичні коментарі до акаунтів, пов’язаних із шахрайством, зникали з такою швидкістю, яку важко пояснити звичайною політикою платформи. Після того, як ми
@Phish_DestroyКоли акаунт зрештою заблокували, посилаючись на мінливі підстави (див. квитанції електронних листів вище), картина стала цілком зрозумілою. Той самий сценарій придушення, який роками застосовували проти окремих скаржників, тепер застосовували проти дослідницького акаунта.
Хочемо уточнити: ми не стверджуємо, що йдеться про телепатію. Ми стверджуємо, що це задокументована хронологія. Опублікувати. Помістити в архів. Видалити. Повторювати це на трьох платформам для однієї й тієї ж цільової аудиторії протягом десятиліття, при цьому реєстратор ніколи не переносить домен. Ця хронологія не потребує теорії змови. Для цього достатньо подати запит на доступ до публічних документів.
Якщо ви стали жертвою xmrwallet[.]com — Прошу підійти
Ми знаємо, що таких, як ви, є ще більше. До нас приватно зверталися люди, які втратили кошти і боялися виступити публічно, поки оператор ще діяв, а його реєстратор продовжував публічно його захищати. Зараз ситуація змінилася. Операція викрита, інфраструктура задокументована, а правоохоронні органи в юрисдикціях ЄС розслідують цю справу.
xmrwallet[.]com — три практичні кроки - Подати офіційну заяву в поліцію у країні вашого проживання. Вкажіть домен
xmrwallet[.]com, приблизну дату та суму, а також адресу гаманця одержувача, якщо вона вам відома. Саме поліцейський протокол дає змогу розблокувати запити на розморожування коштів на біржах на наступних етапах. - Збережіть кожен артефакт: скріншоти, історія браузера, квитанції з електронної пошти, ідентифікатори транзакцій, адреси гаманців, підписи на підтвердження. Не варто розраховувати, що наступного тижня ці дані ще будуть доступні в мережі. Збережіть їх локально та надіслати на archive.org.
- Розкажіть нам. Напишіть на адресу report@phishdestroy.io або надішліть повідомлення в особисті повідомлення через @PhishDestroy_bot. Ми не оприлюднюємо ваші особисті дані без вашої згоди. Ваші свідчення — навіть анонімні — зміцнюють аргументи проти інфраструктури, яка уможливила крадіжку.
Для органів, які фактично можуть вимагати розкриття інформації — відділу з питань дотримання вимог ICANN, органів ЄС, що контролюють дотримання GDPR, Канадського центру боротьби з шахрайством (оператор є канадським), відповідних податкових органів та будь-якого суду, що має юрисдикцію над операційною структурою NameSilo: матеріали з першоджерел збережено та доступні за запитом. Підтвердження доставки, знімки з Wayback Machine, стаття на Medium, графік інфраструктури доменних звітів та свідчення потерпілих із підписаною згодою. Ми не приховуємо докази. Ми зберігаємо їх у формі, яку ви можете фактично використовувати.
Називати чорне білим не робить його білим. Десятиліття публічних доказів, понад 20 задокументованих повідомлень про зловживання, «непробивна» система крадіжок, скоординоване видалення акаунтів на трьох платформах, заблокований дослідницький акаунт та оператор, ім’я якого вже є загальновідомим, — це не проблема піару. Це проблема юрисдикції. Ми впевнені, що у відкритих джерелах вже є достатньо інформації для її вирішення.
Жертви: хто насправді постраждав
Неявний аргумент NameSilo, який полягає в тому, що компанія вирішила скористатися кнопкою про зловживання платформою замість того, щоб відкликати публікацію, звучить так: «Нам не сподобалося, що нас викрили». Зрозуміло. Людям рідко подобається, коли їх викривають. Але порівняймо ці дві шкоди на одних терезах.
Шкода, заподіяна NameSilo внаслідок наших публікацій: незручність.
Збитки, яких зазнали жертви внаслідок діяльності NameSilo, що тривала десять років:
- Один користувач: 590 XMR (~177 000 доларів) втрачено в результаті однієї викраденої транзакції.
- Перші задокументовані випадки: 15 (Trustpilot, Sitejabber, BitcoinTalk).
- Регіони: різні регіони (про це свідчать показання потерпілих).
- Підтверджений загальний обсяг: понад 20 млн доларів. Ця інформація ґрунтується на повідомленнях потерпілих, які ми можемо перевірити в кожному окремому випадку.
- Наша думка, ґрунтується на наявної інформації, але не підтверджена: понад 100 млн доларів. Виходячи з кількості постраждалих та тривалості операції. Ми наводимо це як нашу оцінку і не можемо публічно це довести. Компанія NameSilo також не може переконливо спростувати це, не оприлюднивши власні документи.
- Важливе зауваження щодо цін. Наші загальні суми збитків розраховуються за курсом XMR на момент кожної крадіжки, а не за сьогоднішнім курсом Monero. Наведені вище цифри — це фактичні суми в доларах США, які потерпілі втратили на момент втрати коштів.
- Активні кримінальні справи в юрисдикціях ЄС. Це вже не просто наукові дослідження — це правоохоронна діяльність.
З моменту публікації, до нас безпосередньо звернулися ще інші потерпілі із зазначенням конкретних сум збитків та ідентифікаторів транзакцій. Ми зберігаємо та перевіряємо ці звіти.
Вважати ці дві шкоди рівнозначними — дозволяючи реєстратору змусити замовкнути дослідника, який задокументував цю операцію, — саме по собі є провалом політики.
Постійний реєстр

Блокування акаунта в Twitter не призводить до знищення доказів. Усе, що має відношення до цієї справи, зберігається в архіві:
- Кожна публічна заява NameSilo на захист
xmrwalletоператор — Wayback Machine, Archive.today, наш репозиторій доказів на GitHub. - Знімки екрана з кодом, що здійснює крадіжку в режимі реального часу в робочому середовищі, з позначками часу.
- Проведено реверс-інжиніринг та опубліковано 8 кінцевих точок PHP.
- Повний ланцюжок повідомлень щодо повідомлення про зловживання.
- Уся наша хронологія X дублюється на Mastodon, Bluesky, Medium, Telegram, GitHub та IPFS.
- Щогодинні знімки
phishdestroy.ioсаме це, 14-денний термін зберігання, встановлений спеціально для того, щоб ніщо з написаного нами не могло непомітно зникнути.
Якщо будь-який із дзеркал вийде з ладу, його вміст залишиться на інших семи. Ця архітектура з’явилася раніше, ніж NameSilo. Вона проіснує довше за них.
Чи було це справедливо? П’ять запитань до всіх, хто читає цю статтю

Це не риторичні питання. Ознайомтеся з наведеними вище фактами, а потім дайте відповідь самостійно — приватно, у своїй стрічці новин або під час прийняття рішення про те, чи залишити свої домени, чи перенести їх.
- Чи справедливо блокувати дослідника в галузі безпеки за те, що він публічно відреагував на власну публічну заяву реєстратора? Реєстратор розпочав розмову. Дослідник відповів фактами. Замовкли лише представники однієї сторони.
- Чи є прийнятним, коли представник реєстру у своїй публічній заяві відкидає задокументовані результати досліджень як несерйозні, одночасно пропонуючи шахраю допомогу в усуненні засобів виявлення загроз? Обидва випадки згадуються в одній заяві компанії NameSilo. Про жертв у ній ніде не йдеться.
- Чи є прийнятним, щоб X офіційно відкликав своє обґрунтування блокування в письмовій формі («порушення відсутнє, доступ відновлено») і все одно залишив заборону в силі? Згідно з останнім рішенням самої компанії X, цей акаунт має бути активним.
- Чи є прийнятним, щоб за платну підписку на верифікацію продовжували стягувати плату, коли відповідний обліковий запис заблоковано? Якщо послуга не надається, чи є це товаром — чи порушенням договору?
- Що означає «належний статус» реєстратора, акредитованого ICANN Чи може акредитований реєстратор використати канали повідомлення про зловживання сторонньої платформи як засіб тиску, щоб змусити замовкнути дослідника, який документує їхню неспроможність реагувати на зловживання? Це питання, пов’язане з дотриманням вимог, і воно додається до існуючого документа, поданого відповідно до § 3.18 RAA.
Якщо будь-яка відповідь була «Ні, це несправедливо»
Ось три конкретні заходи, які не вимагають жодних витрат, у порядку зростання їхньої ефективності.
1. Опублікуйте це у відкритому доступі
Тихе несхвалення нічого не дає. А ось відкритий тиск — так. Один клік, форма вже заповнена:
2. Зверніться до сторін, називаючи їхні імена
Позначте їх. Мовчазне несхвалення нічого не дає. А ось запитання, які читачі ставлять відкрито, привертають увагу.
- @NameSilo — це
@Phish_Destroyзаборона, пов’язана з вашою публічною заявою, в якій ви запропонували допомогтиxmrwalletЧи видаляються виявлення оператора? - @X / @XSupport / @elonmusk — У листі № 2 зазначено: «відновлено повну функціональність». Акаунт заблоковано. Яке рішення є чинним?
- @ICANN — чи поширюється дія пункту 3.18 RAA на випадки репресій з боку реєстратора щодо дослідників?
- @Tucows — Чи є заходи у відповідь на зловживання платформою з боку дослідників сумісними зі стандартами вашої програми для реселерів OpenSRS?
3. Перенесіть свої домени (це найболючіше)
Компанії реагують на втрату доходів, а не на твіти. Перекази займають приблизно п’ятнадцять хвилин. Наш сторінка статистики реєстратора містить перелік реєстраторів із бездоганною репутацією щодо реагування на зловживання. Кожен перенесений домен — це ще один показник кількості поновлень, який керівництво NameSilo побачить у наступному кварталі.
Якщо ви є організацією — криптопроектом, платформою з винагороди за виявлення вразливостей, журналістським виданням, компанією, що займається аналізом загроз — з будь-який домен у NameSilo: замисліться над тим, що означає фінансувати реєстратора, який прикривав операцію з крадіжки на суму понад 20 млн доларів, а потім змусив замовкнути дослідника, який це задокументував. Ви можете зробити цей крок публічно. Це матиме вагу.
Наостанок

Неможливо протягом десяти років прикривати злочинну схему, пов’язану з крадіжкою на суму понад 20 млн доларів, публічно брехати про це, мститися досліднику, який вас викрив, — і сподіватися, що про все це тихо забудуть. Особливо коли цією справою займаються правоохоронні органи ЄС.
Ми не просимо вас вірити нам на слово. Кожне з наведених вище тверджень підкріплене посиланням, задокументоване, має позначку часу, архівується на зовнішньому сервері та може бути відтворене. Ми просимо вас ознайомитися з доказами, самостійно відповісти на п’ять запитань і діяти відповідно до вашої власної відповіді. Ось як виглядає справедливість — читач, який ознайомлюється з доказами та приймає рішення. І саме цьому покликане запобігти придушення думки.
PhishDestroy — це незалежний ресурс з аналітики загроз. Жодних платежів, жодного спонсорства, жодних послуг. Ми публікуємо те, що виявляємо. Через це NameSilo заблокував нам доступ.
Оригінальне розслідування: phishdestroy.io/xmrwallet-NameSilo-exposed
Дослідження середнього рівня (першоджерело): PhishDestroy.medium.com/xmrwallet-com-2953f35b8a79
Репозиторій доказів: github.com/PhishDestroy



