NameSilo 为一名涉案金额达1亿美元的加密货币盗取案嫌疑人进行辩护
— 然后 关闭了我们的推特账号
一家经ICANN认证的注册商发布 4条有据可查的谎言 为了掩盖一项持续了10年的门罗币盗窃行动, 该组织在盗币活动仍在进行时,便主动提出清除其在VirusTotal上的记录,随后又利用付费的X Gold Checkmark功能 封禁了那些证明他们错误的研究人员。他们的DevOps工程师: 某俄罗斯金融传销组织的前IT主管 长达十年。
本文为预览版。完整的证据、IPFS存档及所有原始资料请参见上方链接。
背景:xmrwallet.com 究竟是什么
xmrwallet.com 并非钓鱼网站。它是一个 一个功能齐全的门罗币钱包,其中包含一个服务器端后门 该项目于2018年建成,并将运行至2026年5月——近十年之久。GitHub代码库只是一个公开的幌子。盗取代码仅存在于生产服务器上,从未提交,也从未经过审计。
每次用户交互都会通过 POST 请求将私有视图密钥发送至运营商服务器,该密钥以 Base64 编码的形式存储在一个名为 session_key — 约 每次会话40次传输. 客户端事务被显式丢弃(raw_tx_and_hash.raw = 0); 服务器利用窃取的密钥自行生成密钥。
NewAlchemy 的审计报告在 Reddit 上获得了 67 个赞,并被作为可信信号沿用多年。其明确的审计范围如下: “仅限客户端 JavaScript。” 明确不在范围之内: “大量 PHP API 端点。” 这些端点就是实际的盗取机制。从结构上讲,此次审计根本无法发现该后门。
这种盗窃行为在设计上具有选择性。小额存款会多年不受触动,以此建立信任并积累真实评价。而大额资金则会在几分钟内被盗走。据记录,一名受害者存入的590 XMR在两天内便不翼而飞。根据15名以上已记录受害者的情况,保守估计总损失为: 被盗的XMR数量为5,000–50,000+ (按历史价格计算,金额在150万至1500万美元以上)。60%的受害者帖子在证据被采集前就被大规模举报并删除。
session_key 在每次会话中向操作员提供。我们在沙箱演示中重现了基于 gtag 的密钥外泄过程。打开开发者工具 → “网络”选项卡 → 与钱包交互。观看 session_key POST请求会实时触发。这就是运行了10年的机制。这也是“安全审计”从未审查过的部分。这也是NameSilo公开辩护的内容。
那句解释了“NameSilo”的句子
2026年2月16日,xmrwallet.com 的运营方通过电子邮件联系 PhishDestroy,要求删除相关报告。他在邮件末尾署名为“Nathalie Roy”——GitHub 账号 nathroy, ID 39167759。我们回复了一份详细的技术分析报告和一份书面警告: “接下来会发生什么,完全取决于你选择如何行动。”
第二天,他发来一句话,这句简短的话就让我们完全明白了他与NameSilo之间的关系:
在NameSilo称他为受害者之前的三周
没有人还在使用那台用了十年的排水机 $550/mo bulletproof Belize hosting,这位躲在俄罗斯DDoS-Guard背后的用户,淡定地邀请你向他的域名注册商发出传票——除非他早已知晓答案。另外三家域名注册商(PDR、WebNic、NICENIC)在看到同样的证据后,仅用几天时间就暂停了他的域名。NameSilo则为他起草了一份新闻稿,并表示愿意为他清理记录。
2026年1月21日——xmrwallet向美通社(PR Newswire)支付费用,发布了一份新闻稿,内容如下: “私钥绝不会传输到中央服务器。” 该 session_key 在此期间,每个用户会话都会向生产服务器发送 POST 请求。PR Newswire 是一项付费发布服务——企业自行撰写并资助新闻稿,且不经过编辑审核。来源: 美通社,2026年1月21日
NameSilo的四大谎言,有据可查
2026年3月13日,NameSilo的官方账号在我们的调查帖下发表了评论。截图前该帖已有11,300次浏览。永久存档于 ghostarchive.org/archive/CXXZ0. 每一句话都遭到了原始资料的反驳:
-
1“该域名几个月前遭到入侵(在此期间,网页内容被替换为一个加密货币窃取程序)。”SHA-256 哈希值证明代码未被修改。运营商已向我们确认了这一点。 他自己开发的PHP后端,编写于2018年. 并没有注入任何东西。那则“黑客”报道是事后编造的。✗ 捏造的
-
2“在此之前,我们尚未收到任何与该域名相关的滥用报告。”仅由 PhishDestroy 发送 NameSilo门户网站发布的20余份报告(2023–2026年),并附有送达回执。自2018年以来,BitcoinTalk和Reddit上已有100多起公众投诉。自该虚假指控出现以来,我们提交的每份报告在提交前都会附上时间戳并予以公布。✗ 与收据不符
-
3“经过全面审查……未涉及注册人。”该运营商于2月17日致信我们,坚称该代码是其原创作品——这比NameSilo发布推文还要早。他从未声称遭遇过黑客攻击。他们的“全面审查”得出的结论,与他们自己的注册人书面陈述相矛盾。✗ 自相矛盾
-
4“正与网站注册人合作,将该网站从VirusTotal的报告中移除。”不是异常处理 — 在“吸金者”仍在直播时,帮助一名已确认的诈骗犯清除安全警告. PDR、WebNic 和 NICENIC 均在获得相同证据后的几天内暂停了相关域名的服务。NameSilo 则表示愿意清理相关记录。✗ 对受害者造成实际伤害
NameSilo 究竟是谁:一家拥有美国邮寄地址的独联体外包公司
NameSilo LLC 在亚利桑那州凤凰城注册成立。该公司以 Brisio Innovations(CSE:BZI)的名义在加拿大证券交易所上市,2025年报告营收为6550万加元。其实际工程团队分布于 俄罗斯、白俄罗斯、乌克兰、塞尔维亚、阿根廷和拉脱维亚. 已确认至少有13名讲俄语的员工。其中一名拥有DevOps基础设施完全访问权限的人员,在加入NameSilo之前,曾为一家俄罗斯金融传销组织负责IT运营长达十年。
阿列克谢·波达舍夫斯基 (前端)——白俄罗斯,受制裁司法管辖区,为一家在美国注册且获得ICANN认证的注册商工作。在俄罗斯、白俄罗斯、塞尔维亚、阿根廷和拉脱维亚共确认有13名以上讲俄语的员工。xmrwallet基础设施链中未使用任何西方主机服务。
518万+个域名 对 NameSilo 的整个域名组合进行了分析——每个域名都与 VirusTotal、URLhaus、PhishTank、abuse.ch、OpenPhish 和 SURBL 进行了交叉比对。
xmrwallet PHP 后端 完全基于客户端行为轨迹重建——无需访问服务器、无需源代码、无需合作。该窃取机制仅通过可观察到的网络模式进行推导。
13名团队成员 通过 LinkedIn、GitHub、HeadHunter、Telegram、企业注册信息以及6个国家的法院记录进行了关联分析。 Trustpilot 的删除模式 进行了长达数月的跟踪,以确定系统性移除的频率。 CSE:BZI 季度报告 与域名组合数据进行交叉比对,以识别收入异常情况。 518万个域名 已针对6个威胁情报源进行了分析。所有原始数据均在 github.com/phishdestroy/namesilo-evidence. 已向ICANN、欧盟执法机构以及3个国家的网络犯罪调查部门提交。
域名异常:32.2% 从未激活——一种统计上的烟幕弹
我们提取并分析了 每个域名 NameSilo 的域名组合中——共计 518 万个域名。每个域名都分别通过 VirusTotal、URLhaus、PhishTank、abuse.ch、OpenPhish 和 SURBL 进行了检测。原始数据、检测方法以及各域名的检测结果均已公开: github.com/phishdestroy/namesilo-evidence. 结果: 32.2% 的域名从未被激活过 — 而同类注册商的比例为14.7%–22.8%。单日批量注册量达10,000–17,000个(峰值:2025年7月19日的17,180个)。 花费1200万美元购买从未激活的域名;每年在毫无用处的域名上烧钱320万美元。2024年,当NameSilo的合作伙伴ShortDot收购新顶级域名(.sbs、.cfd,批发价约0.50美元,零售价14.95美元)时 = 22–31× 标记),失效域名的注册量激增 615% 在短短一年内。
PrivacyGuardian 在 300 多万个域名(注册至 pw-{hex}@privacyguardian.org). 接受比特币支付。无需KYC认证。每个幽灵域名都会使滥用率相对于总量的比例看起来更小。
“几乎什么都没有”
每第43个网站
每2.5个合法网站中就有1个钓鱼网站
NameSilo报告称其2025年营收为6550万加元。市盈率: 143.8倍 vs 行业平均21倍. 每个真实(活跃)域名的收入:68加元,而行业平均水平为10–15加元。95家ICANN注册商提供的.com域名价格更低。 如果通过批量注册“幽灵域名”来洗钱——比特币兑换域名的加价倍数为22–31倍——这些资金就会以“合法注册商收入”的名义出现在提交给加拿大证券交易所的季度报告中。这一模式已有记录,并已移交执法部门处理。
发布后发生了什么
我们的报道发布后,一场有组织的法律和平台压制行动针对了PhishDestroy活跃的每一个主要平台。这三项措施——每一项都已记录在案、存档,并已成为ICANN投诉编号#1479的一部分。
在锁定措施生效之前,我们发布了一条推文,预测NameSilo将采用诈骗者的压制策略,并在GhostArchive中为该推文添加了时间戳。他们确实按我们所说的做了,而且完全按计划进行。 这份带有时间戳的预测——证明我们在该策略被采用之前就已预见到——已被纳入ICANN针对NameSilo的投诉文件中(ICANN #1479)。
一切都已开启 IPFS(phishdestroy.eth)、Arweave、GhostArchive 和 Wayback Machine. 61 张经 SHA-256 验证的截图。针对任何指控,均未出现成功的法律挑战。运营商或 NameSilo 方面未提出任何技术反驳。未见任何基于事实的回应——只有法律威胁、人身攻击以及被删除的推文。包含原始数据、团队档案、洗钱分析及受害者资源的完整调查报告请见 phishdestroy.eth.limo — 已同步至 IPFS、Arweave、GhostArchive 和 Wayback Machine。这些平台均未获得“金勾”认证。
Escape Domain Network:在被取缔前数月便已做好准备
开始 2026年2月4日 ——就在该运营商首次联系PhishDestroy的那一周——他开始通过4家不同的域名注册商秘密注册备用域名,并为每个域名预付了5至10年的费用。该基础设施的设计初衷是确保即使遭遇任何一次单次关停也能继续运行。但它最终没能经受住调查的考验。
初步技术分析及完整证据: github.com/phishdestroy/请勿使用-xmrwallet-com
| 域名 | 注册处 | 预付费 | IP | 状态 |
|---|---|---|---|---|
| xmrwallet.cc | PublicDomainRegistry | 8年 | 185.129.100.248 | 暂停 |
| xmrwallet.biz | WebNic.cc | 5年 | 190.115.31.40 | 暂停 |
| xmrwallet.net | NICENIC 国际 | 10年 | 190.115.31.40 ← | DNS 故障 |
| xmrwallet.me | Key-Systems 有限公司 | 10年 | 185.129.100.248 ← | 已处理 — 已报告滥用行为 |
IP聚类: 185.129.100.248 由 .cc 和 .me 共享——同一主机。 190.115.31.40 由 .biz 和 .net 共享——同一主机。四家注册商,两个 IP 集群。预付了 33 年的注册费。在与调查人员首次接触后,所有注册均以秘密方式进行。
“买来的声誉”:维基百科、《福布斯》以及15篇以上的赞助文章
NameSilo 的公众声誉是人为制造的。维基百科:标有“付费/推广”标签。福布斯:《我们赚取佣金》的联盟营销披露声明。SmartCustomer:1.8/5 —— 谷歌搜索结果中没有任何负面信息。
NameSilo 在维基百科上有相关条目—— 被编辑标记为付费/推广文章,而非中立的编辑报道。编辑历史(存档): en.wikipedia.org/w/index.php?title=NameSilo&action;=history
NameSilo 出现在《福布斯顾问》上,并附有明确的联盟关系声明: “《福布斯顾问》恪守严格的编辑诚信标准……我们会获得佣金。” 当用户通过其链接注册时,Forbes Advisor 便会获得收益——这为正面报道创造了直接的经济激励。来源: forbes.com/advisor/business/software/namesilo-review/
NameSilo 持有 在SmartCustomer上的评分为1.8/5简体中文(大陆) — 来源: smartcustomer.com/reviews/namesilo.com. 尽管有数十条负面评论有据可查,但谷歌搜索却显示零条负面报道——这是利用与针对我们调查时相同的《通用数据保护条例》(GDPR)和《数字千年版权法案》(DMCA)工具进行的主动压制。
NameSilo Technologies Corp.(CSE:BZI / OTC:URLOF——NameSilo LLC的上市公司母公司)使用PR Newswire发布公司公告。PR Newswire是一项付费发布服务:公司负责撰写文本并支付发布费用。以下是NameSilo Technologies付费新闻稿的示例:
- 收购SewerVUE Technology Corp. — newswire.ca,2025年9月12日
- 子公司Reach Systems获得美国宇航局(NASA)的订单 — prnewswire.com,2026年6月23日
同样的操作手法:xmrwallet 于 2026 年 1 月 21 日利用 PR Newswire 发布了其封面报道(“私钥绝不会传至中央服务器”),而此时后门程序正在运行。这种付费发布方式将运营商撰写的文本包装成具有新闻价值的内容。
三个职位。一家公司。它们之间完全没有联系。
NameSilo的说法前后不一。他们根据当时面临的法律风险程度,先后采取了三种相互矛盾的立场——自信的专家、受到威胁的受害者、谦逊的公仆。
“您的指控是虚假、诽谤且有损名誉的。NameSilo 会采取行动,并审查提交给我们的所有滥用报告。 如有此类情况,请发送至 abuse@namesilo.com。否则,请直接联系网站托管商或域名注册人。并请立即停止对我们进行虚假指控,否则我们将被迫采取法律行动。”
如果你们的虐待案件处理小组具备这样的能力的话 进行全面深入的审查,确定该域名遭到黑客攻击,确认注册人为受害者,并开始协助其清除VirusTotal的检测结果 ——那么,你就等于明确声称自己比所有将该域名标记为恶意的杀毒软件厂商都更具权威性,且技术能力更强。
你日后不能声称自己 轻松处理报告 以及 缺乏识别网络钓鱼所需的专业知识. ICANN的投诉并非要求你具备你并不具备的能力。它要问的是:你为何利用自己显然具备的能力——去帮助诈骗者,而不是受害者。
Trustpilot:机器人农场与机器人农场之间的竞争
NameSilo 获得一颗五星评价(2026年1月): “列昂尼德非常乐于助人……5星!” 另一则评论:针对 Otrium——一家被指控存在欺诈和挪用资金行为的公司。一个机器人账号,两家涉嫌诈骗的企业。常见模式:提及具体客服人员姓名、称赞响应速度、使用模板化措辞。真正的域名买家会评价价格和控制面板的用户体验。机器人评论则盛赞“Leonid”。
数据分析——2,280条NameSilo评论与2,480条Namecheap评论
| 公制 | NameSilo | Namecheap |
|---|---|---|
| 五星好评 | 88.9% | 74.0% |
| 1星评价 | 7.2% | 16.7% |
| 单次评审账户 | 62.4% | 59.6% |
| 无头像(新账号) | 67.3% | 51.5% |
| 关于支持/服务的评价 | 70.0% | 60.2% |
| 关于价格/成本的评论 | 9.8% | 37.5% |
| 代号为“列昂尼德”的特工 | 5.7% | 0.0% |
| 美国地理位置 | 35.1% | 26.5% |
列昂尼德于2025年4月13日亮相。此前从未有人提及过他。随后,他在前两个月就获得了65条评论。 2025年5月:106条评论(是平时的5倍),95%为五星评价,零条一星评价。 在106条评论中,这家在.com域名定价方面排名第96位的域名注册商,竟没有一位不满意的客户。
43% 的 Leonid 评论少于 80 个字符。其中有四条评论仅包含标题 “列昂尼德”. 还有三个: “列昂尼德非常乐于助人。” 评论者中包括:“中本聪”、“作者”、“维克多-”、“安娜·科罗廖娃”、“鲍里斯·马丁”、“安德烈·多布雷斯库”,以及“布拉德”、“拉托亚”、“帕蒂·约翰逊”等。 一个在各大洲之间循环生成的名字生成器。名字“列昂尼德”是俄罗斯名字。
零个四星评价。零个三星评价。其他星级评价也全无。91%的账号仅发表过一条评论。持续时间超过7年。中国:94%为五星评价,80%仅发表过一条评论。新加坡:95%为五星评价。来自华语市场的168条评论——几乎全是伪造的。
为什么是中国?NameSilo正在该市场积极开展营销: namesilo-china.com, bcbay.com/namesilo,付费的中国博客文章,一篇中文维基百科条目。当调查人员问“谁会购买422万个废弃域名?”时——NameSilo将矛头指向了中国。Trustpilot的数据表明,他们自2019年以来一直在通过一条条虚假评论来构筑这一“不在场证明”。
对Claude API的独立取证分析——盲测
提交至Claude API的2,480条NameSilo评论和2,480条Namecheap评论,均在Trustpilot上发布,并被匿名处理为“A公司”(NameSilo)和“B公司”(Namecheap)。该AI并不知道哪条评论来自哪家公司。
| 法医指标 | NameSilo (A) | Namecheap (B) |
|---|---|---|
| 5星评分 | 89.1% | 74.0% |
| 1星评分比例 | 7.1% | 16.7% |
| 给“一次性账户”打5星 | 92% | ~65% |
| 提及价格的评论 | 11.2% | 39.2% |
| 在评论中被点名的单一代理 | 列昂尼德:168 | 无 |
| 5星词汇多样性(TTR) | 0.073 | ~0.15 |
| HK:100% 五星 | 57/57 | 不适用 |
| 2025年5月至6月出现激增(达到正常水平的5倍) | 215条评论 | 无 |
| 关于AI操纵的判决 | 92% | 15% |
“A公司提供了大量、多维度的证据,表明其通过协调一致的人为生成手段系统性地操纵了文献综述。这些模式自然发生的概率接近于零。”
完整分析: phishdestroy.eth.limo/namesilo-trustpilot.html · 原始数据: trustpilot-forensic-report-final.txt
调查取得了哪些成果
在PhishDestroy展开调查并发布报道后,xmrwallet.com停止了运营。该网站运营者发布了一则告别声明——值得注意的是,声明中不再署名“Nathalie Roy”。这个多年来一直作为xmrwallet对外形象的身份,就这样悄然消失了。未作任何解释。
xmrwallet.com 最终被重定向到了其 GitHub 代码库——这个公开界面十年来一直被用作“开源”的幌子。这花了三次尝试。该代码库已处于非活动状态长达 5年 在重定向之前:没有提交、没有更新、没有维护——这与一个项目的情况一致,该项目的实际代码完全托管在未经审计的生产服务器上,且从未打算供公众审查。
xmrwallet.com 已于 2026 年 5 月转移至 Namecheap,注册有效期至 2036 年。NameSilo 显然认为此事已解决。 不是。
你以为那些能比所有杀毒软件厂商表现更出色的专家们,会在域名迁移后就此停手吗? 该调查正在IPFS上进行。正在Arweave上进行。已进入ICANN的正式投诉系统。已移交欧盟执法部门。已移交3个国家的网络犯罪调查部门。 这一法律威胁为该文件又增添了一个时间戳。域名转移又增加了一份证据。为压制此次调查而采取的每一项行动,本身就是我们所描述的这种模式的书面证据。
在这种情况下,你们并不是最聪明的人。只是有一段时间你们手头有更多的钱罢了。


