返回新闻
报复报告

NameSilo 搞垮了我们的 Twitter 因为我们揭露了他们的真相

关于 2026年4月3日, X 已锁定 两个 PhishDestroy 账号 以“付款问题”为由,并承诺将退还已付费的订阅费用。但退款始终未到账。 11天后,即4月14日,X 提出了一项新的理由: “不真实的行为——不予推翻。” 我们提出了申诉。X公司自己的自动化系统以书面形式作出了答复: “未发现违规行为——账户功能已完全恢复。”这些账户仍然被冻结。款项仍未退还。给出的理由至今已变了三次。两周前,我们曾揭露NameSilo庇护了一起涉案金额超过2000万美元的门罗币盗窃案——该案目前正受到欧盟的积极刑事调查。

2026年4月15日 PhishDestroy 研究 阅读时间 9 分钟
X鸟标志被NameSilo的数据线缠住
禁令的实况:X平台的自动化系统已注销该账号。但NameSilo方面经人工转交的一份投诉,仍导致该账号被永久封禁。
理由 #1 · 4月3日
“付款问题”+承诺退款。
两个账户被锁定。订阅已付费且处于有效状态。但退款始终未到账。
理由 #2 · 4月14日
“不真实的行为。”
11天后,又给出了一个全新的理由。既未引用具体的推文,也未披露任何证据。
理由三 · 上诉后
“未发现违规——已恢复。”
上诉结果。X的最新正式裁决:账目已结清。
现实 · 今日
账户被冻结了。钱没了。
三个不同的原因。一个不变的结果。不予退款。不予恢复访问权限。
0
上诉中的违规行为
10
受庇护的岁月
$20M+
已确认的损失
约1亿美元
我们的估计
7
NameSilo 谎言
1
已支付标记

《收据》:X在文中自相矛盾

来自X客服的两封官方邮件。同一个账号。同一项申诉。截然相反的裁决。第二封是较新的那封。请按顺序阅读。

X 支持邮箱:人工审核推翻了“未违规”的标记
矛盾一目了然:X的自动化审核已通过书面形式批准了我们。但禁令依然生效。
第1封电子邮件 · 4月3日 · 初步封锁决定
𝕏

你好,

我们已审核了您关于该账户的申诉请求, @phish_destroy.

我们的支持团队已确认确实存在违反我们规则的情况,具体如下:

违反我们的以下规定: 不真实的行为.

我们考虑了所提供的补充信息,并 裁定本案中没有理由推翻我们的原裁决. 因此,我们不会撤销锁定您账户的决定。

谢谢,
X 支持

锁定理由: “不真实的行为”
第2封电子邮件 · 上诉后 · 自动审核
𝕏

你好,

我们已审核了您关于该账户的申诉请求, @phish_destroy.

我们的自动化系统已确认未发生违规行为,并已恢复您账户的全部功能。

谢谢,
X 支持

上诉结果: “未违规——已恢复”

第2封电子邮件是较新的裁决。它明确推翻了第1封电子邮件。该邮件——以书面形式,使用X公司的信头纸——指出该账户已被 恢复了全部功能. 该账户尚未恢复。付费订阅仍在继续扣费。也没有第三封邮件来撤回第二封邮件的内容。X公司最近对我们的承诺根本没有得到履行。

有两种可能。两种都不好。

要么第二封电子邮件是真实的 — 自动化系统审查了该上诉,认定未构成违规,但某未具名方正无视该裁决,继续维持禁令。

或者第2封电子邮件是假的 ——这是误发的,真正的决定仍是第1封邮件,而且X尚未以书面形式发布更正声明。

不存在第三种可能性。这两种情况都会让X颜面尽失,其中一种甚至会导致灾难性的后果。

为什么会发生这种情况

左边是NameSilo庇护的诈骗者;右边是NameSilo封口的调查人员
一手。两重保护。一道保护骗子,一道让揭发他们的研究人员噤声。

3月27日,我们发布了 xmrwallet[.]com 的终结:NameSilo 为庇护一名加密货币窃贼而撒谎. 该调查结果可复现:PHP 端点数据转储、存档的语句,以及 15 例以上有记录的受害者。三家同行注册商(印度、马来西亚、中国)审查了相同的证据,并终止了其 xmrwallet 域名在几天内被注册。只有NameSilo为该诈骗者辩护。

接下来发生的事情很重要。顺序也很重要:

  1. 骗子起初是直接给我们发邮件的 ——这还是在NameSilo发表任何公开声明之前,在任何上诉提交之前。他的邮件告诉我们“起诉域名注册商”。这绝不是一个单打独斗的诈骗者写给追查他的研究人员的句子。这只有在对方已经确信域名注册商会支持自己时,才会写出的句子。 在我们记录过的其他诈骗分子中,从未见过这种反应。
  2. NameSilo随后发表了一份公开声明 其中包含两处可证伪的谬误,原文照录并 存档于我们的Medium调查报告中:
    “该域名几个月前曾遭到入侵” ——但这一说法与以下事实相矛盾:在NameSilo发表声明时,该运营商自己的防盗代码仍在生产环境中运行。
    “在此之前,我们从未收到过任何关于滥用的报告” ——这与我们针对此前多起滥用报告所出具的送达回执相矛盾,且这些回执附有完整的技术证据。
    该声明还指出: “注册人正在努力将其从VT报告中移除,” 这证实了NameSilo明确支持该运营商在盗取代码仍在运行期间试图移除VirusTotal检测结果的行为。
  3. 在同一份声明中, NameSilo 认为我们的研究不够严谨 以及 公开表示愿意帮助该运营商移除安全厂商的检测结果(VirusTotal、Fortinet)——而此时,该盗版代码仍在运行。
  4. 我们 如实作答 针对那份公开声明。禁止骚扰。禁止垃圾信息。禁止泄露个人信息。我们已在NameSilo选择的同一平台上更正了相关记录。
  5. 七天后, 两个 PhishDestroy X 账户被锁定. 给出的理由是:“付款问题”。订阅费用已支付。4月14日,理由变更为“异常行为”。上诉后,理由再次变更为“未违规,已恢复”。账号封禁状态以及未退还的款项则完全没有变化。
揭示真正原因的规律

NameSilo无法反驳这些证据——三家同业注册商均据此独立采取了行动。因此,他们采取了 xmrwallet 该运营商十年来一直对评论家们所做的事情: 利用官僚渠道压制了这种声音,却未就事实本身作出回应. 该操作者删除了20多个GitHub账号和200多条Trustpilot评论。NameSilo导致一个X账号被封禁。套路如出一辙,堪称企业级水准。

NameSilo 与该诈骗者之间有联系吗?

xmrwallet[.]com 该运营商自信地回应了滥用举报,与注册商同步发布推文并采用统一的回应措辞,而且在长达十年的投诉期间从未转移过该域名。这并非紧张的诈骗者会有的表现,而是与注册商有内通安排的诈骗者才会有的表现。

在我们记录的一百多起网络钓鱼运营者案件中,此前从未见过这种特定的操作序列:

这是我们从未在其他诈骗分子身上见过的套路
  1. 是骗子先给我们发消息的。 在NameSilo发表任何公开声明之前,在任何上诉提交之前——该运营商本人就已通过电子邮件联系了PhishDestroy。其身份已在 《Medium》调查报道:这些电子邮件来自 xmrwallet[.]com 操作员,可通过其仓库足迹公开识别为 娜塔莉·罗伊 (加拿大),GitHub nathroy, Reddit, Reddit u/WiseSolution, 被禁止在 r/Monero 2018年。
  2. 他的原话(逐字记录,已存档):“请随意向域名注册商发出传票。” 他既没有说“把它撤下来”,也没有说“我会解决的”。他明确指明应追究其域名注册商的责任——仿佛他早已知道该注册商不会对他采取行动,并且确信对方的法律立场经得起审查。这段引语保存在我们的 Medium调查(2026年3月16日).
  3. 直到那时,NameSilo才上市 他们编造了“我们的客户遭到了黑客攻击”这一借口——而仍在运行的盗取代码却与这一借口相矛盾——并声称“此前从未收到过滥用报告”,但我们的送达回执却与这一说法相矛盾。
  4. NameSilo随后将一个滥用平台的渠道转化为攻击工具 针对我们——使用该运营方此前已在 GitHub(20 多个账号被删除)、Trustpilot(200 多条评论被删除)和 BitcoinTalk 上实施过的同一套压制手段。

该运营商的基础设施并非业余爱好者所能比拟。根据我们的 《Medium》调查报道, xmrwallet[.]com 托管于 $550/month bulletproof hosting via IQWeb FZ-LLC (注册于 伯利兹),在……后面 DDoS-Guard (俄罗斯)。这是一个专业、经过精心准备且能抵御攻击的系统——绝非一个临时搭建的诈骗页面。一名操作者既运行着经过精心准备的、坚不可摧的基础设施,又让其域名注册商公开代表他发表辩护声明,这至少是一项协调得异常周密的行动。

我们无法仅凭NameSilo账簿以外的信息来证明这种关联。只有他们的内部记录才能证明这一点。但根据现有证据,仍有两种解释:要么该运营商是过去十年间最自信的加密货币诈骗犯,并且准确预判到他的域名注册商会出于本能为他提供庇护—— 他们之间存在某种未公开的关系。前者应接受公众监督,后者则应被传唤。欧盟各司法管辖区的执法部门目前正在调查此案的来龙去脉。

直接证据:NameSilo的公开表态与实际情况的对比

上文所述描述了一种模式。本节记录了NameSilo的公开声明与我们自己的第一手记录之间存在的具体事实矛盾。我们并不要求任何人仅凭信任就相信我们——以下每一项内容均可通过第三方档案、送达回执以及Wayback Machine进行核实。

NameSilo的公开信息,以及为何这些信息与我们的记录不符
  1. 公开声明:“此前不存在虐待报告/未在合规时限内收到相关报告。”
    我们的战绩: 由 PhishDestroy 团队亲自发送 三年内(2023–2026年)收到20多份滥用通知 用于 xmrwallet[.]com 及相关基础设施。每次提交均通过 NameSilo 公开的滥用举报渠道进行,生成了跟踪编号,并且——在多起案例中——收到了自动回复确认邮件,这些邮件至今仍保存在我们的邮件存档中。我们已妥善保存了这些收据。 我们将向任何提出请求的 ICANN、GDPR、欧盟执法机构或法院程序,完整地提供这些收据。一家注册商在三年后声称“我们什么都没收到”, 有据可查 投诉并非行政疏忽。这是可以证明的事实性误述。
  2. 公开声明:“这是一次性的妥协;该客户遭到了黑客攻击。”
    我们的战绩: 盗窃代码位于 xmrwallet[.]com 始终保持在线状态 连续十年 具有相同的钱包替换行为、相同的操作符指纹(娜塔莉·罗伊 / nathroy / u/WiseSolution),以及相同的防弹堆栈($550/mo IQWeb FZ-LLC in Belize behind DDoS-Guard). 一项持续十年且能支付稳定、万无一失的账单的妥协,并不是妥协。它是一种 商业. 我们亲自了解——并已获得引用许可—— 至少有一位与我们团队关系密切的人 在我们开始公开调查之前,就有人在该域名上蒙受了经济损失。这并非理论上的损害,而是一个具体的人。
  3. DDoS-Guard → GitHub 的关联说法缺乏可信度。
    与NameSilo立场一致的论调曾提出一种观点,即该运营商的基础设施在某种程度上证明他仅仅是一个缺乏组织性的开源贡献者。一个被隐藏在俄罗斯防DDoS服务背后长达十年的域名,其费用通过伯利兹的离岸公司结构支付,这与“拥有GitHub主页的普通人”的形象并不相符。 没有任何理性的观察者——无论是否具备技术背景——会接受这种论调。我们在此特别指出这一点,是因为沉默可能会被误解为默认。

“清理模式”:账号,而不仅仅是评论

在为期三年的调查过程中,我们实时观察到了压制层在三个不同平台上的运作情况。其运作模式具有相当的一致性,因此我们每次在发布前都会先进行存档。

  • GitHub. 全部 账户 发布了提及以下内容的问题或评论: xmrwallet[.]com 已被删除——不是单条评论,也不是讨论串,而是整个账户。我们通过Wayback Machine存档了相关讨论串,其中评论者的个人资料页面现在显示404错误。任何进行调查的人都可以通过正当的法律程序向GitHub查询,有多少个用户账户的帖子中提到了 xmrwallet 在2018年至2026年期间关闭的机构,以及其声明的关闭原因。我们预计这一数字不会很少。
  • Trustpilot。 数十条真实的负面评论在接连数轮中被删除。这些删除行为与每次公众投诉周期相吻合,这表明是协调一致的举报行为,而非自然发生的审核结果。再次强调,Trustpilot的内部删除日志(已根据传票提交)才是最终的记录。
  • X(Twitter)。 针对这些涉嫌诈骗账号的批评性回复以一种难以用常规平台政策解释的速度消失了。在我们 @Phish_Destroy 当该账号最终以一个反复变换的理由被封禁时(参见上文的邮件记录),事情的来龙去脉便豁然明了。多年来针对个人投诉者使用的同一套打压手段,如今正被用来对付一个研究账号。

我们想明确一点:我们并非在主张心灵感应。我们主张的是有据可查的时间线。 发布。归档。删除。如此循环往复,在三个平台上,针对同一目标,持续十年之久,而域名注册商却从未转移过该域名。 这一时间线并不需要阴谋论来解释。它只需要提出一份公共记录申请。

如果您是 xmrwallet[.]com — 请上前

我们知道还有更多像你们这样的人。此前,一些资金受损的人曾私下联系我们,但当时由于该运营商仍在运营,且其域名注册商仍在公开为其辩护,他们不敢公开露面。如今形势已发生变化。该运营活动已被曝光,其基础设施已被记录在案,欧盟各司法管辖区的执法部门正在调查此案。

如果您在 xmrwallet[.]com — 三个实用步骤
  1. 向警方正式报案 在您居住的国家/地区。请参考该域名 xmrwallet[.]com,大致日期和金额,以及收款钱包地址(如有)。只有提交警方报案单,交易所才会解锁后续的资产冻结请求。
  2. 保存每一件文物: 截图、浏览器历史记录、电子邮件收据、交易 ID、钱包地址、批准签名。不要以为下周这些内容还会在线上。请本地保存 以及 提交至 archive.org.
  3. 告诉我们吧。 写信至 report@phishdestroy.io 或通过私信联系 @PhishDestroy_bot. 未经您同意,我们不会公开您的身份。您的证词——即使是匿名的——也有助于加强针对助长盗窃行为的这一基础设施的指控。

对于那些能够实际强制要求披露信息的机构——ICANN合规部门、欧盟GDPR监管机构、加拿大反欺诈中心(该运营商为加拿大企业)、相关税务机关,以及对NameSilo运营实体具有管辖权的任何法院:原始证据资料均已妥善保存,并可应要求提供。 包括送达回执、Wayback 存档、Medium 文章、域名报告基础设施图以及附有签字同意书的受害者证词。我们并未隐瞒任何证据,而是以你们能够实际使用的形式保存了这些证据。

把黑说成白,黑也不会因此变成白。十年的公开证据、20多份有据可查的滥用通知、一台由“Bulletproof”托管的盗窃机器、横跨三个平台的协同账号删除行为、一个被封禁的研究账号,以及身份早已公开的指定运营者——这绝非公关问题,而是管辖权问题。 我们确信,现有公开记录中已包含足够的信息来解决这一问题。

受害者:究竟谁受到了伤害

NameSilo的潜台词是:他们选择点击平台的“举报”按钮而非发布更正声明,这其实是在说“我们不喜欢被曝光”。这倒也情有可原。毕竟,很少有人喜欢被曝光。但把这两种伤害放在同一天平上权衡一下。

不对称性

NameSilo因我们的报道而遭受的损害: 尴尬。

受害者在NameSilo庇护所度过的十年间所遭受的伤害:

  • 一位用户: 590 XMR(约177,000美元) 在一笔被劫持的交易中丢失。
  • 最早有记录的案例:15起(Trustpilot、Sitejabber、BitcoinTalk)。
  • 地区: 不同地区 (受害者的陈述证实了这一点)。
  • 已确认总金额:2000万美元以上。 这是基于我们能够逐一核实的受害者报告得出的结论。
  • 我们的观点,虽有依据但未经证实:1亿美元以上。 该结论基于对受害者的调查以及行动持续时间。我们仅将其作为初步估计,无法公开证实。NameSilo若不公开其内部记录,也无法对此作出令人信服的否认。
  • 关于定价的重要说明。 我们的亏损总额是根据XMR汇率计算得出的 每次盗窃发生时,而不是按今天的门罗币价格计算。上文中的数字是受害者在遭受损失时实际损失的等值美元金额。
  • 欧盟各司法管辖区内的未结刑事案件。 这已不再仅仅是研究——而是执法行动。

自出版以来, 又有其他受害者直接联系了我们 其中包含具体的损失金额和交易ID。我们正在保存并核实这些报告。

将这两种危害视为同等严重——即允许注册机构压制记录该操作的研究人员——这本身就是一项政策失误。

《永久记录》

贴有“已归档”标签的服务器机架以及 NameSilo 账单的截图
NameSilo为xmrwallet运营商所作的每一条辩护声明,均被八个独立的发布系统完整保留下来。

屏蔽一个Twitter账号并不会消除证据。与本案相关的所有内容均已存档:

  • NameSilo在每次公开声明中为……辩护时 xmrwallet 操作员 — Wayback Machine、Archive.today、我们的 GitHub 证据存储库。
  • 生产环境中实时盗取代码的截图,附有时间戳。
  • 对8个PHP端点进行了逆向工程并发布。
  • 完整的滥用报告对话记录。
  • 我们在 X 上的全部时间线已同步至 Mastodon、Bluesky、Medium、Telegram、GitHub 和 IPFS。
  • 每小时的快照 phishdestroy.io 系统本身,保留14天,专门安装了这一功能,以确保我们编写的内容不会悄无声息地消失。

如果其中任何一个镜像站点被屏蔽,其内容仍会保留在其余七个镜像站点上。这种架构比 NameSilo 还要早出现,它将比 NameSilo 存续得更久。

这公平吗?给所有读者的五个问题

关于禁令的棘手问题信息图
可以回答的问题。每一个都值得公开回答。

这些并非修辞问句。请阅读上文的证据,然后自己做出判断——无论是在私下里、在你的时间线上,还是在决定是否保留或转移你的域名时。

  1. 一名安全研究人员因公开回应域名注册商自己的公开声明而被封禁,这公平吗? 登记员率先开口。研究人员用事实予以回应。结果只有一方被堵住了嘴。
  2. 一名注册管理机构的负责人在公开声明中,一方面将有据可查的研究斥为“不严肃”,另一方面却主动提出帮助诈骗者规避安全检测,这种做法是否可以接受? 这两件事都发生在NameSilo的一份声明中。该声明中并未提及受害者。
  3. X 是否可以以书面形式明确撤回其锁定理由(“未违规,已恢复”),却仍维持封禁措施? X平台自身最新的裁决指出,该账号应保持活跃状态。
  4. 当基础账户被锁定时,付费验证订阅是否仍会继续扣费? 如果服务未被提供,这算是一种产品——还是违约?
  5. ICANN 认证注册商的“良好信誉”是什么意思 如果一家经认证的注册管理机构能够利用第三方平台的滥用举报渠道,来压制记录其滥用响应失职情况的研究人员,该怎么办?这是一个合规问题,目前已将其纳入现有的《注册管理机构协议》(RAA)第3.18条的备案内容中。

如果任何一个答案是“不,这不公平”

以下是三项具体且无需成本的措施,按影响程度由小到大排列。

1. 公开分享

默默的不赞同毫无作用。公开施压才有效。只需点击一下,表单已预填:

2. 按姓名询问各方

@他们一下。沉默地表示不满毫无作用。读者公开提出的问题才会引起注意。

  • @NameSilo — 是 @Phish_Destroy 因您在公开声明中表示愿意帮助……而被禁言 xmrwallet “operator”的检测结果被移除了吗?
  • @X / @XSupport / @elonmusk — 第2封电子邮件中写道“已恢复全部功能”。但该账户已被锁定。究竟哪项决定有效?
  • @ICANN — 《RAA》第3.18条是否涵盖注册机构对研究人员的报复行为?
  • @Tucows ——针对研究人员的平台滥用报复行为是否符合贵公司的OpenSRS经销商标准?

3. 转移您的域名(这一步最让人头疼)

企业关注的是营收损失,而不是推文。转账大约需要十五分钟。我们的 注册商统计页面 列出了滥用响应记录良好的注册商。每个迁移的域名都是 NameSilo 高管下个季度将看到的一个续费数据点。

如果您是一家组织——无论是加密货币项目、漏洞赏金平台、新闻媒体还是威胁情报公司——且 任何 NameSilo 上的域名:请思考一下,向一家曾庇护一起涉案金额超过 2000 万美元的盗窃案、随后又压制了记录此事的研究人员的域名注册商提供资金,这意味着什么。你可以公开采取这一行动。这具有重要意义。

结语

一个被红色“举报滥用”橡胶印章压扁的扩音器
你不能一边为一个涉案金额超过2000万美元的盗窃团伙提供长达十年的庇护,一边在公众面前撒谎,然后又悄无声息地打压那个揭发你的研究人员。
你不可能在十年间包庇一起涉案金额超过2000万美元的盗窃案,还在公开场合撒谎掩盖,并对揭发你的研究人员进行报复——然后让整件事就这样悄无声息地被遗忘。尤其是在欧盟执法部门正在调查此案的情况下,更是绝无可能。

我们并不是要你们轻信我们的说法。上述每一项事实陈述都附有链接、附有佐证、带有时间戳、已进行异地存档,并且可以复现。 我们希望您能审视这些证据,亲自回答这五个问题,并根据自己的答案采取行动。这才是公平的体现——读者通过查阅证据并自行做出判断。这也正是“封口”行为试图阻止的。

PhishDestroy 是一家独立的威胁情报机构。零付费、零赞助、零利益输送。我们只发布自己的发现。正因如此,NameSilo 将我们封禁了。

原始调查: phishdestroy.io/xmrwallet-NameSilo-exposed
Medium 调查报道(一手资料): PhishDestroy.medium.com/xmrwallet-com-2953f35b8a79
证据库: github.com/PhishDestroy

分享此调查

X / Twitter Telegram Reddit 领英

相关调查

xmrwallet 内幕曝光:10年来被盗的密钥
深度调查
xmrwallet 内幕曝光:10年来被盗的密钥
NiceNIC调查:ICANN注册商助长网络犯罪
深度调查
NiceNIC调查:ICANN注册商助长网络犯罪
NameSilo、Webnic、NiceNIC:助长诈骗的域名注册商
调查
NameSilo、Webnic、NiceNIC:助长诈骗的域名注册商