Startseite Zeitleiste Archiv Spiegel Für Opfer Kontakt

Beweismittelarchiv

Jeder Screenshot, jede E-Mail, jeder Artikel — hier aufbewahrt, weil der Betreiber und sein Registrar eine Geschichte davon haben, Beweismittel verschwinden zu lassen. SHA-256-Hashes für jede Datei sind in EVIDENCE_HASHES.txt.

9. MAI 2026 — xmrwallet.com IST IMMER NOCH AKTIV. NAMESILO INTERESSIERT ES NICHT.

NameSilo, LLC (IANA #1479) ist gleichgültig gegenüber Gesetzen, Vorschriften und den Rechten der Opfer, wenn es darum geht, diesen Betrug zu schützen. Die Seite bleibt live. Dutzende von Missbrauchsmeldungen — ignoriert. VirusTotal-Erkennungen von mehreren Sicherheitsanbietern — ignoriert. Dokumentierte Opfer mit spezifischen Verlustbeträgen — ignoriert. E-Mails des Betreibers, die die Kontrolle zugeben — ignoriert. SHA-256 verifizierte Beweismittel — ignoriert. ICANN Compliance-Einreichung — ignoriert. Öffentliche Bloßstellung auf Twitter mit über 11.000 Aufrufen — ignoriert. Ihr eigener 4-Lügen-Tweet, Zeile für Zeile widerlegt — es kümmert sie nicht. Der Betreiber veröffentlichte am 5. Mai einen „Abschiedsbrief“. Die Seite ist immer noch online. Menschen können immer noch jetzt Geld verlieren.

Wir fordern alle Opfer auf, Beschwerden direkt gegen NameSilo, LLC einzureichen — nicht nur gegen den Betreiber, sondern gegen den Registrar, der ihn wissentlich geschützt hat. Reichen Sie Beschwerde bei ICANN ein, bei Ihrer lokalen Strafverfolgungsbehörde, beim FBI IC3, bei europäischen Cybercrime-Einheiten. NameSilo ist ein US-amerikanisches Unternehmen. Sie können zur Rechenschaft gezogen werden.

Wir haben Beweise für eine direkte russische Verbindung zwischen dem Betreiber und dem Registrar. Wir haben Beweise, dass sie miteinander verbunden sind. Sollen sie nur weiterhin die Spuren des jeweils anderen löschen — sie haben Millionen gestohlen und sind Clowns, die glauben, dass es sie nicht einholen wird.

Kontaktieren Sie uns: [email protected] — wir werden unser Wissen mit jedem Opfer, Ermittler oder Staatsanwalt teilen.

E-Mails des Betreibers

Direkte Korrespondenz mit dem xmrwallet-Betreiber

E-Mail des Betreibers 16. Feb
Beweismittel Nr. 01
16. Februar 2026 — Betreiber „N.R.“ sendet E-Mails an PhishDestroy und fordert die Entfernung des Berichts. Behauptet, xmrwallet sei legitim, „non-custodial“, „alles wird lokal in Ihrem Browser erledigt.“ Die Seite stiehlt private Schlüssel.
PhishDestroy Antwort 16. Feb
Beweismittel Nr. 01b
16. Februar 2026 — PhishDestroys Antwort an den Betreiber mit technischen Beweismitteln für den Diebstahlmechanismus.
NameSilos öffentliche Stellungnahme

13. März 2026 — 4 Sätze, 4 Lügen

NameSilo Tweet - GhostArchive
Beweismittel Nr. 12
NameSilos offizieller Tweet xmrwallet.com verteidigend. Behauptet, die Domain sei „kompromittiert“ gewesen, bestreitet den Empfang von Missbrauchsmeldungen, bietet an, VirusTotal-Erkennungen zu entfernen. Alle 4 Behauptungen als falsch erwiesen. Vollständige Widerlegung →
NameSilo Tweet vollständig
Beweismittel Nr. 13
Vollständiger Tweet-Thread — GhostArchive permanente Kopie. 11.300 Aufrufe.
NameSilo Statement Screenshot
Beweismittel Nr. 03
Direkter Screenshot von NameSilos Stellungnahme vom 13. März. SHA-256 verifiziert.
@Phish_Destroy Rebuttals

14.-16. März 2026 — bevor das Konto gesperrt wurde

NameSilo lügt Tweet
Beweismittel Nr. 04a
„@NameSilo lügt“ — direkte Widerlegung unter Bezugnahme auf die eigenen E-Mails des Betreibers.
Pressesprecher Tweet
Beweismittel Nr. 04b
„@NameSilo agiert als Pressesprecher“ für eine Monero-Diebstahlsoperation im Wert von über 20 Mio. $.
Ehrliche Frage Tweet
Beweismittel Nr. 04c
„Ehrliche Frage an @NameSilo: Wer ist dieser Betreiber für Sie?“
CryptOpus Zitat-Tweet
Beweismittel Nr. 04d
CryptOpus Thread-Zitat — unabhängiger Forscher, der xmrwallet seit 2022 dokumentiert.
Lügen aufgedeckt Thread
Beweismittel Nr. 14
Thread: Lügen aufgedeckt — Thread vom 14. März, der jede Lüge aufschlüsselt.
Missbrauchsabteilung Schande
Beweismittel Nr. 15
Die Missbrauchsabteilung von NameSilo ist eine Schande — Dokumentation des Versäumnisses zu handeln.
VT Delisting-Dienst
Beweis #16
„VirusTotal De-Listing-Dienst“ — NameSilo bietet an, Sicherheitserkennungen für einen bekannten Abzocker zu entfernen.
Registrare Vergleich
Beweis #05
Registrar-Vergleich — andere Registrare handelten aufgrund von Missbrauchsmeldungen. NameSilo verteidigte den Betrüger.
X Support-Widerspruch

15. April 2026 — „Kein Verstoß. Konto wiederhergestellt.“ Immer noch gesperrt.

X Support keine Verletzung
Beweis #06a
„Unsere automatisierten Systeme haben festgestellt, dass kein Verstoß vorlag, und Ihr Konto vollständig wiederhergestellt.“ Das Konto ist immer noch gesperrt.
X Support Betreff wiederhergestellt
Beweis #06b
E-Mail-Betreff: „Ihr Konto wurde wiederhergestellt.“ Das stimmt nicht. Die Gold-Häkchen-Überschreibung bleibt bestehen.
Plattform & Infrastruktur

PhishDestroy Plattform-Screenshot

PhishDestroy Plattform
Beweis #09
PhishDestroy.io platform — das Forschungs-Dashboard, das NameSilo und der Betreiber zu löschen versuchen.
Artikel & Forschung

Gespiegelte Artikel — falls sie versuchen, auch diese zu löschen

Medium Spiegel

xmrwallet.com — Das vollständige Exposé

Vollständiger Medium-Artikel lokal gespiegelt. Original: phishdestroy.medium.com

 Forschungsbeitrag

xmrwallet Betrug aufgedeckt

Haupt-Exposé — Diebstahlmechanismus, PHP-Endpunkte, serverseitige TX-Hijacking.

 Forschungsbeitrag

NameSilo xmrwallet Vertuschung

Wie der Registrar eine Diebstahloperation im Wert von über 20 Mio. $ öffentlich verteidigte.

 Forschungsbeitrag

Ist xmrwallet sicher?

Sicherheitsanalyse — warum xmrwallet.com Ihr Monero stiehlt.

 Forschungsbeitrag

Captcha umgangen

Wie wir das Anti-Analyse-Captcha des Betreibers umgangen haben.

 Forschungsbeitrag

Nathalie Roy — Identität des Betreibers

Untersuchung der Person hinter xmrwallet.com.

 Forschungsbeitrag

Gelöschte Beweise

Was der Betreiber gelöscht hat — und was wir zwischengespeichert haben, bevor es verschwand.

 Forschungsbeitrag

Sichere Monero Wallet-Alternativen

Empfohlene Alternativen zu xmrwallet.com.

 Zwischengespeichert

Alle gelöschten Beweise

GitHub-Issues, Rezensionen, Beiträge — alles, was der Betreiber zu löschen versuchte.

 Zwischengespeichertes Issue

GitHub Issue #35

Gelöschter Opferbericht — von GitHub vor der Entfernung zwischengespeichert.

 Zwischengespeichertes Issue

GitHub Issue #36

Gelöschter Opferbericht — von GitHub vor der Entfernung zwischengespeichert.

 Einreichung

ICANN-Beschwerde

Die formelle Beschwerde, eingereicht bei ICANN Contractual Compliance.
Beweisdokumente

Vollständige Fallakte — markdown, lesbar, verlinkbar

Dokument

DIE LÜGEN

4 Sätze, 4 Lügen — Zeile für Zeile Entlarvung von NameSilos Tweet.

 Dokument

BEWEISE

SHA-256 verifizierte Beweiskette und Dokumentation der Beweise.

 Dokument

BETREIBERPROFIL

Wer ist „N.R.“? Infrastrukturanalyse und Identifikation.

 Dokument

DRUCK-KAMPAGNE

Jeder Unterdrückungsversuch dokumentiert — Twitter, Bing, GitHub, YouTube.

 Dokument

DIE VERBINDUNG

Was verbindet den Betreiber mit NameSilo?

 Dokument

TECHNISCHE ANALYSE

8 PHP-Endpunkte, session_key Exfiltration, serverseitige TX-Hijacking.

 Dokument

VOLLSTÄNDIGER ARTIKEL

Vollständiger Untersuchungsartikel — alles in einem Dokument.

 Dokument

TWITTER ARCHIV

Wie @Phish_Destroy-Tweets vor der Sperrung archiviert wurden.

 Dokument

QUELLEN

Alle externen Referenzen mit unveränderlichen Archiv-URLs.
Abschied des Betreibers — 5. Mai 2026

Der Betreiber postete einen Abschiedsbrief. Vor 3 Tagen. Lesen Sie ihn sorgfältig.

Neue Beweise — 5. Mai 2026

Der Betreiber aktualisierte github.com/XMRWallet/Website am 5. Mai 2026 mit einem „Abschiedsbrief“, in dem behauptet wird, aufgrund von „anhaltenden Angriffen“ zu schließen.

Wesentliche Lügen im Abschiedsbrief:

  • „Ein View Key gewährt dem Dienst keinen Zugriff auf Ihre Gelder und kann dies auch nicht“ — Falsch. Wir dokumentierten serverseitige Transaktions-Hijacking. Der Server benötigt den Spend Key nicht — er steuert die Transaktionserstellung selbst.
  • „Ihre Gelder sind sicher“ — nach 10 Jahren Diebstahl aus Tausenden von Wallets.
  • „Ziel anhaltender Angriffe“ — die Aufdeckung einer Diebstahloperation im Wert von über 20 Mio. $ wird als „Angriffe“ umgedeutet.
  • „unfinanziertes Projekt, das in der Freizeit gepflegt wird“ — 550+ $/Monat DDoS-Guard Hosting, 50+ bezahlte SEO-Artikel, 5+ Escape-Domains mit 5-10 Jahren Vorauszahlung der Registrierungen.
  • Unterzeichnet als „Der Ersteller von xmrwallet.com“ — verwendet nicht mehr den Namen Nathalie Roy.

Gespeicherte Kopie → · Wayback →

Gelöschte GitHub Issues — Wayback-Beweis

Über 21 Issues gelöscht. Die Wayback Machine erinnert sich.

Diese Issues wurden vom Betreiber gelöscht, um Opferberichte und Sicherheitsanalysen zu unterdrücken. Die Wayback Machine hat sie vor der Löschung erfasst.

Wayback — 23. Nov 2020

Issue #11

Vom Betreiber gelöscht. Wayback Machine bewahrte Schnappschuss.

 Wayback — 23. Nov 2020

Issue #12

Vom Betreiber gelöscht. Wayback Machine bewahrte Schnappschuss.

 Wayback — 23. Nov 2020

Issue #13

Vom Betreiber gelöscht. Wayback Machine bewahrte Schnappschuss.

 Wayback — 23. Nov 2020

Issue #15

Vom Betreiber gelöscht. Wayback Machine bewahrte Schnappschuss.

 Zwischengespeichert — Feb 2026

Issue #35

Umfassende Betrugsdokumentation. Gelöscht am 23. Feb 2026. Unsere zwischengespeicherte Kopie.

 Zwischengespeichert — Feb 2026

Issue #36

Opferbericht mit technischen Beweisen. Gelöscht am 23. Feb 2026. Unsere zwischengespeicherte Kopie.
Community-Berichte — Reddit, uBlock, Foren

Unabhängige Berichte aus der Community

Herald Sheets — Presse

Bitazu Capital Gründungsmitglied verliert 20.000 $ in XMR durch xmrwallet

Soro Singh (@singhsoro), Gründungspartner von Bitazu Capital, verlor 20.000 $ in XMR durch xmrwallet.com. Unabhängige Presseberichterstattung. Hinweis: @Herald_Sheets Twitter account — ebenfalls gelöscht/gesperrt. Zufall?

Twitter — GELÖSCHT

@singhsoro original tweet — September 2020

Der ursprüngliche Opfer-Tweet von Soro Singh, der einen XMR-Diebstahl von 20.000 $ von xmrwallet.com meldete. Tweet gelöscht. Das Muster setzt sich fort: Jedes Opfer, das sich äußert, wird zum Schweigen gebracht. Meinungsfreiheit — oder Betrugsfreiheit für NameSilo?

 Twitter — GELÖSCHT

@Herald_Sheets — press account gone too

Herald Sheets berichtete über die 20.000 $-Verlustgeschichte von Bitazu Capital. Ihr Twitter-Account ist jetzt verschwunden. Ein weiterer Zufall. Wie viele Accounts müssen verschwinden, bevor jemand fragt, wer die Meldungen einreicht?

 Teletype — 27. Feb 2024

Opferbericht auf Teletype: „Über 200.000 $ gestohlen“

Unabhängiger Opferbericht auf der Teletype-Blogging-Plattform: „Über 200 Tausend Dollar gestohlen, bitte nutzen Sie diese Seite nicht.“ Veröffentlicht im Februar 2024 — ein ganzes Jahr bevor unsere Untersuchung öffentlich wurde.

 Reddit r/Monero — Dez 2020

„xmrwallet.com ist ein Betrug“

Direkter Opfer-Beitrag auf r/Monero vom Dezember 2020. Die Community wusste seit Jahren Bescheid. Es wurde nichts unternommen.

 Reddit r/monerosupport — Mai 2021

"xmrwallet.com Scam"

Opferbericht auf dem Monero Support Subreddit. Mai 2021.

 Reddit r/Monero — Aug. 2022

"xmrwallet.com Exit Scam"

Community-Diskussion über den xmrwallet Exit Scam. August 2022 — Jahre vor unserer Untersuchung.

 Reddit r/monerosupport — März 2021

"xmrwallet.com — mein Wallet wurde ausgeraubt"

Direkter Opferbericht: Wallet über xmrwallet.com ausgeraubt. März 2021.

 Reddit r/monerosupport — Dez. 2022

"xmrwallet.com betrügt mich"

Ein weiteres Opfer. Dezember 2022. Die Berichte reichen Jahre zurück. NameSilo behauptet „keine Missbrauchsmeldungen erhalten“.

 Reddit r/Monero — Okt. 2020

"PSA: xmrwallet.com ist ein Betrug, der Ihre Gelder stiehlt"

Öffentliche Bekanntmachung. Oktober 2020. Die Community wusste Bescheid. NameSilo wusste Bescheid. Niemand handelte.

 Reddit r/Monero — Nov. 2020

"Verwenden Sie xmrwallet.com nicht"

Community-Warnung. November 2020.

 Reddit r/Monero — Aug. 2020

"28 XMR heute aus meinem Wallet gestohlen"

28 XMR gestohlen. August 2020. Opferberichte reichen mindestens 6 Jahre zurück.

 Reddit r/monerosupport — Jan. 2021

"XMR-Wallet kompromittiert — alle XMR verloren"

Alles verloren. Januar 2021.

 Reddit r/Monero — Mai 2021

"Können wir als Community Cloudflare unter Druck setzen..."

Die Community versuchte, Cloudflare zum Handeln gegen xmrwallet zu bewegen. Mai 2021. Sogar die Community wusste, dass Infrastrukturanbieter mitschuldig waren.

 Reddit — Alle Erwähnungen

Gesamtsuche: alle xmrwallet.com-Threads

Dutzende weitere. Operator u/WiseSolution 2018 von r/Monero gebannt.

 BitcoinTalk

[WARNING] XMRWallet.com Scams — Stay vigilant!

Warnungs-Thread auf BitcoinTalk. Community-Warnung vor xmrwallet-Diebstahl.

 BitcoinTalk — Dez. 2025

"Verloren ~400 XMR durch die Nutzung von xmrwallet.com"

isisB2B verlor ~400 XMR (~$120K). Selektiver Betrug: Testtransaktionen gingen durch, große Überweisung nicht. Dezember 2025.

 BitcoinTalk — Dez. 2020

"Frage zur xmrwallet.com-Sicherheit"

Moderator-Antwort: „Wenn es ein Web-Wallet ist, können sie Ihre Gelder stehlen.“

 Sitejabber — 1,5/5 Bewertung

xmrwallet.com Bewertungen — 590 XMR gestohlen

4 Bewertungen, 1,5/5. Beinhaltet den größten dokumentierten Einzelverlust: 590 XMR (~$177K).

 ScamAdviser — 1/100

xmrwallet.com — Vertrauenswürdigkeits-Score: 1 von 100

Der niedrigstmögliche Vertrauenswürdigkeits-Score von ScamAdviser.

 Telegram — Apr. 2026

Chinesisches Opfer — $3.250 gestohlen

Opferbericht in chinesischer Monero Telegram-Gruppe. $3.250 durch xmrwallet.com verloren.

 bits.media (RU) — Dez. 2020

xmrwallet.com SCAM / Мошенник

Russischsprachiger Opferbericht. 30 XMR gestohlen (~$9K). „Admin protokolliert alle Seed-Phrasen, erhält Echtzeit-Guthabenbenachrichtigungen. 30 XMR eingezahlt — innerhalb von 5 Stunden an unbekannte Adresse transferiert.“ 3.800+ Aufrufe. Dezember 2020 — auf Russisch. Die russische Spur war von Anfang an sichtbar.

 Scamy.io

xmrwallet.com — Sicherheits- & Vertrauensanalyse

Unabhängige Betrugsanalyse. „Sich als Monero auszugeben ist besonders gefährlich.“

 Scam Detector

xmrwallet.com — Vertrauenswürdigkeits-Score: 33,5/100

Scam Detector stuft xmrwallet.com als „Mittleres Risiko / Warnung“ ein. Unabhängige automatisierte Analyse.

 uBlock Origin

uAssets Issue #25172 — xmrwallet.com zur Blockierliste hinzugefügt

xmrwallet.com wurde uBlock Origin gemeldet und von diesem blockiert — dem beliebtesten Ad-/Malware-Blocker. Community-Bestätigung der Klassifizierung als bösartig.

 TweetFeed IoC — 16. März 2026

xmrwallet.com im Threat-Intel-Feed protokolliert

Ein unabhängiger Threat-Intelligence-Feed von @0xDanielLopez erfasste xmrwallet.com als IoC aus einem Tweet von @skocherhan (2026-03-16 13:57:36). Der Tweet existierte. Er ist jetzt verschwunden. Meinungsfreiheit — oder Betrugsfreiheit?
Meinungsfreiheit — oder Betrugsfreiheit?

Eine Frage an X und an jeden, der dies untersucht.

Betrachten Sie das Muster:

Jedes einzelne Konto, das xmrwallet.com in einem negativen Kontext öffentlich erwähnte, wurde zum Schweigen gebracht. Jedes Einzelne. Der Corporate-Support-Kanal des Betreibers mit Gold-Häkchen setzt das eigene automatisierte Moderationssystem von X außer Kraft. Die Sperrung bleibt bestehen, obwohl X selbst keinen Verstoß festgestellt hat. Unser Abonnement wird weiterhin für ein Konto abgerechnet, auf das wir keinen Zugriff haben.

Angesichts des erklärten Bekenntnisses von X zur Meinungsfreiheit — Wer genau ist der Freund des Betreibers bei X? Wer bearbeitet diese Berichte? Wer setzt die automatisierte „kein Verstoß“-Feststellung außer Kraft? Dieses Muster erfordert eine Untersuchung: nicht durch uns, sondern durch das eigene Trust-and-Safety-Team von X oder durch jeden mit Vorladungsbefugnis.

Tweets über xmrwallet — prüfen Sie, welche überleben:

Inzwischen die SEO-Spam-Bots des Betreibers von 2018:

Öffnen Sie jeden Link. Sehen Sie, welche Warnungen überlebt haben und welche nicht. Dann prüfen Sie die Spam-Bots — alle leben noch. Das Muster spricht für sich.

Unser vollständiges Tweet-Archiv ist öffentlich einsehbar: vanlett.com/Phish_Destroy — lesen Sie jeden einzelnen Tweet. Anti-Phishing-Forschung, Missbrauchsmeldungen an Registrare, Beweisdokumentation. NiceNIC-Untersuchung (476 Likes, 192 RTs). NameSilo Exposee-Threads. Kein einziger Tweet verstößt gegen eine Plattformregel. Nicht einer. Das ist es, was sie gesperrt haben.

Meinungsfreiheit. Es sei denn, ein Betrüger mit Gold-Häkchen möchte nicht, dass Sie sprechen.

„SEO Grandpa“ — Bestellungen des Betreibers auf Google Drive

Freiberufliche Artikelbestellungen. Auf Google Drive. Offen sichtbar.

Der Betreiber bestellte bezahlte SEO-Artikel über Kwork, Freelancehunt und Zwischenhändler, um Opferbeschwerden in den Suchergebnissen zu vergraben. Die Bestellungen — komplett mit Artikeltexten, Linkbuilding-Anweisungen und Präsentationsmaterialien — sind auf Google Drive öffentlich indexiert. Deshalb nennen wir ihn „SEO Grandpa“ — ein jahrzehntealter Betrug, gestützt durch massenhaft gekaufte minderwertige Backlinks, gesponserte „Bewertungen“ und freiberufliche Artikelbestellungen von GUS-Marktplätzen. Die Designqualität seiner Materialien erinnert auffallend an das alte Admin-Panel von NameSilo (um 2011) — machen Sie daraus, was Sie wollen.

Google Drive Inhaber: [email protected] — diese E-Mail ist als Inhaber der SEO-Bestelldateien aufgeführt (zuletzt geändert am 20. Okt. 2023). Dies ist entweder die echte E-Mail des Betreibers oder die E-Mail eines Zwischenhändlers, der die Artikelbestellungen im Namen des Betreibers aufgegeben hat. So oder so — es ist jetzt aktenkundig.

Google Drive — Öffentlich

SEO-Artikelbestellungen — Ordner 1

Offener Ordner mit bezahlten Artikeltexten und Linkbuilding-Bestellungen für die xmrwallet-Promotion. Öffentlich indexiert.

 Google Drive — Öffentlich

SEO-Artikelbestellungen — Ordner 2

Zusätzliche bezahlte Content-Bestellungen. Gleicher Betreiber, gleiches Muster.

 Google Drive — Öffentlich

SEO-Artikelbestellungen — Ordner 3

Weitere Artikeltexte und Werbematerialien über freiberufliche Zwischenhändler bestellt.

 Google Slides — Öffentlich

xmrwallet Präsentation / Briefing

Werbepräsentation des Betreibers — wahrscheinlich für freiberufliche Artikelbriefings verwendet. Der Designstil ähnelt auffallend dem alten Admin-Panel von NameSilo (um 2011).

 Google Drawings — Öffentlich

xmrwallet Design / Grafiken

Google Forms — Öffentlich

 xmrwallet Formular / Umfrage

Google Sites — Öffentlich

Operator's Google Form — possibly used for data collection or feedback faking.

 Google Sites — Public

xmr-wallet1 — Google Sites Seite

Landingpage des Betreibers auf Google Sites für xmrwallet. Teil des SEO-Spam-Netzwerks — minderwertige Seiten, die entwickelt wurden, um das Suchmaschinenranking zu verbessern und Opfer umzuleiten.
Wayback Machine Archive

Unabhängige Momentaufnahmen Dritter — wir kontrollieren diese nicht

Unabhängig vom Internet Archive archiviert. Diese belegen, was zum Zeitpunkt der Erfassung online war. Wenn die Originale entfernt werden, bleiben diese erhalten.

Wayback — 8. Mai 2026

PhishDestroy GitHub Organisation

Momentaufnahme der vollständigen GitHub Organisationsseite mit allen öffentlichen Repositories.

 Wayback — 8. Mai 2026

namesilo-evidence Repository

Das vollständige Beweisdossier-Repo, wie es auf GitHub erschien.

 Wayback — 8. Mai 2026

DO-NOT-USE-xmrwallet-com Repository

Das xmrwallet Untersuchungs-Repo auf GitHub.

 Wayback — 8. Mai 2026

xmrwallet Forschung — GitHub Pages

Die veröffentlichte Forschungsseite, wie sie auf GitHub Pages erschien.

 Wayback — 11. April 2026

xmrwallet.com — Die Betrugsseite

Momentaufnahme der live geschalteten Betrugsseite. Beweis, dass sie in Betrieb war, nicht „kompromittiert“. Der Code stimmt mit unserer Analyse überein.

 Wayback — 20.-23. Februar 2026

xmrwallet.cc — Spiegel-Domain

Klon-Domain, registriert vom selben Betreiber. Identischer Code, identischer Diebstahlmechanismus. Wir haben diese abschalten lassen.

 Wayback — 20. Februar 2026

xmrwallet.biz — Spiegel-Domain

Ein weiterer Klon. Derselbe Betreiber, derselbe Code-Hash, dasselbe DDoS-Guard-Hosting. Abgeschaltet.

 Wayback — 12. März 2026

xmrwallet.me — Spiegel-Domain

Noch ein weiterer Klon. Alle Spiegel sind von der Hauptseite verlinkt, alle auf bulletproof Hosting, alle mit identischem Code.

 GhostArchive

Tweet von NameSilo — Permanentes Archiv

Der 4-Lügen-Tweet von NameSilo, LLC (IANA #1479). Unabhängige Kopie von GhostArchive. 11.3K Aufrufe.
Wayback Machine Screenshots — Opferberichte

Erfasst vor der Löschung

Beweismittel: github issue 15 Geld gestohlen
GitHub Issue #15 — Wayback
edieshow, 18. Mai 2020: "Die Seite war eine halbe Stunde lang nicht erreichbar, dann habe ich mich in mein Wallet eingeloggt. Es ist komplett leer und alle meine Gelder sind verschwunden. Mein System ist gehärtet und komplett sauber, es war also kein Hack von meiner Seite. Der Seed ist auf keinem Gerät gespeichert." VOM BETREIBER GELÖSCHT.
Beweismittel: github issue 13 Betrug
GitHub Issue #13 — Wayback
veteranxxx, 20. April 2019: "Projekt ist ein Betrug, nicht verwenden!!!!!" — Admin antwortet nicht, Geld verloren. Betreiber nathroy antwortet mit Vorlage. GELÖSCHT.
Beweismittel: bitcointalk 400xmr
BitcoinTalk — Dez. 2025
isisB2B verlor ~400 XMR (~$120K). Selektiver Betrug: Testtransaktionen gingen durch, große Überweisung nicht.
Beweismittel: bitsmedia russisches Opfer
bits.media (RU) — Dez. 2020
Staker43 verlor 30 XMR. Russischsprachiges Opfer. "Admin speichert Seed-Phrasen. Gestohlen 5 Stunden nach großer Einzahlung."
Beweismittel: github issue 13 Betrug
GitHub Issue #13
Gelöschter Opferbericht — "Scam"-Warnung auf dem xmrwallet GitHub Repository
Zusätzliche Screenshots & Technische Beweise

Weitere Beweise aus der Untersuchung

Beweismittel: issue35 Übersicht
Issue #35 Übersicht
Gelöschtes GitHub Issue #35 — Übersicht der Betrugsdokumentation
Beweismittel: issue35 Endpunkte
Issue #35 Endpunkte
8 PHP-Endpunkte, dokumentiert im gelöschten Issue #35
Beweismittel: issue35 Auth-Flow
Issue #35 Authentifizierungsablauf
Authentifizierungsablauf mit Session-Key-Exfiltration
Beweismittel: virustotal Erkennung
VirusTotal Erkennung
Mehrere Sicherheitsanbieter markieren xmrwallet.com als bösartig
Beweismittel: dnsmap xmrwallet com
DNS-Karte — xmrwallet.com
DNS-Infrastruktur-Zuordnung der primären Domain
Beweismittel: dnsmap xmrwallet cc
DNS-Karte — xmrwallet.cc
DNS-Zuordnung der Klon-Domain (gesperrt)
Beweismittel: dnsmap xmrwallet biz
DNS-Karte — xmrwallet.biz
DNS-Zuordnung der Klon-Domain (gesperrt)
Beweismittel: old ru dog
Russische Spur
Beweise für russischsprachige Betreiberaktivitäten
Alle Dokumente & Technische Dateien

Jede Datei im Archiv

Dokument

README — Haupt-Beweis-Repo

Vollständige Einführung, Spiegel, Hydra-Prinzip.

 Dokument

XMRWALLET TECHNISCH

Vollständige technische Analyse des Diebstahlmechanismus.

 Dokument

BEREITSTELLUNG

Bereitstellung, IPFS-Pinning, Anweisungen zur Massenarchivierung.

 Dokument

SICHERHEIT

Sicherheitsrichtlinie und verantwortungsvolle Offenlegung.

 Dokument

EVIDENCE.md

Index des Beweisverzeichnisses.

 Dokument

ARCHIVIERTER BEWEISINDEX

Vollständiger Index aller archivierten Quellen — Wayback, Reddit, BitcoinTalk, Trustpilot, Opfertabelle.

 Dokument

VERLORENE GELDER

Anweisungen für Opfer, die Gelder verloren haben.

 Dokument

BEWEIS-HASHS (xmrwallet)

SHA-256 Hashes für xmrwallet-Beweisdateien.

 Dokument

Nathalie Roy — Betreiberprofil

Betreiberidentifikation: GitHub nathroy, Reddit WiseSolution, [email protected].

 Dokument

Ist xmrwallet sicher?

Sicherheitsanalyse — nein, es stiehlt Ihre Schlüssel.

 Dokument

"Kein Betrug, vertrauen Sie mir"

Verteidigung des Betreibers analysiert.

 Dokument

Verwenden Sie getmonero.org stattdessen

Empfehlung für sicheres Wallet.

 Dokument

xmrwallet.com — Betrugsanalyse

Vollständige Betrugsdokumentation für die primäre Domain.

 Dokument

xmrwallet.biz — Gesperrt

Dokumentation zur Abschaltung der Klon-Domain.

 Dokument

xmrwallet.cc — Gesperrt

Abschaltung der Klon-Domain.

 Dokument

xmrwallet.onion — Tor-Spiegel

Onion-Domain-Analyse.

 Dokument

Zeitachse gelöschter Beweise

Was der Betreiber wann gelöscht hat.

 Dokument

Medium-Artikel — Volltext (MD)

Vollständiger Medium-Artikel im Markdown-Format.

 Technisch

IHRE SCHLÜSSEL SIND MEINE

Proof-of-Concept-Dokumentation für den Schlüsseldiebstahl.

 Technisch

captcha.js Quellcode

Captcha-Code des Betreibers — extrahiert und analysiert.

 Technisch

Dateien, die existieren sollten, aber nicht existieren

Fehlende Dateien im GitHub des Betreibers vs. Produktion — Beweis der Code-Divergenz.

 Werkzeuge

Untersuchungswerkzeuge

Werkzeuge, die bei der Untersuchung verwendet wurden.
NameSilo Domain-Anomalie-Bericht

5,1 Millionen Domains analysiert. 32% sind inaktiv. 12 Mio. $ verschwendet.

Wir haben alle 5.179.405 NameSilo Domains im Vergleich zu 7 anderen Registraren (insgesamt über 130 Mio.) analysiert. Die Rate inaktiver Domains von NameSilo ist doppelt so hoch wie der Branchendurchschnitt — 32,2% gegenüber 15-21%. Inaktive Registrierungen stiegen sprunghaft an um das Siebenfache zwischen 2023 und 2024. Massenregistrierungen von 10.000-17.000 Domains/Tag. 96% haben keine Kontakt-E-Mail. Konsistent mit Geldwäsche, Selbstbereicherung oder Umsatzinflation.

Bericht

Vollständige Anomalieanalyse

Über 130 Mio. Domains, 8 Registrare, detaillierte Tabellen und Ergebnisse.

 Daten

Alle 5,1 Mio. Domains herunterladen (54 MB gz)

Vollständiger Datensatz: Domain, Registrierungs-/Ablaufdaten, IP, E-Mail, Telefon, Majestic-Rang.

 Hashes

Vollständiges SHA-256 Manifest

36 Beweisdateien, alle einzeln gehasht.

Unternehmensbewertung: NameSilo Technologies Corp. (CSE: URL) — Marktkapitalisierung $112M, Umsatz C$65.5M, Nettomarge 1.7%, KGV 143.8x (Branchendurchschnitt 21x). Ein $112M-Unternehmen, das eine Diebstahloperation im Wert von über $100M schützt.

Designvergleich: Das Admin-Panel von NameSilo sieht aus, als wäre es 2011 erstellt worden — und wurde nie aktualisiert. Vergleichen Sie es mit fd.nic.ru (Russischer Registrar). Bemerkenswert ähnlich. Gleiche Ära, gleiche Ästhetik, gleiche Zielgruppe.

Beweismittel: Namesilo Domain-Konsole
NameSilo Konsole
Beweismittel: NameSilo Domain Manager UI
NameSilo Manager
Beweismittel: Namesilo DNS verwalten
NameSilo DNS
Beweismittel: NameSilo Domain Defender
NameSilo Defender
Tweet-Archiv — 31 Screenshots

@Phish_Destroy tweets — before X locked our account

Alle erfasst von vanlett.com/Phish_Destroy. Vollständiges Tweet-Archiv unserer Untersuchung. Keine einzige Regel verletzt.

Beweismittel: Screenshot 1 Beweismittel: Screenshot 2 Beweismittel: Screenshot 3 Beweismittel: Screenshot 4 Beweismittel: Screenshot 5 Beweismittel: Screenshot 6 Beweismittel: Screenshot 7 Beweismittel: Screenshot 8 Beweismittel: Screenshot 9 Beweismittel: Screenshot 10 Beweismittel: Screenshot 11 Beweismittel: Screenshot 15 Beweismittel: Screenshot 16 Beweismittel: Screenshot 17 Beweismittel: Screenshot 18 Beweismittel: Screenshot 20 Beweismittel: Screenshot 21 Beweismittel: Screenshot 24 Beweismittel: Screenshot 25 Beweismittel: Screenshot 26 Beweismittel: Screenshot 27 Beweismittel: Screenshot 28 Beweismittel: Screenshot 29 Beweismittel: Screenshot 30 Beweismittel: Screenshot 31
Integritätsprüfung

SHA-256 Fingerabdrücke — manipulationssicher

Jeder Screenshot wurde zum Zeitpunkt der Erfassung gehasht. Wenn eine Datei geändert wurde, stimmt der Hash nicht überein. Überprüfen Sie: cd evidence && sha256sum -c ../EVIDENCE_HASHES.txt

Insgesamt 36 Beweisdateien. Vollständiges Manifest: ALL_EVIDENCE_HASHES.txt · Original-Untergruppe: EVIDENCE_HASHES.txt

DateiSHA-256
PRIMÄRE BEWEISE
01-operator-email-feb16.png919b5ee4c0f3a889381c644b557736d35625c69abaddd0ec7a8251eb514b0111
01-phishdestroy-reply-feb16.pngecced35149dbf19dff7399cd86708d28aff7b8ab044e132c4c92cafbe222a753
03-namesilo-statement-mar13.pngad29e1d3d4803ff37c88ef860bef6de9e62f6ce533657f2e5c5460eb2e0b8ebf
04-tweet-cryptopus-quote.png6ffd3020793e9d850f0f10f7b4406b165e7d266d692a647ecb24eab9840e7f7f
04-tweet-honest-question.pngbbb0ecd0b7164bf91ace59bc0de01ae953a828a34765b36b89e07479e76ee674
04-tweet-namesilo-is-lying.pngc556e13ff0e4265cbba76b6a518f0862dee67467c1b264181e27eef8046eda6a
04-tweet-press-secretary.pngc9007cb4acf1a264fb82e36a57708a1c35e4b6824eb2734a6a7dff095588bd84
05-tweet-scam-banner-registrars.png6102d6c10b96e0035a90efaf2ba7f62a81f39d9ecadd2df73deced9985c6398d
06-x-support-no-violation.png2753d02ffeb1b2853bdc33ddec888e3652d9d3829b265e1228c8f28b53b86efa
06-x-support-subject-restored.png482d0ebba1656c3b338957e40cda0abc7a0017eb6ad08f2a0d639468298ccaf3
09-phishdestroy-platform.pngde5b430bb4cad5a422ddf1bb6a8c348fffdf0673e7ea8bfface4fb312f46b087
12-ghostarchive-namesilo-tweet-top.pnge7afa63c39dcd9392e0b8d3def6c21d520bea820e885df4cb6a01b323579f952
13-ghostarchive-namesilo-tweet-full.png94770cd763cded626365d9bcdf2c987b8d38cb0427dcf68835f7022522477c04
14-tweet-thread-mar14-lies-exposed.pnge26ca5edc2132806614d563673b7342b00bd77cd6f019d8bd34635fae8a1c34d
15-tweet-thread-mar14-abuse-dept-disgrace.pngaa6422a5ab92f39410e3d7dd0d72f6cf220564601968fe38442353d0d389ef73
16-tweet-mar14-vt-delisting-service.png7eb010e8255a81160c765cd1849f2793df407bbe2e4723c8914f8d63297bef50
UNTERSUCHUNGS-SCREENSHOTS
bitcointalk_400xmr.pngb99cec4e9f557541dd1500ce45c3d34b5421248f61f5a894614fb4bd2a9edbc0
bitsmedia_russian_victim.png1e370af06bec01d214c4dd5f8688612d2c4482430746e02bad52240e993a77f0
github_issue_13_scam.pngb91fe9258472fb0e4eef9e537c990e07f56fc9dd4b225960a62c2b8474b14546
github_issue_15_money_stolen.pngd538c04747420ae4c990baffcafe832c62a15914bb4f8302b4e062fb2ed791b3
TECHNISCHE BEWEISE
dnsmap-xmrwallet-com.pngb8d8c27169aa840ee330351abda5d4d33abcff4362084f28fb9f26cc368d4a25
dnsmap-xmrwallet-cc.png07b1071c98470c2fef001fe7d69c97c3955029024192a3cb764b8ed5ad64f35c
dnsmap-xmrwallet-biz.png7f7ba03b77b009efc349fb4cd854e1693d8768e5bc3a2314442a389a5abd54be
issue35-overview.pngc3ac6d16acbd893cc42702015bd55210c040811551250e947bad789cda3898eb
issue35-endpoints.pngc8f66a8e5f251abd9d939fdb3cb6c19eb9c23ba6e9de80611e490070cf91bd9b
issue35-authflow.png6424d90e169bbd8918a556f0fa37865db54842a052e6efcfb9931e389547cb84
virustotal-detection.png6e96941253dcc6fc33f075418147c17054397384c4e1c7fd5c956e5cabdb2983
old-ru-dog.pngc6eca7eb776a1b647abf786ec3ccd785a8da2dd627c835af6830e40064ec87a3
Auf Anfrage erhältlich

Hier nicht veröffentlicht — für ICANN / Gericht aufbewahrt

Eingeschränkt

Vollständiger E-Mail-Verlauf (16.-17. Feb. 2026)

Enthält die Aussage des Betreibers: "Gerne können Sie den Domain-Registrar vorladen, um meine Informationen zu erhalten." Verfügbar für ICANN Compliance und Strafverfolgungsbehörden.

Eingeschränkt

8 PHP Endpoint-Server-Erfassungen

Rohe HTTP-Traces, die die session_key-Exfiltration aus der xmrwallet.com-Produktion zeigen. Auszugsweise in der öffentlichen technischen Aufschlüsselung enthalten.

Eingeschränkt

20+ Zustellungsbestätigungen für Missbrauchsmeldungen

Bestätigungsseiten, Ticket-IDs, automatische Bestätigungen aus dem eigenen Erfassungssystem von NameSilo (2023-2026). Widerlegt die Aussage "keine Missbrauchsmeldungen erhalten".

Eingeschränkt

SMTP Header & Mailserver-Protokolle

Bestätigung der Daten und Authentizität der E-Mail-Korrespondenz des Betreibers.

Eingeschränkt

DDoS Quell-IP-Analyse

Verknüpfung des Angriffsverkehrs gegen phishdestroy.io mit der NameSilo Reseller-Infrastruktur. Separate Veröffentlichung ausstehend.

Kontakt

Zugang anfordern

Kontakt [email protected] mit Ihrer Rolle und den benötigten spezifischen Materialien.

← Zurück zum PhishDestroy Archiv
SHA-256 Hashes: EVIDENCE_HASHES.txt
Evidence: