نهاية موقع xmrwallet[.]com: «NameSilo» كذبت لحماية سارق سرق 2 مليون دولار
بعد 10 سنوات من سرقة مفاتيح «مونيرو» الخاصة، تم إحباط العملية. فقد اتخذت ثلاث شركات تسجيل إجراءات في غضون أيام. أما الشركة الرابعة — «NameSilo» — فقد اتصلت بالمحتال، وصدقت روايته، وأصبحت المتحدث الرسمي باسمه.

ما الذي فعله موقع xmrwallet[.]com بالفعل
منذ عام 2016، كان موقع xmrwallet[.]com يروّج لنفسه باعتباره محفظة «مونيرو» مجانية ومفتوحة المصدر. وقد التسجيل المباشر لشبكة الإنترنت في 18 فبراير 2026 أثبتت أنها كانت تقوم بشيء مختلف تمامًا: سرقة مفاتيح العرض الخاصة بعملة «مونيرو» عند كل عملية تسجيل دخول، واختطاف المعاملات من جانب الخادم.

ليس كودًا مُدرجًا — الـ البنية الأساسية. نظام جلسات يمتد عبر 8 نقاط نهاية PHP، يقوم بنقل مفتاح العرض الخاص للضحية أكثر من 40 مرة في كل جلسة. عندما كان المستخدمون يرسلون XMR، كانت معاملاتهم تُستبعد دون إشعار (raw_tx_and_hash.raw = 0) واستُبدلت ببيانات المحتال.

أشارت ستة شركات متخصصة في مجال الأمن على موقع VirusTotal إلى أنه برنامج ضار. وهناك خمسة عشر ضحية موثقة عبر مواقع Trustpilot وSitejabber وBitcoinTalk. وقد خسر أحد الضحايا 590 XMR (حوالي 177,000 دولار) في عملية سرقة واحدة.


ثلاثة مسجلين أدوا واجبهم
لقد قدمنا بلاغات متطابقة بشأن إساءة الاستخدام إلى جميع جهات التسجيل الأربع التي تستضيف نطاقات xmrwallet. وقد اتخذت ثلاث منها إجراءات فورية:

سجل الملكية العامة
الهند · الأيام المتبقية لاتخاذ إجراء
WebNic
ماليزيا · عدد الأيام المتبقية لاتخاذ إجراء
NiceNIC
الصين · لم يتبق سوى أسابيع لاتخاذ الإجراءات اللازمة
NameSilo
الولايات المتحدة الأمريكية · محتال تمت تبرئته
الهند، ماليزيا، الصين — قامت هذه الدول بمراجعة الأدلة، وتوصلت إلى وجود احتيال، وقامت بتعليق النطاقات. دون طرح أي أسئلة.
«NameSilo» اختارت مسارًا مختلفًا
المسجل الرابع — شركة NameSilo, LLC (الولايات المتحدة الأمريكية) — التي تستضيف النطاق الرئيسي الذي يحتوي على أكبر قدر من الأدلة ويضم أكبر عدد من الضحايا — فعلت العكس تمامًا. فقد اتصلت بالمحتال، وصدقت روايته، ونشرت بيانًا عامًا تدافع فيه عنه:

"أجرى فريق مكافحة إساءة الاستخدام لدينا مراجعة متعمقة لهذه الحالة، ويبدو أن هذا النطاق قد تعرض للاختراق قبل بضعة أشهر... وبعد تحقيق شامل، توصل فريقنا إلى أدلة تشير إلى أن الاختراق لم يكن له علاقة بمالك النطاق... كما يعمل مالك النطاق حالياً على إزالة الموقع من قوائم تقارير VT."
— NameSilo، عبر X (Twitter)
قمنا بتحليل هذا البيان سطراً سطراً. كل هذه الادعاءات كانت كاذبة.
كلمات المشغل نفسه
قبل تدخل NameSilo، رد المشغل مباشرةً على تقريرنا المتعلق بالإساءة. وتؤكد رسائله الإلكترونية علمه بالأمر ونيته:


سبع أكاذيب، تم كشفها
تُعد آلية السرقة هي البنية الأساسية — 8 نقاط نهاية PHP، وتسريب مفتاح Base64، و فجوة في عمليات الإرسال على GitHub مدتها 5.3 سنة. تم بناء هذا النظام على مدار سنوات، ولم يتم إنشاؤه بين عشية وضحاها.
ستة مزودي خدمة VirusTotal، وشكاوى على موقع Trustpilot تعود إلى سنوات مضت، وموضوع تحذيري على منتدى BitcoinTalk، والمشغل تم حظره من r/Monero في عام 2018. كان من الممكن معرفة ذلك بمجرد إجراء بحث واحد على جوجل.
تم تسجيل المشغل 4 نطاقات «escape» موزعة على 4 جهات تسجيل (مدفوعة مسبقًا لمدة 5-10 سنوات لكل منها) قبل تم نشر نتائج التحقيق. تم حذف أكثر من 21 مشكلة على GitHub. تم توظيف مطورين لإنشاء نظام «كابتشا». هذا ليس ضحية — بل عملية.
كان «كود السرقة» قيد التشغيل في بيئة الإنتاج خلال بيان «NameSilo». لم يتم إجراء أي عمليات «كوميت» على GitHub تتعلق بأي حادث. ولم يتم التراجع عن أي شيء.
أشادت شركة NameSilo بالمحتال لجهوده في الضغط من أجل إزالة ميزة «Phishing» الخاصة بشركة Fortinet — دون إزالة كود التصيد الاحتيالي. هذا ليس تصرفًا ينم عن حسن نية. بل هو إخفاء للتحذيرات الأمنية.
تحويل عبء الإثبات إلى المبلغ حتى يتمكنوا من إغلاق القضية. فقد كانت الأدلة موجودة في التقرير. ولم يكن هناك داعٍ لأن يسأل ثلاثة من المسجلين الزملاء.
عبارة «إعادة فتح» تعني أنه كان مفتوحًا في السابق. وقد تمثلت تحقيقاتهم في الاتصال بالمحتال وتدوين ما قاله. هذا ليس تحقيقًا — بل مجرد تدوين.
أدلة تتعلق بالبنية التحتية



الخط الزمني: سقوط xmrwallet
الحكم
لم تتجاهل شركة NameSilo الأدلة. فقد قرأوها، واتصلوا بالمحتال، وصدقوه، وأعلنوا براءته، وساعدوا في إخفاء التحذيرات الأمنية. ثم طلبوا من الباحثين إثبات أن الانتهاك «حدث مؤخرًا».
هذا ليس إهمالاً. بل هو شراكة.
الموقع معطل. وقد انتهت عملية الاحتيال. لكن حقيقة أن شركة تسجيل نطاقات أمريكية اختارت أن تختلق علنًا قصة تغطية لحماية سارق عملات مشفرة سرق مبلغ 2 مليون دولار — فهذا أمر سيظل يلاحق NameSilo لفترة طويلة جدًّا. وسيكون بيانهم الدليل الأول في كل دعوى قضائية تُرفع من الآن فصاعدًا.
إذا دافعت عن السارق، فستتحمل نصيبك من المسؤولية.
الأدلة والموارد
التحقيقات ذات الصلة
يستند هذا التحقيق إلى أدلة متاحة للجمهور، وتسجيلات حية للشبكة، ومعلومات استخباراتية مفتوحة المصدر (OSINT)، ومنصات المراجعة العامة، والبيان العام الحرفي الصادر عن NameSilo نفسها. ولم يتم إجراء أي وصول غير مصرح به. ويمكن إعادة التحقق من جميع النتائج بشكل مستقل.



