العودة إلى الأخبار
تقرير التحقيق — النهائي

نهاية موقع xmrwallet[.]com: «NameSilo» كذبت لحماية سارق سرق 2 مليون دولار

بعد 10 سنوات من سرقة مفاتيح «مونيرو» الخاصة، تم إحباط العملية. فقد اتخذت ثلاث شركات تسجيل إجراءات في غضون أيام. أما الشركة الرابعة — «NameSilo» — فقد اتصلت بالمحتال، وصدقت روايته، وأصبحت المتحدث الرسمي باسمه.

27 مارس 2026 أبحاث PhishDestroy 12 دقيقة للقراءة
تحقيق حول موقع xmrwallet.com — كشف النقاب عن NameSilo
نظرة عامة على التحقيق: انهيار موقع xmrwallet[.]com ودور NameSilo في حماية المحتال.
$2M+
تقديرات المسروقات
10
سنوات النشاط
3/4
المسجلون الموقوفون
7
تثبت كذبة «NameSilo»
8
سرقة نقاط نهاية PHP

ما الذي فعله موقع xmrwallet[.]com بالفعل

منذ عام 2016، كان موقع xmrwallet[.]com يروّج لنفسه باعتباره محفظة «مونيرو» مجانية ومفتوحة المصدر. وقد التسجيل المباشر لشبكة الإنترنت في 18 فبراير 2026 أثبتت أنها كانت تقوم بشيء مختلف تمامًا: سرقة مفاتيح العرض الخاصة بعملة «مونيرو» عند كل عملية تسجيل دخول، واختطاف المعاملات من جانب الخادم.

هجوم استخراج مفاتيح «Monero View» — جهاز كمبيوتر محمول ينقل المفاتيح المسروقة إلى خادم المحتال
لقطة الشاشة 1 — آلية السرقة: كان كل تسجيل دخول إلى المحفظة ينقل مفتاح العرض الخاص للضحية في شبكة مونيرو إلى خادم المحتال عبر ترميز Base64.
آلية السرقة الأساسية

ليس كودًا مُدرجًا — الـ البنية الأساسية. نظام جلسات يمتد عبر 8 نقاط نهاية PHP، يقوم بنقل مفتاح العرض الخاص للضحية أكثر من 40 مرة في كل جلسة. عندما كان المستخدمون يرسلون XMR، كانت معاملاتهم تُستبعد دون إشعار (raw_tx_and_hash.raw = 0) واستُبدلت ببيانات المحتال.

يقوم المستخدم بفتح المحفظة
تم استخراج المفتاح (Base64)
تم اختراق TX من جانب الخادم
XMR المرسلة إلى المحتال
8 نقاط نهاية لـ API لبرمجة تطبيقات PHP استُخدمت لسرقة مفاتيح العرض — مستودع الأدلة على GitHub
لقطة الشاشة 2 — نقاط النهاية الثماني لـ PHP الموثقة في مستودع الأدلة الخاص بنا على GitHub. تشارك كل نقطة نهاية في سلسلة تسريب session_key/view_key.

أشارت ستة شركات متخصصة في مجال الأمن على موقع VirusTotal إلى أنه برنامج ضار. وهناك خمسة عشر ضحية موثقة عبر مواقع Trustpilot وSitejabber وBitcoinTalk. وقد خسر أحد الضحايا 590 XMR (حوالي 177,000 دولار) في عملية سرقة واحدة.

يُظهر فحص VirusTotal أن 6 من أصل 93 مزودًا قد صنفوا موقع xmrwallet.com على أنه ضار، بما في ذلك نظام الكشف عن التصيد الاحتيالي من Fortinet
لقطة الشاشة 3 — VirusTotal: أشار 6 من أصل 93 مزودًا إلى أن موقع xmrwallet.com خبيث. وصنفته شركة Fortinet على أنه «تصيد احتيالي».
يُظهر موقع ScamAdviser أن موقع xmrwallet.com «غير آمن على الأرجح» مع درجة ثقة تبلغ 1 من أصل 100
لقطة الشاشة 4 — ScamAdviser: درجة الثقة 1/100. «من المرجح جدًّا أن يكون غير آمن.»

ثلاثة مسجلين أدوا واجبهم

لقد قدمنا بلاغات متطابقة بشأن إساءة الاستخدام إلى جميع جهات التسجيل الأربع التي تستضيف نطاقات xmrwallet. وقد اتخذت ثلاث منها إجراءات فورية:

ثلاثة أبواب مغلقة تمثل المسجلين الموقوفين عن العمل، وباب واحد مفتوح يمثل رفض NameSilo اتخاذ أي إجراء
لقطة الشاشة 5 — قام ثلاثة مسجلي نطاقات بإغلاق أبوابهم. أما NameSilo فقد تركت أبوابها مفتوحة على مصراعيها أمام المحتال.

سجل الملكية العامة

xmrwallet.cc
معلق

الهند · الأيام المتبقية لاتخاذ إجراء

WebNic

xmrwallet.biz
معلق

ماليزيا · عدد الأيام المتبقية لاتخاذ إجراء

NiceNIC

xmrwallet.net
تعطل نظام أسماء النطاقات (DNS)

الصين · لم يتبق سوى أسابيع لاتخاذ الإجراءات اللازمة

NameSilo

xmrwallet.com
مرفوض

الولايات المتحدة الأمريكية · محتال تمت تبرئته

ثلاث دول. ثلاث استنتاجات مستقلة.

الهند، ماليزيا، الصين — قامت هذه الدول بمراجعة الأدلة، وتوصلت إلى وجود احتيال، وقامت بتعليق النطاقات. دون طرح أي أسئلة.

«NameSilo» اختارت مسارًا مختلفًا

المسجل الرابع — شركة NameSilo, LLC (الولايات المتحدة الأمريكية) — التي تستضيف النطاق الرئيسي الذي يحتوي على أكبر قدر من الأدلة ويضم أكبر عدد من الضحايا — فعلت العكس تمامًا. فقد اتصلت بالمحتال، وصدقت روايته، ونشرت بيانًا عامًا تدافع فيه عنه:

بيان عام صادر عن «NameSilo» على منصة «X» (Twitter) دفاعًا عن مشغل موقع xmrwallet.com، مدعيًا أن النطاق تعرض للاختراق
لقطة الشاشة 6 — البيان العام الصادر عن NameSilo على X (Twitter)، 12 مارس 2026. كانت جميع الادعاءات الواردة في هذا المنشور كاذبة.
"أجرى فريق مكافحة إساءة الاستخدام لدينا مراجعة متعمقة لهذه الحالة، ويبدو أن هذا النطاق قد تعرض للاختراق قبل بضعة أشهر... وبعد تحقيق شامل، توصل فريقنا إلى أدلة تشير إلى أن الاختراق لم يكن له علاقة بمالك النطاق... كما يعمل مالك النطاق حالياً على إزالة الموقع من قوائم تقارير VT."

— NameSilo، عبر X (Twitter)

قمنا بتحليل هذا البيان سطراً سطراً. كل هذه الادعاءات كانت كاذبة.

كلمات المشغل نفسه

قبل تدخل NameSilo، رد المشغل مباشرةً على تقريرنا المتعلق بالإساءة. وتؤكد رسائله الإلكترونية علمه بالأمر ونيته:

رد عبر البريد الإلكتروني من مشغل xmrwallet يؤكد أن هذا ليس عملية تصيد احتيالي وأن الخدمة تعمل منذ 8 سنوات
لقطة الشاشة 7 — رد المشغل: «هذا ليس تصيدًا احتياليًّا، فنحن نعمل منذ أكثر من 8 سنوات.»
رد عبر البريد الإلكتروني من مشغل xmrwallet ينفي فيه اتهامات السرقة ويدافع عن ممارسات جمع البيانات
لقطة الشاشة 8 — الرد الثاني للمشغل: «هذه هي البيانات التي نحتاجها لتقديم الخدمة». وكانت «البيانات» هي مفتاح العرض الخاص للضحية.

سبع أكاذيب، تم كشفها

الكذبة رقم 1: «تعرض النطاق للاختراق»

تُعد آلية السرقة هي البنية الأساسية — 8 نقاط نهاية PHP، وتسريب مفتاح Base64، و فجوة في عمليات الإرسال على GitHub مدتها 5.3 سنة. تم بناء هذا النظام على مدار سنوات، ولم يتم إنشاؤه بين عشية وضحاها.

الكذبة رقم 2: «لم نتلقَ أي بلاغات سابقة عن حالات إساءة معاملة»

ستة مزودي خدمة VirusTotal، وشكاوى على موقع Trustpilot تعود إلى سنوات مضت، وموضوع تحذيري على منتدى BitcoinTalk، والمشغل تم حظره من r/Monero في عام 2018. كان من الممكن معرفة ذلك بمجرد إجراء بحث واحد على جوجل.

الكذبة رقم 3: «عدم إشراك صاحب التسجيل»

تم تسجيل المشغل 4 نطاقات «escape» موزعة على 4 جهات تسجيل (مدفوعة مسبقًا لمدة 5-10 سنوات لكل منها) قبل تم نشر نتائج التحقيق. تم حذف أكثر من 21 مشكلة على GitHub. تم توظيف مطورين لإنشاء نظام «كابتشا». هذا ليس ضحية — بل عملية.

الكذبة رقم 4: «اتخذوا إجراءات فورية لإلغاء ذلك»

كان «كود السرقة» قيد التشغيل في بيئة الإنتاج خلال بيان «NameSilo». لم يتم إجراء أي عمليات «كوميت» على GitHub تتعلق بأي حادث. ولم يتم التراجع عن أي شيء.

الكذبة رقم 5: «نعمل على إزالة موقعنا من قائمة VirusTotal»

أشادت شركة NameSilo بالمحتال لجهوده في الضغط من أجل إزالة ميزة «Phishing» الخاصة بشركة Fortinet — دون إزالة كود التصيد الاحتيالي. هذا ليس تصرفًا ينم عن حسن نية. بل هو إخفاء للتحذيرات الأمنية.

الكذبة رقم 6: «هل حدثت الإساءة مؤخرًا؟»

تحويل عبء الإثبات إلى المبلغ حتى يتمكنوا من إغلاق القضية. فقد كانت الأدلة موجودة في التقرير. ولم يكن هناك داعٍ لأن يسأل ثلاثة من المسجلين الزملاء.

الكذبة رقم 7: «سنعيد فتح التحقيق»

عبارة «إعادة فتح» تعني أنه كان مفتوحًا في السابق. وقد تمثلت تحقيقاتهم في الاتصال بالمحتال وتدوين ما قاله. هذا ليس تحقيقًا — بل مجرد تدوين.

أدلة تتعلق بالبنية التحتية

مخطط شبكة النطاقات الذي يوضح نطاقات xmrwallet المعلقة ونطاقات «الهروب» التي تم تسجيلها قبل بدء التحقيق
لقطة الشاشة 9 — شبكة الهروب عبر النطاقات: 4 نطاقات موزعة على 4 جهات تسجيل، تشير جميعها إلى نفس الخوادم. تم تعطيل ثلاثة منها.
نتائج URLScan تُظهر أن نطاقات xmrwallet تُحل إلى عناوين IP واحدة عبر عدة نطاقات من المستوى الأعلى (TLD)
لقطة الشاشة 10 — بيانات URLScan: جميع نطاقات xmrwallet (.com، .cc، .biz، .net، .me، .app) تُحل إلى نفس البنية التحتية.
مستودع أدلة على GitHub يعرض نقاط النهاية التي تم توثيق سرقاتها ولقطات من الشبكة
لقطة الشاشة 11 — مستودع الأدلة الخاص بنا على GitHub الذي يحتوي على التحليل الكامل لبيانات الشبكة الملتقطة. تم توثيق 109 طلبات و43 عملية إرسال لمفاتيح العرض خلال جلسة واحدة.

الخط الزمني: سقوط xmrwallet

2016
بدأ موقع xmrwallet[.]com العمل، ويُروَّج لنفسه باعتباره «محفظة مونيرو مجانية ومفتوحة المصدر»
2018
المشغل تم حظره من r/Monero. ظهرت أولى تقارير الضحايا على موقع Trustpilot
4 فبراير 2026
تم تسجيل نطاق Escape xmrwallet.cc (مدفوع مسبقًا لمدة 8 سنوات) — قبل نشر نتائج التحقيق
13 فبراير 2026
صدر العدد رقم 35 — الكشف عن آلية اختطاف TX بالكامل
18 فبراير 2026
العدد رقم 36 — التسجيل المباشر: 109 طلبات، و43 عملية إرسال لـ«viewkey» في جلسة واحدة
23 فبراير 2026
xmrwallet.cc مُعلَّق (PDR). xmrwallet.biz مُعلَّق (WebNic). قام المشغل بحذف القضيتين رقم #35 و#36 على عجل
26 فبراير 2026
المزيد من الذعر: تم تسجيل xmrwallet.net و.me (مدفوع مسبقًا لمدة 10 سنوات، وعناوين IP هي نفسها الخاصة بالنطاقات الموقوفة)
8 مارس 2026
xmrwallet.net: نظام أسماء النطاقات (DNS) معطل (NiceNIC). تم تحييد 3 من أصل 4 مجالات هروب
مارس 2026
«NameSilo» تصدر بيانًا: "المسجل هو الضحية." يساعد في منع اكتشافات VirusTotal
27 مارس 2026
تقديم شكوى رسمية إلى ICANN (المادة 3.18 من قانون RAA). الأدلة المقدمة إلى سلطات إنفاذ القانون. تم نشر هذا التقرير.

الحكم

لم تتجاهل شركة NameSilo الأدلة. فقد قرأوها، واتصلوا بالمحتال، وصدقوه، وأعلنوا براءته، وساعدوا في إخفاء التحذيرات الأمنية. ثم طلبوا من الباحثين إثبات أن الانتهاك «حدث مؤخرًا».

هذا ليس إهمالاً. بل هو شراكة.

الموقع معطل. وقد انتهت عملية الاحتيال. لكن حقيقة أن شركة تسجيل نطاقات أمريكية اختارت أن تختلق علنًا قصة تغطية لحماية سارق عملات مشفرة سرق مبلغ 2 مليون دولار — فهذا أمر سيظل يلاحق NameSilo لفترة طويلة جدًّا. وسيكون بيانهم الدليل الأول في كل دعوى قضائية تُرفع من الآن فصاعدًا.

إذا دافعت عن السارق، فستتحمل نصيبك من المسؤولية.

الأدلة والموارد

التحقيقات ذات الصلة

يستند هذا التحقيق إلى أدلة متاحة للجمهور، وتسجيلات حية للشبكة، ومعلومات استخباراتية مفتوحة المصدر (OSINT)، ومنصات المراجعة العامة، والبيان العام الحرفي الصادر عن NameSilo نفسها. ولم يتم إجراء أي وصول غير مصرح به. ويمكن إعادة التحقق من جميع النتائج بشكل مستقل.

شارك هذا التحقيق

X / Twitter Telegram Reddit لينكدإن

التحقيقات ذات الصلة

xmrwallet يُكشف النقاب عنها: 10 سنوات من المفاتيح المسروقة
تحقيق معمق
xmrwallet يُكشف النقاب عنها: 10 سنوات من المفاتيح المسروقة
تحقيق «NiceNIC»: مسجل تابع لـ ICANN يتيح ارتكاب الجرائم الإلكترونية
تحقيق معمق
تحقيق «NiceNIC»: مسجل تابع لـ ICANN يتيح ارتكاب الجرائم الإلكترونية
NameSilo وWebnic وNiceNIC: شركات تسجيل النطاقات التي تتيح ارتكاب عمليات الاحتيال
التحقيق
NameSilo وWebnic وNiceNIC: شركات تسجيل النطاقات التي تتيح ارتكاب عمليات الاحتيال