What is xmrwallet.com?

A fake Monero wallet that stole private view keys and hijacked transactions for 10 years, stealing an estimated $2M+ in XMR.

Why did NameSilo protect the scammer?

NameSilo contacted the domain operator, believed his story, publicly declared him the victim of a compromise, and praised his efforts to suppress VirusTotal detections — while the theft code was still running.

What happened to the domains?

Three of four registrars suspended the domains. PublicDomainRegistry, WebNic, and NICENIC acted independently. Only NameSilo refused to act.

Zurück zu den Nachrichten

Untersuchungsbericht – Endgültige Fassung

Das Ende von xmrwallet[.]com: NameSilo hat gelogen, um einen Dieb zu schützen, der 2 Millionen Dollar gestohlen hatte

Nach zehn Jahren, in denen private Monero-Schlüssel gestohlen wurden, ist die Operation zerschlagen. Drei Registrare handelten innerhalb weniger Tage. Der vierte – NameSilo – nahm Kontakt zu dem Betrüger auf, glaubte ihm und wurde zu seinem Pressesprecher.

27. März 2026 PhishDestroy-Forschung 12 Minuten Lesezeit

xmrwallet.com Investigation — NameSilo Exposed

Überblick über die Untersuchung: Der Niedergang von xmrwallet[.]com und die Rolle von NameSilo beim Schutz des Betrügers.

2 Millionen Dollar und mehr

Vermutlich gestohlen

Tätigkeitsjahre

3/4

Registrare gesperrt

NameSilo-Lügen als erwiesen

Diebstahl von PHP-Endpunkten

Was xmrwallet[.]com tatsächlich getan hat

Seit 2016 vermarktete sich xmrwallet[.]com als kostenlose Open-Source-Monero-Wallet. Unsere Live-Netzwerkaufzeichnung am 18. Februar 2026 Es stellte sich heraus, dass es etwas ganz anderes tat: Es stahl bei jeder Anmeldung private Monero-View-Schlüssel und fing Transaktionen serverseitig ab.

Monero view key exfiltration attack — laptop transmitting stolen keys to scammer's server

Screenshot 1 – Der Diebstahlmechanismus: Bei jeder Anmeldung in der Wallet wurde der private Monero-View-Schlüssel des Opfers mittels Base64-Kodierung an den Server des Betrügers übermittelt.

Kernmechanismus des Diebstahls

Kein eingefügter Code – der Kernarchitektur. Ein Sitzungssystem über 8 PHP-Endpunkte hinweg, das den privaten Ansichtsschlüssel des Opfers überträgt mehr als 40 Mal pro Sitzung. Wenn Nutzer XMR sendeten, wurde ihre Transaktion stillschweigend verworfen (raw_tx_and_hash.raw = 0) und durch die des Betrügers ersetzt.

Der Benutzer öffnet die Wallet

Schlüssel ausgelesen (Base64)

TX wurde serverseitig gekapert

An den Betrüger gesendete XMR

8 PHP API endpoints used for view key theft — GitHub evidence repository

Screenshot 2 – Die 8 PHP-Endpunkte, die in unserem GitHub-Beweisrepository dokumentiert sind. Jeder Endpunkt ist Teil der Exfiltrationskette für session_key/view_key.

Sechs Sicherheitsanbieter auf VirusTotal haben die Datei als schädlich eingestuft. Auf Trustpilot, Sitejabber und BitcoinTalk sind fünfzehn Opfer dokumentiert. Ein Opfer verlor 590 XMR (~177.000 $) bei einem einzigen Diebstahl.

VirusTotal scan showing 6 of 93 vendors flagging xmrwallet.com as malicious including Fortinet Phishing detection

Screenshot 3 – VirusTotal: 6 von 93 Anbietern haben xmrwallet.com als bösartig eingestuft. Fortinet hat die Website als „Phishing“ klassifiziert.

ScamAdviser showing xmrwallet.com as Very Likely Unsafe with Trust Score 1 out of 100

Screenshot 4 – ScamAdviser: Vertrauensbewertung 1/100. „Sehr wahrscheinlich unsicher.“

Drei Standesbeamte haben ihre Arbeit getan

Wir haben bei allen vier Registraren, die xmrwallet-Domains hosten, identische Missbrauchsanzeigen eingereicht. Drei davon haben sofort reagiert:

Three locked doors representing suspended registrars and one open door representing NameSilo's refusal to act

Screenshot 5 – Drei Registrare haben ihre Türen verschlossen. NameSilo hat seine für den Betrüger weit offen gelassen.

PublicDomainRegistry

xmrwallet.cc

Ausgesetzt

Indien · Zeit zum Handeln

WebNic

xmrwallet.biz

Ausgesetzt

Malaysia · Noch verbleibende Tage

NICENIC

xmrwallet.net

DNS ausgefallen

China · Nur noch wenige Wochen Zeit zum Handeln

NameSilo

xmrwallet.com

Abgelehnt

USA · Verteidiger eines Betrügers

Drei Länder. Drei unabhängige Schlussfolgerungen.

Indien, Malaysia, China – haben die Beweise geprüft, Betrug festgestellt und die Domains gesperrt. Ohne Fragen zu stellen.

NameSilo hat einen anderen Weg eingeschlagen

Der vierte Standesbeamte — NameSilo, LLC (USA) — der die Hauptdomain mit den meisten Beweisen und den meisten Opfern hostete — tat genau das Gegenteil. Sie nahmen Kontakt zum Betrüger auf, glaubten seiner Geschichte und veröffentlichten eine öffentliche Erklärung, in der sie ihn verteidigten:

NameSilo public statement on X Twitter defending xmrwallet.com operator claiming domain was compromised

Screenshot 6 – Öffentliche Stellungnahme von NameSilo auf X (Twitter), 12. März 2026. Jede Behauptung in diesem Beitrag war falsch.

„Unser Team für Missbrauchsfälle hat diesen Fall eingehend geprüft, und es scheint, dass die Domain vor einigen Monaten kompromittiert wurde … Nach umfangreichen Ermittlungen hat unser Team Hinweise darauf gefunden, dass der Registrant an der Kompromittierung nicht beteiligt war … Der Registrant bemüht sich zudem darum, die Website aus den VT-Berichten entfernen zu lassen.“

— NameSilo, via X (Twitter)

Wir haben diese Aussage Zeile für Zeile analysiert. Jede Behauptung war falsch.

Die Worte des Betreibers

Bevor NameSilo einschritt, reagierte der Betreiber direkt auf unsere Missbrauchsmeldung. Seine E-Mails bestätigen, dass er sich der Sachlage bewusst war und entsprechende Absichten hegte:

xmrwallet operator email response claiming this is not phishing and has been running for 8 years

Screenshot 7 – Antwort des Betreibers: „Das ist kein Phishing, wir sind seit über acht Jahren im Geschäft.“

xmrwallet operator email response denying theft accusations and defending data collection practices

Screenshot 8 – Zweite Antwort des Mitarbeiters: „Das sind die Daten, die wir benötigen, um den Dienst anzubieten.“ Bei den „Daten“ handelte es sich um den privaten Anzeigen-Schlüssel des Opfers.

Sieben Lügen, entlarvt

LÜGE Nr. 1: „Die Domain wurde gehackt“

Der Diebstahlmechanismus bildet das Kernstück der Architektur – 8 PHP-Endpunkte, Exfiltration von Base64-Schlüsseln, ein Eine Lücke von 5,3 Jahren bei den GitHub-Commits. Dieses System wurde über Jahre hinweg aufgebaut und nicht in aller Eile zusammengeschustert.

LÜGE Nr. 2: „Uns lagen zuvor keine Meldungen über Missbrauch vor“

Sechs Anbieter auf VirusTotal, seit Jahren vorliegende Beschwerden auf Trustpilot, ein Warnthema auf BitcoinTalk, der Betreiber 2018 aus r/Monero gesperrt. Eine einzige Google-Suche hätte das gezeigt.

LÜGE Nr. 3: „Der Registrant wird nicht einbezogen“

Der Betreiber hat sich registriert 4 Escape-Domains bei 4 Registraren (jeweils 5–10 Jahre im Voraus bezahlt) vorher Die Untersuchung wurde veröffentlicht. Über 21 GitHub-Issues gelöscht. Entwickler für ein Captcha-System eingestellt. Das ist kein Opfer – das ist eine Operation.

LÜGE Nr. 4: „Sie haben sofort Maßnahmen ergriffen, um das rückgängig zu machen“

Der Diebstahlcode lief in der Produktionsumgebung in der Stellungnahme von NameSilo. Es gab keine GitHub-Commits, die sich auf einen Vorfall bezogen. Es wurde nichts rückgängig gemacht.

LÜGE Nr. 5: „Wir arbeiten daran, von VirusTotal entfernt zu werden“

NameSilo lobte den Betrüger dafür, dass er sich dafür eingesetzt hatte, die „Phishing“-Erkennung von Fortinet zu entfernen — ohne den Phishing-Code zu entfernen. Das ist kein redliches Verhalten. Das ist das Unterdrücken von Sicherheitswarnungen.

LÜGE Nr. 6: „Ist der Missbrauch erst kürzlich geschehen?“

Die Beweislast auf den Berichterstatter zu verlagern, damit der Fall abgeschlossen werden kann. Die Beweise waren im Bericht enthalten. Drei Kollegen aus der Registratur hätten gar nicht erst nachfragen müssen.

LÜGE Nr. 7: „Wir werden die Ermittlungen wieder aufnehmen“

„Wiedereröffnung“ impliziert, dass es einmal geöffnet war. Ihre Ermittlungen bestanden darin, den Betrüger anzurufen und seine Aussagen zu notieren. Das ist keine Ermittlung – das ist Diktat.

Nachweise zur Infrastruktur

Domain network diagram showing suspended xmrwallet domains and escape domains registered before investigation

Screenshot 9 – Das Domain-Escape-Netzwerk: 4 Domains bei 4 Registraren, die alle auf dieselben Server verweisen. Drei davon wurden unschädlich gemacht.

URLScan results showing xmrwallet domains resolving to same IPs across multiple TLDs

Screenshot 10 – URLScan-Daten: Alle xmrwallet-Domains (.com, .cc, .biz, .net, .me, .app) werden auf dieselbe Infrastruktur weitergeleitet.

GitHub evidence repository showing documented theft endpoints and network captures

Screenshot 11 – Unser GitHub-Beweisrepository mit der vollständigen Analyse der Netzwerkaufzeichnung. 109 Anfragen und 43 Übertragungen von View-Schlüsseln wurden in einer einzigen Sitzung dokumentiert.

Chronologie: Der Niedergang von xmrwallet

2016

xmrwallet[.]com nimmt den Betrieb auf und wirbt als „kostenlose Open-Source-Monero-Wallet“

2018

Betreiber aus r/Monero gesperrt. Erste Opferberichte tauchen auf Trustpilot auf

4. Februar 2026

Die Domain „xmrwallet.cc“ wurde registriert (8 Jahre im Voraus bezahlt) — vor Veröffentlichung der Untersuchung

13. Februar 2026

Ausgabe Nr. 35 erschienen — Mechanismus für vollständige TX-Übernahme aufgedeckt

18. Februar 2026

Ausgabe Nr. 36 — Live-Erfassung: 109 Anfragen, 43 Viewkey-Übertragungen in einer einzigen Sitzung

23. Februar 2026

xmrwallet.cc GESPERRT (PDR) xmrwallet.biz GESPERRT (WebNic). Betreiber löscht versehentlich die Themen #35 und #36

26. Februar 2026

Noch mehr Aufregung: xmrwallet.net und .me registriert (10 Jahre im Voraus bezahlt, gleiche IP-Adressen wie die gesperrten Domains)

Stand: 8. März 2026

xmrwallet.net DNS-Ausfall (NICENIC). 3 von 4 Fluchtdomänen neutralisiert

Ab 2026

NameSilo veröffentlicht eine Erklärung: „Der Registrierte ist das Opfer.“ Hilft dabei, Erkennungen durch VirusTotal zu unterdrücken

27. März 2026

Formelle Beschwerde bei der ICANN eingereicht (RAA Abschnitt 3.18). Den Strafverfolgungsbehörden vorgelegte Beweismittel. Dieser Bericht wurde veröffentlicht.

Das Urteil

NameSilo hat die Beweise nicht ignoriert. Sie haben sie gelesen, den Betrüger angerufen, ihm geglaubt, ihn für unschuldig erklärt und dabei geholfen, Sicherheitswarnungen zu unterdrücken. Dann forderten sie die Forscher auf, zu beweisen, dass der Missbrauch „aktuell“ sei.

Das ist keine Nachlässigkeit. Das ist Partnerschaft.

Die Domain ist offline. Der Betrug ist vorbei. Doch die Tatsache, dass ein US-Registrar sich dazu entschlossen hat, öffentlich eine Ausrede zu erfinden, um einen Krypto-Dieb zu schützen, der 2 Millionen Dollar erbeutet hat – das wird NameSilo noch sehr lange nachhängen. Ihre Stellungnahme wird von nun an in jedem Gerichtsantrag als Beweisstück Nummer eins dienen.

Wer sich für den Dieb verbürgt, muss mit ihm die Rechnung teilen.