What is xmrwallet.com?

A fake Monero wallet that stole private view keys and hijacked transactions for 10 years, stealing an estimated $2M+ in XMR.

Why did NameSilo protect the scammer?

NameSilo contacted the domain operator, believed his story, publicly declared him the victim of a compromise, and praised his efforts to suppress VirusTotal detections — while the theft code was still running.

What happened to the domains?

Three of four registrars suspended the domains. PublicDomainRegistry, WebNic, and NICENIC acted independently. Only NameSilo refused to act.

Volver a las noticias

Informe de investigación — Definitivo

El fin de xmrwallet[.]com: NameSilo mintió para proteger a un ladrón que se había llevado 2 millones de dólares

Tras 10 años robando claves privadas de Monero, la operación ha sido desmantelada. Tres registradores tomaron medidas en cuestión de días. El cuarto —NameSilo— se puso en contacto con el estafador, se creyó su historia y se convirtió en su portavoz.

27 de marzo de 2026 Investigación de PhishDestroy 12 minutos de lectura

xmrwallet.com Investigation — NameSilo Exposed

Resumen de la investigación: La caída de xmrwallet[.]com y el papel de NameSilo en la protección del estafador.

2 millones de dólares o más

Se cree que ha sido robado

Años en activo

3/4

Registradores suspendidos

Se demuestra que NameSilo miente

Puntos de acceso PHP para el robo

Lo que realmente hizo xmrwallet[.]com

Desde 2016, xmrwallet[.]com se promocionaba como un monedero de Monero gratuito y de código abierto. Nuestro Captura de red en directo el 18 de febrero de 2026 demostró que estaba haciendo algo muy diferente: robar claves de visualización privadas de Monero en cada inicio de sesión y secuestrar transacciones desde el servidor.

Monero view key exfiltration attack — laptop transmitting stolen keys to scammer's server

Captura de pantalla 1 — El mecanismo de robo: cada vez que se iniciaba sesión en el monedero, se transmitía la clave privada de Monero de la víctima al servidor del estafador mediante codificación Base64.

Mecanismo central del robo

Código no inyectado — el arquitectura central. Un sistema de sesiones que abarca ocho puntos finales PHP y transmite la clave privada de visualización de la víctima Más de 40 veces por sesión. Cuando los usuarios enviaban XMR, su transacción se descartaba sin previo aviso (raw_tx_and_hash.raw = 0) y sustituido por el del estafador.

El usuario abre el monedero

Clave filtrada (Base64)

TX secuestrado en el lado del servidor

XMR enviado al estafador

8 PHP API endpoints used for view key theft — GitHub evidence repository

Captura de pantalla 2 — Los 8 puntos de acceso PHP documentados en nuestro repositorio de pruebas de GitHub. Cada punto de acceso forma parte de la cadena de exfiltración de session_key/view_key.

Seis proveedores de seguridad en VirusTotal lo marcaron como malicioso. Quince víctimas documentadas en Trustpilot, Sitejabber y BitcoinTalk. Una víctima perdió 590 XMR (aprox. 177 000 $) en un solo robo.

VirusTotal scan showing 6 of 93 vendors flagging xmrwallet.com as malicious including Fortinet Phishing detection

Captura de pantalla 3 — VirusTotal: 6 de 93 proveedores han marcado xmrwallet.com como malicioso. Fortinet lo ha clasificado como «phishing».

ScamAdviser showing xmrwallet.com as Very Likely Unsafe with Trust Score 1 out of 100

Captura de pantalla 4 — ScamAdviser: Puntuación de confianza 1/100. «Es muy probable que no sea seguro».

Tres secretarios hicieron su trabajo

Presentamos denuncias por abuso idénticas ante los cuatro registradores que alojan dominios xmrwallet. Tres de ellos actuaron de inmediato:

Three locked doors representing suspended registrars and one open door representing NameSilo's refusal to act

Captura de pantalla 5 — Tres registradores cerraron las puertas con llave. NameSilo dejó las suyas de par en par para el estafador.

Registro de dominio público

xmrwallet.cc

Suspendido

India · Días para actuar

WebNic

xmrwallet.biz

Suspendido

Malasia · Días para actuar

NICENIC

xmrwallet.net

DNS inactivo

China · Quedan pocas semanas para actuar

NameSilo

xmrwallet.com

Rechazado

EE. UU. · Estafador en libertad

Tres países. Tres conclusiones independientes.

India, Malasia, China: analizaron las pruebas, detectaron el fraude y suspendieron los dominios. Sin hacer preguntas.

NameSilo eligió un camino diferente

El cuarto secretario — NameSilo, LLC (EE. UU.) —el proveedor de alojamiento del dominio principal, que es el que presenta más pruebas y el que cuenta con más víctimas— hizo justo lo contrario. Se pusieron en contacto con el estafador, se creyeron su versión y publicaron un comunicado en su defensa:

NameSilo public statement on X Twitter defending xmrwallet.com operator claiming domain was compromised

Captura de pantalla 6 — Declaración pública de NameSilo en X (Twitter), 12 de marzo de 2026. Todas las afirmaciones de esta publicación eran falsas.

«Nuestro equipo de lucha contra los abusos ha llevado a cabo un análisis exhaustivo de este caso y parece que el dominio fue objeto de un ataque hace unos meses... Tras una investigación exhaustiva, nuestro equipo ha encontrado pruebas de que el titular del dominio no estuvo involucrado en el ataque... El titular también está trabajando para que el sitio web sea eliminado de los informes de VT».

— NameSilo, a través de X (Twitter)

Analizamos esta declaración línea por línea. Todas las afirmaciones eran falsas.

En palabras del propio operador

Antes de que NameSilo interviniera, el operador respondió directamente a nuestra denuncia por abuso. Sus correos electrónicos confirman que era consciente del problema y que tenía la intención de actuar:

xmrwallet operator email response claiming this is not phishing and has been running for 8 years

Captura de pantalla 7 — Respuesta del operador: «Esto no es phishing, llevamos más de ocho años en funcionamiento».

xmrwallet operator email response denying theft accusations and defending data collection practices

Captura de pantalla 8 — Segunda respuesta del operador: «Estos son los datos que necesitamos para ofrecer el servicio». Los «datos» eran la clave privada de visualización de la víctima.

Siete mentiras al descubierto

MENTIRA N.º 1: «El dominio fue pirateado»

El mecanismo de robo constituye la arquitectura central: 8 puntos de acceso PHP, exfiltración de claves Base64, un Un intervalo de 5,3 años entre commits en GitHub. Este sistema se ha ido construyendo a lo largo de los años, no se ha creado de la noche a la mañana.

MENTIRA N.º 2: «No habíamos recibido ninguna denuncia previa de maltrato»

Seis proveedores en VirusTotal, quejas en Trustpilot que se remontan a años atrás, un hilo de advertencia en BitcoinTalk, el operador expulsado de r/Monero en 2018. Una simple búsqueda en Google lo habría demostrado.

MENTIRA N.º 3: «No involucrar al solicitante del registro»

El operador se ha registrado 4 dominios de escape repartidos entre 4 registradores (pago por adelantado de 5 a 10 años cada uno) antes Se publicó la investigación. Se eliminaron más de 21 incidencias de GitHub. Se contrató a desarrolladores para un sistema de captcha. Eso no es una víctima, es una operación.

MENTIRA N.º 4: «Tomaron medidas de inmediato para revertirlo»

El código de robo se estaba ejecutando en el entorno de producción en la declaración de NameSilo. No hay ninguna confirmación en GitHub relacionada con ningún incidente. No se ha revertido nada.

MENTIRA N.º 5: «Trabajamos para que nos eliminen de VirusTotal»

NameSilo elogió al estafador por presionar para que se eliminara la detección de «phishing» de Fortinet — sin eliminar el código de phishing. Eso no es actuar de buena fe. Eso es ocultar las advertencias de seguridad.

MENTIRA N.º 6: «¿El abuso es reciente?»

Trasladar la carga de la prueba al denunciante para poder archivar el caso. Las pruebas figuraban en la denuncia. Tres registradores colegiados no tenían por qué preguntar.

MENTIRA N.º 7: «Reabriremos la investigación»

«Reabrir» da a entender que estuvo abierto en algún momento. Su investigación consistió en llamar al estafador y anotar lo que decía. Eso no es una investigación, es un dictado.

Datos sobre infraestructuras

Domain network diagram showing suspended xmrwallet domains and escape domains registered before investigation

Captura de pantalla 9 — La red de evasión de dominios: 4 dominios repartidos entre 4 registradores, todos apuntando a los mismos servidores. Tres neutralizados.

URLScan results showing xmrwallet domains resolving to same IPs across multiple TLDs

Captura de pantalla 10 — Datos de URLScan: todos los dominios de xmrwallet (.com, .cc, .biz, .net, .me, .app) apuntan a la misma infraestructura.

GitHub evidence repository showing documented theft endpoints and network captures

Captura de pantalla 11 — Nuestro repositorio de pruebas en GitHub con el análisis completo de la captura de red. 109 solicitudes y 43 transmisiones de claves de visualización documentadas en una sola sesión.

Cronología: La caída de xmrwallet

2016

xmrwallet[.]com comienza a funcionar y se promociona como «monedero Monero gratuito y de código abierto»

2018

Operador expulsado de r/Monero. Aparecen las primeras reseñas de clientes en Trustpilot

4 de febrero de 2026

Se ha registrado el dominio xmrwallet.cc (8 años prepagados) — antes de que se publique la investigación

13 de febrero de 2026

Número 35 publicado — Se ha descubierto un mecanismo completo de secuestro de tramas

18 de febrero de 2026

N.º 36 — Captura en tiempo real: 109 solicitudes, 43 transmisiones de claves de visualización en una sola sesión

23 de febrero de 2026

xmrwallet.cc SUSPENDIDO (PDR) xmrwallet.biz SUSPENDIDO (WebNic). El operador borra por error los números 35 y 36

26 de febrero de 2026

Más pánico: se han registrado xmrwallet.net y .me (prepago de 10 años, mismas direcciones IP que los dominios suspendidos)

A fecha de 8 de marzo de 2026

xmrwallet.net DNS INACTIVO (NICENIC). Se han neutralizado 3 de los 4 dominios de escape

A partir de 2026

NameSilo publica un comunicado: «El titular del registro es la víctima». Ayuda a evitar las detecciones de VirusTotal

27 de marzo de 2026

Se ha presentado una reclamación formal ante la ICANN (Sección 3.18 de la RAA). Pruebas presentadas a las fuerzas del orden. Publicación de este informe.

El veredicto

NameSilo no hizo caso de las pruebas. Las leyeron, llamaron al estafador, le creyeron, lo declararon inocente y contribuyeron a silenciar las advertencias de seguridad. Después pidieron a los investigadores que demostraran que el abuso era «reciente».

Eso no es negligencia. Es una colaboración.

El dominio está inactivo. La estafa ha terminado. Pero el hecho de que un registrador estadounidense decidiera inventarse públicamente una coartada para proteger a un ladrón de criptomonedas que se llevó dos millones de dólares... eso es algo que perseguirá a NameSilo durante mucho tiempo. Su comunicado será la prueba principal en todos los procedimientos judiciales a partir de ahora.

Si das fe por el ladrón, pagas su parte.

Datos y recursos

Investigación completa en Medium Repositorio de pruebas Página de investigación Declaración de NameSilo (archivada)

Investigaciones relacionadas

Investigación en profundidad

Análisis del phishing en el mundo de las criptomonedas: análisis detallado de 8 programas para robar frases de semillas

Bots de Telegram, EmailJS, backends de PhaaS. Más de 1.824 credenciales robadas. Coste total: 0 $.

Investigación

Phishing relacionado con ayudas militares: cinco bancos afectados, identificados los autores

Fundación falsa de ayuda militar a Ucrania. Panel de bots. Cadena completa de OSINT hasta los operadores.

Investigación original

xmrwallet.com: 10 años de claves robadas

La investigación técnica original que lo inició todo. Se revela la filtración de claves.

Informe del secretario

Cuando las denuncias de abusos caen en saco roto

16 detecciones de virus. 13 informes. 1.788 horas en línea. Los registradores como socios silenciosos.

Esta investigación se basa en pruebas de dominio público, capturas de red en tiempo real, información de fuentes abiertas (OSINT), plataformas de reseñas públicas y la propia declaración pública literal de NameSilo. No se ha realizado ningún acceso no autorizado. Todos los resultados son reproducibles de forma independiente.