What is xmrwallet.com?

A fake Monero wallet that stole private view keys and hijacked transactions for 10 years, stealing an estimated $2M+ in XMR.

Why did NameSilo protect the scammer?

NameSilo contacted the domain operator, believed his story, publicly declared him the victim of a compromise, and praised his efforts to suppress VirusTotal detections — while the theft code was still running.

What happened to the domains?

Three of four registrars suspended the domains. PublicDomainRegistry, WebNic, and NICENIC acted independently. Only NameSilo refused to act.

Retour aux actualités

Rapport d'enquête — Version finale

La fin de xmrwallet[.]com : NameSilo a menti pour protéger un voleur de 2 millions de dollars

Après avoir dérobé des clés privées Monero pendant dix ans, le réseau a été démantelé. Trois bureaux d'enregistrement ont réagi en quelques jours. Le quatrième — NameSilo — a contacté l'escroc, a cru à son histoire et s'est fait son porte-parole.

27 mars 2026 Recherche PhishDestroy 12 minutes de lecture

xmrwallet.com Investigation — NameSilo Exposed

Aperçu de l'enquête : la chute de xmrwallet[.]com et le rôle de NameSilo dans la protection de l'escroc.

2 millions de dollars et plus

Vol présumé

Années d'activité

3/4

Bureaux d'enregistrement suspendus

Les mensonges de NameSilo ont été démasqués

Points d'accès PHP piratés

Ce qu'a réellement fait xmrwallet[.]com

Depuis 2016, xmrwallet[.]com se présentait comme un portefeuille Monero gratuit et open source. Notre Capture en direct du réseau le 18 février 2026 il s'est avéré qu'il menait une activité tout à fait différente : il volait les clés de consultation privées de Monero à chaque connexion et détournait les transactions côté serveur.

Monero view key exfiltration attack — laptop transmitting stolen keys to scammer's server

Capture d'écran 1 — Le mécanisme de vol : chaque connexion au portefeuille transmettait la clé de visualisation privée Monero de la victime au serveur de l'escroc via un encodage Base64.

Mécanisme de vol de noyau

Code non injecté — le architecture de base. Un système de session réparti sur 8 points de terminaison PHP, transmettant la clé de visualisation privée de la victime Plus de 40 fois par séance. Lorsque les utilisateurs envoyaient des XMR, leur transaction était discrètement rejetée (raw_tx_and_hash.raw = 0) et remplacé par celui de l'escroc.

L'utilisateur ouvre son portefeuille

Clé exfiltrée (Base64)

TX détourné côté serveur

XMR envoyé à un escroc

8 PHP API endpoints used for view key theft — GitHub evidence repository

Capture d'écran 2 — Les 8 points de terminaison PHP répertoriés dans notre référentiel de preuves sur GitHub. Chaque point de terminaison intervient dans la chaîne d'exfiltration des clés session_key et view_key.

Six fournisseurs de solutions de sécurité sur VirusTotal l'ont signalé comme malveillant. Quinze victimes ont été recensées sur Trustpilot, Sitejabber et BitcoinTalk. Une victime a perdu 590 XMR (environ 177 000 $) lors d'un seul vol.

VirusTotal scan showing 6 of 93 vendors flagging xmrwallet.com as malicious including Fortinet Phishing detection

Capture d'écran 3 — VirusTotal : 6 fournisseurs sur 93 ont signalé xmrwallet.com comme étant malveillant. Fortinet l'a classé dans la catégorie « Hameçonnage ».

ScamAdviser showing xmrwallet.com as Very Likely Unsafe with Trust Score 1 out of 100

Capture d'écran 4 — ScamAdviser : note de confiance 1/100. « Très probablement dangereux. »

Trois greffiers ont fait leur travail

Nous avons déposé des signalements d'abus identiques auprès des quatre bureaux d'enregistrement hébergeant des domaines xmrwallet. Trois d'entre eux ont réagi immédiatement :

Three locked doors representing suspended registrars and one open door representing NameSilo's refusal to act

Capture d'écran n° 5 — Trois registraires ont verrouillé leurs portes. NameSilo, quant à lui, a laissé la sienne grande ouverte au fraudeur.

Registre du domaine public

xmrwallet.cc

Suspendu

Inde · Il est temps d'agir

WebNic

xmrwallet.biz

Suspendu

Malaisie · Il est temps d'agir

NICENIC

xmrwallet.net

DNS hors service

Chine · Il reste quelques semaines pour agir

NameSilo

xmrwallet.com

Refusé

États-Unis · A défendu un escroc

Trois pays. Trois conclusions indépendantes.

Inde, Malaisie, Chine — ont examiné les preuves, constaté une fraude et suspendu les noms de domaine. Sans poser de questions.

NameSilo a choisi une autre voie

Le quatrième greffier — NameSilo, LLC (États-Unis) — l'hébergeur du domaine principal, qui comptait le plus grand nombre de preuves et de victimes — a fait exactement le contraire. Il a contacté l'escroc, a cru à son histoire et a publié un communiqué public pour le défendre :

NameSilo public statement on X Twitter defending xmrwallet.com operator claiming domain was compromised

Capture d'écran n° 6 — Déclaration publique de NameSilo sur X (Twitter), le 12 mars 2026. Toutes les affirmations contenues dans ce message étaient fausses.

« Notre équipe chargée de la lutte contre les abus a mené une enquête approfondie sur cette affaire et il semblerait que ce domaine ait été piraté il y a quelques mois... À l'issue d'une enquête approfondie, notre équipe a trouvé des preuves indiquant que le titulaire du domaine n'était pas impliqué dans cette intrusion... Le titulaire s'efforce par ailleurs de faire retirer le site web des rapports VT. »

— NameSilo, via X (Twitter)

Nous avons analysé cette déclaration ligne par ligne. Toutes ces allégations étaient fausses.

Les propres mots de l'opérateur

Avant l'intervention de NameSilo, l'opérateur a répondu directement à notre signalement d'abus. Ses courriels confirment qu'il était au courant et qu'il avait l'intention d'agir :

xmrwallet operator email response claiming this is not phishing and has been running for 8 years

Capture d'écran 7 — Réponse de l'opérateur : « Ce n'est pas une tentative d'hameçonnage, nous existons depuis plus de 8 ans. »

xmrwallet operator email response denying theft accusations and defending data collection practices

Capture d'écran 8 — Deuxième réponse de l'opérateur : « Voici les données dont nous avons besoin pour vous fournir le service. » Ces « données » correspondaient à la clé de visualisation privée de la victime.

Sept mensonges dévoilés

MYTHE N° 1 : « Le domaine a été piraté »

Le mécanisme de vol constitue le cœur de l'architecture : 8 points de terminaison PHP, exfiltration de clés en Base64, un Un écart de 5,3 ans entre les commits sur GitHub. Ce système a été mis en place au fil des ans, et non pas mis en place à la va-vite.

MENSONGE N° 2 : « Nous n'avions reçu aucune plainte antérieure pour maltraitance »

Six fournisseurs sur VirusTotal, des plaintes sur Trustpilot remontant à plusieurs années, un fil de discussion d'avertissement sur BitcoinTalk, l'opérateur banni du subreddit r/Monero en 2018. Une simple recherche sur Google aurait suffi pour le découvrir.

MYTHE N° 3 : « Ne pas impliquer le déclarant »

L'opérateur s'est inscrit 4 domaines d'échappement répartis sur 4 bureaux d'enregistrement (prépayé pour une durée de 5 à 10 ans chacun) auparavant L'enquête a été publiée. J'ai supprimé plus de 21 tickets GitHub. J'ai recruté des développeurs pour mettre en place un système de captcha. Ce n'est pas une victime, c'est une opération.

MENSONGE N° 4 : « Ils ont immédiatement pris des mesures pour y remédier »

Le code de vol était en exécution en production dans la déclaration de NameSilo. Aucune modification sur GitHub n'a été effectuée pour remédier à cet incident. Rien n'a été annulé.

MYTHE N° 5 : « Nous faisons en sorte d'être retirés de la liste de VirusTotal »

NameSilo a félicité l'escroc pour avoir fait pression en vue de supprimer la détection « Phishing » de Fortinet — sans supprimer le code de phishing. Ce n'est pas faire preuve de bonne foi. C'est masquer les avertissements de sécurité.

MYTHE N° 6 : « Ces abus sont-ils récents ? »

Ils ont fait peser la charge de la preuve sur le plaignant afin de pouvoir classer l'affaire. Les preuves figuraient dans le rapport. Les trois greffiers n'avaient pas besoin de poser de questions.

MENSONGE N° 7 : « Nous allons rouvrir l'enquête »

« Réouverture » sous-entend que l'établissement avait déjà été ouvert. Leur enquête s'est limitée à appeler l'escroc et à noter ses propos. Ce n'est pas une enquête, c'est de la simple dictée.

Données relatives aux infrastructures

Domain network diagram showing suspended xmrwallet domains and escape domains registered before investigation

Capture d'écran 9 — Le réseau d'évasion de domaines : 4 domaines répartis sur 4 bureaux d'enregistrement, tous pointant vers les mêmes serveurs. Trois ont été neutralisés.

URLScan results showing xmrwallet domains resolving to same IPs across multiple TLDs

Capture d'écran 10 — Données d'URLScan : tous les domaines xmrwallet (.com, .cc, .biz, .net, .me, .app) pointent vers la même infrastructure.

GitHub evidence repository showing documented theft endpoints and network captures

Capture d'écran 11 — Notre référentiel de preuves sur GitHub contenant l'analyse complète de la capture réseau. 109 requêtes et 43 transmissions de clés de consultation ont été enregistrées au cours d'une seule session.

Chronologie : La chute de xmrwallet

2016

xmrwallet[.]com est désormais opérationnel et se présente comme un « portefeuille Monero open source gratuit »

2018

Opérateur banni de r/Monero. Les premiers témoignages de victimes apparaissent sur Trustpilot

4 février 2026

Le nom de domaine xmrwallet.cc a été enregistré (8 ans prépayés) — avant la publication de l'enquête

13 février 2026

Parution du numéro 35 — Mécanisme complet de détournement de transmission mis au jour

18 février 2026

Numéro 36 — Capture en direct : 109 requêtes, 43 transmissions de clés de visualisation au cours d'une seule session

23 février 2026

xmrwallet.cc SUSPENDU (PDR). xmrwallet.biz SUSPENDU (WebNic). Un opérateur supprime par erreur les tickets n° 35 et n° 36

26 février 2026

Nouvelle vague de panique : les noms de domaine xmrwallet.net et .me ont été enregistrés (abonnement prépayé de 10 ans, mêmes adresses IP que les domaines suspendus)

Au 8 mars 2026

xmrwallet.net DNS indisponible (NICENIC). 3 des 4 domaines d'échappement ont été neutralisés

À partir de 2026

NameSilo publie un communiqué : « C'est la personne inscrite qui est la victime. » Permet de contourner les détections de VirusTotal

27 mars 2026

Dépôt d'une plainte officielle auprès de l'ICANN (Section 3.18 du RAA). Pièces à conviction transmises aux forces de l'ordre. Publication du présent rapport.

Le verdict

NameSilo n'a pas ignoré les preuves. Ils les ont examinées, ont appelé l'escroc, l'ont cru, l'ont déclaré innocent et ont contribué à étouffer les alertes de sécurité. Ils ont ensuite demandé aux chercheurs de prouver que l'abus était « récent ».

Ce n'est pas de la négligence. C'est un partenariat.

Le domaine est hors service. L'arnaque est terminée. Mais le fait qu'un registraire américain ait choisi d'inventer publiquement une histoire de façade pour protéger un voleur de cryptomonnaies ayant dérobé 2 millions de dollars — voilà une affaire qui hantera NameSilo pendant très longtemps. Leur communiqué constituera désormais la pièce à conviction n° 1 dans toutes les procédures judiciaires.

Si tu prends la défense du voleur, tu devras payer la note avec lui.

Données et ressources

L'enquête complète sur Medium Répertoire des données probantes Page d'enquête Déclaration de NameSilo (archivée)

Enquêtes connexes

Enquête approfondie

Anatomie du phishing cryptographique : analyse de 8 programmes de vol de phrases de récupération

Bots Telegram, EmailJS, backends PhaaS. Plus de 1 824 identifiants volés. Coût total : 0 $.

Enquête

Hameçonnage sous couvert d'aide militaire : cinq banques visées, les auteurs identifiés

Fausse fondation d'aide militaire ukrainienne. Panneau de commande de bots. Chaîne OSINT complète menant aux opérateurs.

Recherche originale

xmrwallet.com : 10 ans de clés volées

L'enquête technique initiale qui est à l'origine de tout. Les failles de sécurité mises au jour.

Rapport du greffier

Quand les signalements d'abus restent sans suite

16 détections antivirus. 13 rapports. 1 788 heures en ligne. Les bureaux d'enregistrement, des partenaires discrets.

Cette enquête s'appuie sur des éléments de preuve accessibles au public, des captures en direct du réseau, des données OSINT, des plateformes d'avis en ligne et la déclaration publique intégrale de NameSilo. Aucun accès non autorisé n'a été effectué. Toutes les conclusions sont reproductibles de manière indépendante.