समाचार पर वापस
जांच रिपोर्ट — अंतिम

xmrwallet[.]com का अंत: नेमसाइलो ने 2 मिलियन डॉलर के चोर की रक्षा के लिए झूठ बोला

10 वर्षों तक मोनेरो निजी कुंजियाँ चुराने के बाद, यह अभियान नष्ट हो गया। तीन रजिस्ट्रारों ने कुछ ही दिनों में कार्रवाई की। चौथे — NameSilo — ने ठग से संपर्क किया, उसकी कहानी पर विश्वास किया, और उसका प्रेस सचिव बन गया।

२७ मार्च, २०२६ फिशडिस्ट्रॉय रिसर्च 12 मिनट में पढ़ें
xmrwallet.com जांच — नेमसाइलो बेनकाब
जांच का अवलोकन: xmrwallet[.]com का पतन और घोटालेबाज़ की सुरक्षा में NameSilo की भूमिका।
$2M+
अनुमानित चोरी
10
सक्रिय वर्षों
3/4
रजिस्ट्रार निलंबित
7
नेमसाइलो झूठ साबित
8
चोरी PHP एंडपॉइंट्स

xmrwallet[.]com ने वास्तव में क्या किया

2016 से, xmrwallet[.]com ने खुद को एक मुफ्त, ओपन-सोर्स मोनेरो वॉलेट के रूप में प्रचारित किया। हमारा 18 फरवरी, 2026 को लाइव नेटवर्क कैप्चर यह साबित हुआ कि यह कुछ बहुत अलग कर रहा था: हर लॉगिन पर निजी मोनेरो व्यू कीज़ चोरी करना और सर्वर-साइड पर लेनदेन को हाईजैक करना।

मोनेरो व्यू की एक्सफिल्ट्रेशन हमला — लैपटॉप चोरी की गई कीज़ को ठग के सर्वर पर भेज रहा है
स्क्रीनशॉट 1 — चोरी की प्रक्रिया: प्रत्येक वॉलेट लॉगिन पीड़ित की निजी मोनेरो व्यू की को Base64 एन्कोडिंग के माध्यम से स्कैमर के सर्वर पर भेजता था।
कोर चोरी तंत्र

इंजेक्टेड कोड नहीं — द मुख्य वास्तुकला8 PHP एंडपॉइंट्स पर फैला एक सत्र सिस्टम, जो पीड़ित की निजी व्यू कुंजी प्रसारित करता है। प्रति सत्र 40+ बार. जब उपयोगकर्ताओं ने XMR भेजा, तो उनका लेनदेन चुपचाप खारिज कर दिया गया (raw_tx_and_hash.raw = 0) और उसे ठग के से बदल दिया गया।

उपयोगकर्ता वॉलेट खोलता है
मुख्य निकाली गई (Base64) देखें
TX ने सर्वर-साइड को हाईजैक कर लिया
XMR ठग को भेज दिया गया
व्यू की चोरी के लिए उपयोग किए जाने वाले 8 PHP API एंडपॉइंट्स — GitHub साक्ष्य रिपॉजिटरी
स्क्रीनशॉट 2 — हमारी GitHub साक्ष्य रिपॉजिटरी में दस्तावेजीकृत 8 PHP एंडपॉइंट्स। प्रत्येक एंडपॉइंट session_key/view_key एक्सफिल्ट्रेशन चेन में भाग लेता है।

VirusTotal पर छह सुरक्षा विक्रेताओं ने इसे दुर्भावनापूर्ण के रूप में चिह्नित किया। Trustpilot, Sitejabber और BitcoinTalk पर पंद्रह दस्तावेजीकृत पीड़ित। एक पीड़ित ने अपना पैसा खो दिया। 590 XMR (~$177,000) एक ही चोरी में

VirusTotal स्कैन दिखा रहा है कि 93 विक्रेताओं में से 6 xmrwallet.com को दुर्भावनापूर्ण के रूप में चिह्नित कर रहे हैं, जिसमें Fortinet फिशिंग डिटेक्शन भी शामिल है।
स्क्रीनशॉट 3 — VirusTotal: 93 में से 6 विक्रेताओं ने xmrwallet.com को दुर्भावनापूर्ण के रूप में चिह्नित किया। Fortinet ने इसे "फ़िशिंग" के रूप में वर्गीकृत किया।
ScamAdviser xmrwallet.com को 100 में से 1 ट्रस्ट स्कोर के साथ अत्यधिक असुरक्षित बता रहा है।
स्क्रीनशॉट 4 — ScamAdviser: ट्रस्ट स्कोर 1/100. "बहुत संभवतः असुरक्षित।"

तीन रजिस्ट्रारों ने अपना काम किया

हमने xmrwallet डोमेन होस्ट करने वाले सभी चार रजिस्ट्रारों के पास समान दुरुपयोग रिपोर्ट दर्ज की। तीन ने तुरंत कार्रवाई की:

तीन बंद दरवाजे निलंबित रजिस्ट्रारों का प्रतिनिधित्व करते हैं और एक खुला दरवाजा NameSilo की कार्रवाई करने से इनकार का प्रतिनिधित्व करता है।
स्क्रीनशॉट 5 — तीन रजिस्ट्रारों ने दरवाज़े बंद कर दिए। NameSilo ने अपने दरवाज़े ठग के लिए पूरी तरह खुले छोड़ दिए।

सार्वजनिक-डोमेन-रजिस्ट्री

एक्सएमआरवॉलेट डॉट सीसी
निलंबित

भारत · कार्रवाई के लिए दिन

वेबनिक

एक्सएमआरवॉलेट डॉट बिज़
निलंबित

मलेशिया · कार्रवाई के लिए दिन

सुंदरसुंदर

एक्सएमआरवॉलेट डॉट नेट
डीएनएस बंद

चीन · कार्रवाई के लिए सप्ताह

नामसाइलो

एक्सएमआरवॉलेट डॉट कॉम
अस्वीकार कर दिया गया

यूएसए · बचाया गया धोखेबाज़

तीन देश। तीन स्वतंत्र निष्कर्ष।

भारत, मलेशिया, चीन — सबूतों की जांच की, धोखाधड़ी पाई, डोमेन निलंबित कर दिए। कोई सवाल नहीं पूछा गया।

नेमसाइलो ने एक अलग राह चुनी

चौथे रजिस्ट्रार — नेमसाइलो, एलएलसी (यूएसए) — सबसे अधिक सबूतों और सबसे अधिक पीड़ितों वाले प्राथमिक डोमेन की मेजबानी करने वाले — ने इसके विपरीत किया। उन्होंने ठग से संपर्क किया, उसकी कहानी पर विश्वास किया, और उसका बचाव करते हुए एक सार्वजनिक बयान प्रकाशित किया:

NameSilo ने X (ट्विटर) पर xmrwallet.com के ऑपरेटर का बचाव करते हुए एक सार्वजनिक बयान जारी किया, जिसमें दावा किया गया कि डोमेन समझौता हो गया था।
स्क्रीनशॉट 6 — NameSilo का X (ट्विटर) पर सार्वजनिक बयान, 12 मार्च, 2026। इस पोस्ट में हर दावा झूठा था।
हमारी दुरुपयोग टीम ने इस मामले की गहन समीक्षा की और ऐसा प्रतीत होता है कि डोमेन कुछ महीने पहले समझौता हो गया था... व्यापक जांच के बाद, हमारी टीम ने पाया कि समझौते में पंजीकृतकर्ता शामिल नहीं था... पंजीकृतकर्ता भी वेबसाइट को VT रिपोर्टों से हटाने के लिए काम कर रहा है।

— नेमसाइलो, एक्स (ट्विटर) के माध्यम से

हमने इस बयान का पंक्ति-दर-पंक्ति विश्लेषण किया। हर दावा झूठा था।

ऑपरेटर के अपने शब्द

NameSilo के हस्तक्षेप से पहले, ऑपरेटर ने हमारी दुरुपयोग रिपोर्ट का सीधे उत्तर दिया। उसके ईमेल जागरूकता और इरादे की पुष्टि करते हैं:

xmrwallet ऑपरेटर ने ईमेल में दावा किया है कि यह फ़िशिंग नहीं है और यह 8 साल से चल रहा है।
स्क्रीनशॉट 7 — ऑपरेटर की प्रतिक्रिया: "यह फ़िशिंग नहीं है, हम 8 वर्षों से अधिक समय से चल रहे हैं।"
xmrwallet ऑपरेटर का चोरी के आरोपों का खंडन करने और डेटा संग्रह प्रथाओं का बचाव करने वाला ईमेल उत्तर
स्क्रीनशॉट 8 — ऑपरेटर की दूसरी प्रतिक्रिया: "यह वह डेटा है जिसकी हमें सेवा प्रदान करने के लिए आवश्यकता है।" वह "डेटा" पीड़ित की निजी व्यू की थी।

सात झूठ, बेनकाब

झूठ #1: "डोमेन समझौता हो गया था"

चोरी तंत्र मुख्य वास्तुकला है — 8 PHP एंडपॉइंट्स, Base64 कुंजी निकासी, एक 5.3-वर्ष का गिटहब कमिट अंतरालयह सिस्टम वर्षों में बनाया गया था, हैक में इंजेक्ट नहीं किया गया।

झूठ #2: "हमें पहले कोई दुर्व्यवहार रिपोर्ट प्राप्त नहीं हुई थी"

छह VirusTotal विक्रेता, वर्षों से चली आ रही Trustpilot शिकायतें, एक BitcoinTalk चेतावनी थ्रेड, ऑपरेटर 2018 में r/Monero से प्रतिबंधितएक साधारण गूगल खोज से यह पता चल जाता।

झूठ #3: "पंजीकरणकर्ता को शामिल न करना"

ऑपरेटर पंजीकृत 4 रजिस्ट्रारों में 4 एस्केप डोमेन (प्रत्येक 5-10 वर्ष का अग्रिम भुगतान) पहले जांच प्रकाशित की गई। 21 से अधिक GitHub मुद्दे हटा दिए गए। कैप्चा सिस्टम के लिए डेवलपर्स को काम पर रखा गया। वह कोई पीड़ित नहीं है — वह एक ऑपरेशन है।

झूठ #4: "उन्होंने तुरंत इसे उलटने के लिए कदम उठाए"

चोरी कोड प्रोडक्शन में चल रहा था। नेमसाइलो के बयान के दौरानकिसी भी घटना को संबोधित करने वाले कोई भी GitHub कमिट नहीं थे। कुछ भी उलटा नहीं किया गया।

झूठ #5: "VirusTotal से हटाए जाने के लिए काम करना"

नेमसाइलो ने फ्रॉड करने वाले की फोर्टिनेट के "फ़िशिंग" डिटेक्शन को हटाने के लिए लॉबिंग करने की प्रशंसा की — फ़िशिंग कोड हटाए बिनायह सद्भावना नहीं है। यह सुरक्षा चेतावनियों को दबाना है।

झूठ #6: "क्या दुर्व्यवहार हाल ही में हुआ है?"

मामला बंद करने के लिए सबूत का बोझ रिपोर्टर पर डालना। सबूत रिपोर्ट में ही था। तीन सह-रजिस्टारों को पूछने की जरूरत नहीं पड़ी।

झूठ #7: "हम जांच फिर से शुरू करेंगे"

"री-ओपन" का मतलब है कि यह पहले खुला था। उनकी जांच में सिर्फ ठग को फोन करके उसने जो कहा उसे लिख लेना शामिल था। यह कोई जांच नहीं है — यह तो डिक्टेशन है।

संरचनात्मक साक्ष्य

डोमेन नेटवर्क आरेख जो निलंबित xmrwallet डोमेन और जांच से पहले पंजीकृत एस्केप डोमेन दिखाता है
स्क्रीनशॉट 9 — डोमेन एस्केप नेटवर्क: 4 रजिस्टारों में फैले 4 डोमेन, सभी एक ही सर्वर की ओर इशारा कर रहे हैं। तीन निष्क्रिय कर दिए गए।
URLScan के परिणाम दिखा रहे हैं कि xmrwallet डोमेन कई TLDs पर एक ही IP पतों पर रिज़ॉल्व हो रहे हैं।
स्क्रीनशॉट 10 — URLScan डेटा: सभी xmrwallet डोमेन (.com, .cc, .biz, .net, .me, .app) एक ही इन्फ्रास्ट्रक्चर पर रिज़ॉल्व हो रहे हैं।
GitHub साक्ष्य भंडार, जिसमें प्रलेखित चोरी के एंडपॉइंट्स और नेटवर्क कैप्चर दिखाए गए हैं।
स्क्रीनशॉट 11 — हमारी GitHub साक्ष्य रिपॉजिटरी जिसमें संपूर्ण नेटवर्क कैप्चर विश्लेषण शामिल है। 109 अनुरोध, 43 व्यू की ट्रांसमिशन एक ही सत्र में दस्तावेजीकृत।

समयरेखा: xmrwallet का पतन

2016
xmrwallet[.]com ने अपना संचालन शुरू किया, और इसे "मुफ्त ओपन-सोर्स मोनेरो वॉलेट" के रूप में प्रचारित किया।
2018
ऑपरेटर r/Monero से प्रतिबंधितपहले पीड़ितों की रिपोर्टें ट्रस्टपायलट पर दिखाई देती हैं।
4 फरवरी, 2026
एस्केप डोमेन xmrwallet.cc पंजीकृत (8 साल का प्रीपेड) — जांच से पहले प्रकाशित
१३ फरवरी, २०२६
अंक #35 प्रकाशित — पूरा TX हाईजैकिंग तंत्र उजागर
१८ फरवरी, २०२६
अंक #36 — लाइव कैप्चर: 109 अनुरोध, एक ही सत्र में 43 व्यूकी प्रसारण
२३ फरवरी, २०२६
xmrwallet.cc निलंबित (पीडीआर). xmrwallet.biz निलंबित (WebNic). ऑपरेटर ने घबराहट में मुद्दे #35 और #36 को हटा दिया।
26 फरवरी, 2026
और घबराहट: xmrwallet.net और .me पंजीकृत (10 साल का प्रीपेड, निलंबित डोमेन के समान आईपी)
मार्च ८, २०२६
xmrwallet.net डीएनएस बंद (NICENIC). 4 में से 3 पलायन डोमेन निष्क्रिय कर दिए गए
मार्च २०२६
NameSilo ने बयान प्रकाशित किया: पंजीकरणकर्ता पीड़ित है। VirusTotal डिटेक्शन को दबाने में मदद करता है
मार्च 27, 2026
आईसीएएनएन में औपचारिक शिकायत दर्ज की गई (आरएए धारा 3.18). कानून प्रवर्तन को प्रस्तुत साक्ष्य। यह रिपोर्ट प्रकाशित।

निर्णय

NameSilo ने सबूतों को नजरअंदाज नहीं किया। उन्होंने उन्हें पढ़ा, ठग को फोन किया, उस पर भरोसा किया, उसे निर्दोष घोषित किया, और सुरक्षा चेतावनियों को दबाने में मदद की। फिर उन्होंने शोधकर्ताओं से कहा कि वे साबित करें कि यह दुरुपयोग "हाल ही का" है।

यह लापरवाही नहीं है। यह एक साझेदारी है।

डोमेन बंद हो गया है। घोटाला खत्म हो गया है। लेकिन यह तथ्य कि एक अमेरिकी रजिस्ट्रार ने $2 मिलियन के क्रिप्टो चोर को बचाने के लिए सार्वजनिक रूप से एक झूठी कहानी गढ़ी — यह कुछ ऐसा है जो NameSilo का लंबे समय तक पीछा करेगा। उनका बयान अब से हर फाइलिंग में Exhibit A होगा।

अगर तुम चोर की ज़मानत दोगे, तो उसका बिल तुम्हें चुकाना पड़ेगा।

साक्ष्य और संसाधन

संबंधित जांचें

गहन जांच
क्रिप्टो फ़िशिंग की संरचना: 8 सीड फ़्रज़ चुराने वालों का विश्लेषण
टेलीग्राम बॉट्स, EmailJS, PhaaS बैकएंड्स। 1,824+ चोरी किए गए क्रेडेंशियल्स। कुल लागत: $0।
जांच
सैन्य सहायता फ़िशिंग: 5 बैंकों को निशाना बनाया गया, ऑपरेटरों की पहचान हुई
नकली यूक्रेनी सैन्य सहायता फाउंडेशन। बॉट पैनल। ऑपरेटरों के लिए पूरी OSINT श्रृंखला।
मूल अनुसंधान
xmrwallet.com: चोरी की चाबियों के 10 साल
मूल तकनीकी जांच जिसने यह सब शुरू किया। प्रमुख डेटा निकासी का खुलासा।
रजिस्ट्रार रिपोर्ट
जब दुर्व्यवहार की रिपोर्टों का कोई नतीजा नहीं निकलता
16 एंटीवायरस डिटेक्शन। 13 रिपोर्टें। 1,788 घंटे ऑनलाइन। रजिस्ट्रार मूक भागीदार के रूप में।

यह जांच सार्वजनिक रूप से उपलब्ध साक्ष्यों, लाइव नेटवर्क कैप्चर, OSINT, सार्वजनिक समीक्षा प्लेटफ़ॉर्म और NameSilo के अपने शाब्दिक सार्वजनिक बयान पर आधारित है। कोई अनधिकृत पहुँच नहीं की गई। सभी निष्कर्ष स्वतंत्र रूप से पुनरुत्पादित किए जा सकते हैं।

इस जांच को साझा करें

एक्स / ट्विटर टेलीग्राम रेडिट लिंक्डइन

संबंधित जांचें

xmrwallet.com बेनकाब: चोरी की चाबियों के 10 साल
गहन जांच
xmrwallet.com बेनकाब: चोरी की चाबियों के 10 साल
NiceNIC जांच: ICANN रजिस्ट्रार साइबर अपराध को सक्षम कर रहा है
गहन जांच
NiceNIC जांच: ICANN रजिस्ट्रार साइबर अपराध को सक्षम कर रहा है
नेमसाइलो, वेबनिक, नाइसनिक: धोखाधड़ी को सक्षम करने वाले रजिस्ट्रार
जांच
नेमसाइलो, वेबनिक, नाइसनिक: धोखाधड़ी को सक्षम करने वाले रजिस्ट्रार