Akhir dari xmrwallet[.]com: NameSilo Berbohong untuk Melindungi Seorang Pencuri Senilai $2M
Setelah 10 tahun mencuri kunci pribadi Monero, operasi tersebut berhasil digagalkan. Tiga penyedia layanan pendaftaran domain bertindak dalam hitungan hari. Yang keempat — NameSilo — menghubungi penipu tersebut, mempercayai ceritanya, dan menjadi juru bicara baginya.

Apa yang Sebenarnya Dilakukan oleh xmrwallet[.]com
Sejak tahun 2016, xmrwallet[.]com mempromosikan dirinya sebagai dompet Monero gratis dan bersumber terbuka. Kami perekaman jaringan secara langsung pada 18 Februari 2026 terbukti bahwa sistem tersebut melakukan sesuatu yang sangat berbeda: mencuri kunci tampilan Monero pribadi pada setiap kali login dan membajak transaksi di sisi server.

Bukan kode yang disisipkan — yang arsitektur inti. Sistem sesi yang mencakup 8 titik akhir PHP, yang mengirimkan kunci tampilan pribadi korban Lebih dari 40 kali per sesi. Ketika pengguna mengirim XMR, transaksi mereka diam-diam diabaikan (raw_tx_and_hash.raw = 0) dan diganti dengan milik penipu tersebut.

Enam penyedia layanan keamanan di VirusTotal menandainya sebagai program berbahaya. Ada lima belas korban yang tercatat di Trustpilot, Sitejabber, dan BitcoinTalk. Seorang korban kehilangan 590 XMR (~$177.000) dalam satu kasus pencurian.


Tiga Petugas Pendaftaran Telah Melaksanakan Tugasnya
Kami telah mengajukan laporan penyalahgunaan yang sama kepada keempat registrar yang menghosting domain xmrwallet. Tiga di antaranya langsung bertindak:

PublicDomainRegistry
India · Waktu yang tersisa untuk bertindak
WebNic
Malaysia · Waktu yang tersisa untuk bertindak
NiceNIC
Tiongkok · Tinggal beberapa minggu lagi untuk bertindak
NameSilo
AS · Penipu yang dibela
India, Malaysia, Tiongkok — meninjau bukti-bukti, menemukan adanya kecurangan, dan menangguhkan domain-domain tersebut. Tanpa bertanya apa pun.
NameSilo Memilih Jalur yang Berbeda
Petugas pendaftaran keempat — NameSilo, LLC (AS) — yang menjadi tuan rumah domain utama dengan bukti terbanyak dan korban terbanyak — justru melakukan hal sebaliknya. Mereka menghubungi penipu tersebut, mempercayai ceritanya, dan menerbitkan pernyataan publik yang membelanya:

“Tim Penanganan Penyalahgunaan kami telah melakukan peninjauan mendalam terhadap kasus ini dan tampaknya domain tersebut telah diretas beberapa bulan yang lalu... Setelah penyelidikan menyeluruh, tim kami menemukan bukti bahwa peretasan tersebut tidak melibatkan pemilik domain... Pemilik domain juga sedang berupaya agar situs web tersebut dihapus dari laporan VT.”
— NameSilo, melalui X (Twitter)
Kami menganalisis pernyataan ini baris demi baris. Semua tuduhan itu tidak benar.
Kata-kata Operator Sendiri
Sebelum NameSilo turun tangan, operator tersebut menanggapi laporan penyalahgunaan yang kami ajukan secara langsung. Email-emailnya membuktikan bahwa ia menyadari masalah tersebut dan memiliki niat:


Tujuh Kebohongan, Terbongkar
Mekanisme pencurian merupakan arsitektur intinya — 8 titik akhir PHP, pengambilan kunci Base64, sebuah Jeda komit GitHub selama 5,3 tahun. Sistem ini dibangun selama bertahun-tahun, bukan dibuat secara terburu-buru.
Enam penyedia layanan VirusTotal, keluhan di Trustpilot yang sudah berlangsung bertahun-tahun, utas peringatan di BitcoinTalk, serta operatornya diblokir dari r/Monero pada tahun 2018. Cukup dengan sekali pencarian di Google saja, hal ini pasti sudah terlihat.
Operator tersebut telah terdaftar 4 domain escape di 4 penyedia layanan pendaftaran domain (prabayar, masing-masing 5–10 tahun) sebelumnya Hasil investigasi tersebut telah dipublikasikan. Telah menghapus lebih dari 21 isu di GitHub. Telah merekrut para pengembang untuk sistem captcha. Itu bukan korban — itu adalah operasi.
Kode pencurian tersebut sedang berjalan di lingkungan produksi dalam pernyataan NameSilo. Tidak ada commit di GitHub yang berkaitan dengan insiden apa pun. Tidak ada yang dibatalkan.
NameSilo memuji penipu tersebut karena telah melobi agar fitur deteksi “Phishing” dari Fortinet dihapus — tanpa menghapus kode phishing tersebut. Itu bukan tindakan yang jujur. Itu sama saja dengan menyembunyikan peringatan keamanan.
Mengalihkan beban pembuktian kepada pelapor agar mereka dapat menutup kasus tersebut. Buktinya sudah tercantum dalam laporan. Tiga petugas pendaftaran sesama rekan tidak perlu menanyakannya.
“Dibuka kembali” berarti tempat itu pernah buka. Penyelidikan mereka hanya berupa menelepon penipu tersebut dan mencatat apa yang dikatakannya. Itu bukan penyelidikan — itu hanya mencatat apa yang dikatakan orang lain.
Bukti Infrastruktur



Garis Waktu: Kejatuhan xmrwallet
Keputusan Akhir
NameSilo tidak mengabaikan bukti tersebut. Mereka membacanya, menghubungi penipu itu, mempercayainya, menyatakan dia tidak bersalah, dan turut membantu menyembunyikan peringatan keamanan. Kemudian, mereka meminta para peneliti untuk membuktikan bahwa penyalahgunaan tersebut terjadi “baru-baru ini.”
Itu bukan kelalaian. Itu adalah kemitraan.
Domain tersebut sedang tidak aktif. Penipuan itu telah berakhir. Namun, fakta bahwa sebuah perusahaan pendaftar domain asal AS memilih untuk secara terbuka mengarang cerita palsu guna melindungi pencuri kripto senilai $2 juta — hal itulah yang akan terus membayangi NameSilo untuk waktu yang sangat lama. Pernyataan mereka akan menjadi Bukti Utama dalam setiap berkas gugatan mulai saat ini dan seterusnya.
Jika kamu membela si pencuri, kamu ikut menanggung biayanya.
Bukti & Sumber Daya
Penyelidikan Terkait
Penyelidikan ini didasarkan pada bukti yang tersedia untuk umum, rekaman jaringan secara langsung, OSINT, platform ulasan publik, serta pernyataan publik NameSilo yang dikutip secara verbatim. Tidak ada akses tanpa izin yang dilakukan. Semua temuan dapat direproduksi secara independen.



