Kembali ke Berita
Laporan Investigasi — Final

Akhir dari xmrwallet[.]com: NameSilo Berbohong untuk Melindungi Seorang Pencuri Senilai $2M

Setelah 10 tahun mencuri kunci pribadi Monero, operasi tersebut berhasil digagalkan. Tiga penyedia layanan pendaftaran domain bertindak dalam hitungan hari. Yang keempat — NameSilo — menghubungi penipu tersebut, mempercayai ceritanya, dan menjadi juru bicara baginya.

27 Maret 2026 Penelitian PhishDestroy Waktu baca: 12 menit
Penyelidikan xmrwallet.com — NameSilo Terungkap
Gambaran umum penyelidikan: Kejatuhan xmrwallet[.]com dan peran NameSilo dalam melindungi pelaku penipuan.
$2M+
Perkiraan Barang yang Dicuri
10
Tahun Aktif
3/4
Pendaftar yang Ditangguhkan
7
Kebohongan NameSilo Terbukti
8
Pencurian Titik Akhir PHP

Apa yang Sebenarnya Dilakukan oleh xmrwallet[.]com

Sejak tahun 2016, xmrwallet[.]com mempromosikan dirinya sebagai dompet Monero gratis dan bersumber terbuka. Kami perekaman jaringan secara langsung pada 18 Februari 2026 terbukti bahwa sistem tersebut melakukan sesuatu yang sangat berbeda: mencuri kunci tampilan Monero pribadi pada setiap kali login dan membajak transaksi di sisi server.

Serangan pencurian kunci Monero — laptop mengirimkan kunci yang dicuri ke server penipu
Tangkapan layar 1 — Mekanisme pencurian: setiap kali masuk ke dompet, kunci tampilan pribadi Monero milik korban dikirimkan ke server penipu melalui pengkodean Base64.
Mekanisme Utama Pencurian

Bukan kode yang disisipkan — yang arsitektur inti. Sistem sesi yang mencakup 8 titik akhir PHP, yang mengirimkan kunci tampilan pribadi korban Lebih dari 40 kali per sesi. Ketika pengguna mengirim XMR, transaksi mereka diam-diam diabaikan (raw_tx_and_hash.raw = 0) dan diganti dengan milik penipu tersebut.

Pengguna membuka dompet
Kunci yang dicuri telah ditampilkan (Base64)
TX disusupi di sisi server
XMR yang dikirim ke penipu
8 titik akhir API PHP yang digunakan untuk pencurian kunci tampilan — repositori bukti di GitHub
Tangkapan layar 2 — 8 titik akhir PHP yang didokumentasikan dalam repositori bukti GitHub kami. Setiap titik akhir berperan dalam rantai eksfiltrasi session_key/view_key.

Enam penyedia layanan keamanan di VirusTotal menandainya sebagai program berbahaya. Ada lima belas korban yang tercatat di Trustpilot, Sitejabber, dan BitcoinTalk. Seorang korban kehilangan 590 XMR (~$177.000) dalam satu kasus pencurian.

Hasil pemindaian VirusTotal menunjukkan bahwa 6 dari 93 penyedia layanan menandai xmrwallet.com sebagai situs berbahaya, termasuk deteksi phishing oleh Fortinet
Tangkapan layar 3 — VirusTotal: 6 dari 93 penyedia layanan menandai xmrwallet.com sebagai situs berbahaya. Fortinet mengklasifikasikannya sebagai “Phishing.”
ScamAdviser menandai xmrwallet.com sebagai "Sangat Kemungkinan Tidak Aman" dengan Skor Kepercayaan 1 dari 100
Tangkapan layar 4 — ScamAdviser: Skor Kepercayaan 1/100. “Sangat Kemungkinan Tidak Aman.”

Tiga Petugas Pendaftaran Telah Melaksanakan Tugasnya

Kami telah mengajukan laporan penyalahgunaan yang sama kepada keempat registrar yang menghosting domain xmrwallet. Tiga di antaranya langsung bertindak:

Tiga pintu terkunci yang melambangkan petugas pendaftaran yang ditangguhkan dan satu pintu terbuka yang melambangkan penolakan NameSilo untuk bertindak
Tangkapan Layar 5 — Tiga penyedia layanan pendaftaran domain mengunci pintunya. NameSilo justru membiarkan pintunya terbuka lebar bagi penipu tersebut.

PublicDomainRegistry

xmrwallet.cc
Ditangguhkan

India · Waktu yang tersisa untuk bertindak

WebNic

xmrwallet.biz
Ditangguhkan

Malaysia · Waktu yang tersisa untuk bertindak

NiceNIC

xmrwallet.net
DNS Mati

Tiongkok · Tinggal beberapa minggu lagi untuk bertindak

NameSilo

xmrwallet.com
Ditolak

AS · Penipu yang dibela

Tiga negara. Tiga kesimpulan yang independen.

India, Malaysia, Tiongkok — meninjau bukti-bukti, menemukan adanya kecurangan, dan menangguhkan domain-domain tersebut. Tanpa bertanya apa pun.

NameSilo Memilih Jalur yang Berbeda

Petugas pendaftaran keempat — NameSilo, LLC (AS) — yang menjadi tuan rumah domain utama dengan bukti terbanyak dan korban terbanyak — justru melakukan hal sebaliknya. Mereka menghubungi penipu tersebut, mempercayai ceritanya, dan menerbitkan pernyataan publik yang membelanya:

Pernyataan publik NameSilo di Twitter yang membela operator xmrwallet.com dengan mengklaim bahwa domain tersebut telah diretas
Tangkapan layar 6 — Pernyataan publik NameSilo di X (Twitter), 12 Maret 2026. Setiap klaim dalam postingan ini tidak benar.
“Tim Penanganan Penyalahgunaan kami telah melakukan peninjauan mendalam terhadap kasus ini dan tampaknya domain tersebut telah diretas beberapa bulan yang lalu... Setelah penyelidikan menyeluruh, tim kami menemukan bukti bahwa peretasan tersebut tidak melibatkan pemilik domain... Pemilik domain juga sedang berupaya agar situs web tersebut dihapus dari laporan VT.”

— NameSilo, melalui X (Twitter)

Kami menganalisis pernyataan ini baris demi baris. Semua tuduhan itu tidak benar.

Kata-kata Operator Sendiri

Sebelum NameSilo turun tangan, operator tersebut menanggapi laporan penyalahgunaan yang kami ajukan secara langsung. Email-emailnya membuktikan bahwa ia menyadari masalah tersebut dan memiliki niat:

Balasan email dari operator xmrwallet yang menyatakan bahwa ini bukan phishing dan layanan tersebut telah beroperasi selama 8 tahun
Tangkapan layar 7 — Tanggapan operator: “Ini bukan phishing, kami sudah beroperasi selama lebih dari 8 tahun.”
Tanggapan melalui email dari operator xmrwallet yang membantah tuduhan pencurian dan membela praktik pengumpulan data
Tangkapan layar 8 — Tanggapan kedua dari operator: “Inilah data yang kami butuhkan untuk menyediakan layanan ini.” “Data” yang dimaksud adalah kunci tampilan pribadi korban.

Tujuh Kebohongan, Terbongkar

KEBOHONGAN #1: “Domain tersebut telah diretas”

Mekanisme pencurian merupakan arsitektur intinya — 8 titik akhir PHP, pengambilan kunci Base64, sebuah Jeda komit GitHub selama 5,3 tahun. Sistem ini dibangun selama bertahun-tahun, bukan dibuat secara terburu-buru.

KEBOHONGAN #2: “Kami belum pernah menerima laporan pelecehan sebelumnya”

Enam penyedia layanan VirusTotal, keluhan di Trustpilot yang sudah berlangsung bertahun-tahun, utas peringatan di BitcoinTalk, serta operatornya diblokir dari r/Monero pada tahun 2018. Cukup dengan sekali pencarian di Google saja, hal ini pasti sudah terlihat.

KEBOHONGAN #3: “Tidak melibatkan pihak yang terdaftar”

Operator tersebut telah terdaftar 4 domain escape di 4 penyedia layanan pendaftaran domain (prabayar, masing-masing 5–10 tahun) sebelumnya Hasil investigasi tersebut telah dipublikasikan. Telah menghapus lebih dari 21 isu di GitHub. Telah merekrut para pengembang untuk sistem captcha. Itu bukan korban — itu adalah operasi.

KEBOHONGAN #4: “Mereka langsung mengambil langkah-langkah untuk memperbaikinya”

Kode pencurian tersebut sedang berjalan di lingkungan produksi dalam pernyataan NameSilo. Tidak ada commit di GitHub yang berkaitan dengan insiden apa pun. Tidak ada yang dibatalkan.

KEBOHONGAN #5: “Berupaya agar situs ini dihapus dari daftar VirusTotal”

NameSilo memuji penipu tersebut karena telah melobi agar fitur deteksi “Phishing” dari Fortinet dihapus — tanpa menghapus kode phishing tersebut. Itu bukan tindakan yang jujur. Itu sama saja dengan menyembunyikan peringatan keamanan.

KEBOHONGAN #6: “Apakah kekerasan itu terjadi baru-baru ini?”

Mengalihkan beban pembuktian kepada pelapor agar mereka dapat menutup kasus tersebut. Buktinya sudah tercantum dalam laporan. Tiga petugas pendaftaran sesama rekan tidak perlu menanyakannya.

KEBOHONGAN #7: “Kami akan membuka kembali penyelidikan”

“Dibuka kembali” berarti tempat itu pernah buka. Penyelidikan mereka hanya berupa menelepon penipu tersebut dan mencatat apa yang dikatakannya. Itu bukan penyelidikan — itu hanya mencatat apa yang dikatakan orang lain.

Bukti Infrastruktur

Diagram jaringan domain yang menunjukkan domain xmrwallet yang ditangguhkan dan domain pelarian yang terdaftar sebelum penyelidikan
Tangkapan layar 9 — Jaringan pelarian domain: 4 domain di 4 penyedia layanan pendaftaran domain, semuanya mengarah ke server yang sama. Tiga di antaranya telah dinetralkan.
Hasil URLScan menunjukkan bahwa domain xmrwallet mengarah ke alamat IP yang sama di berbagai TLD
Tangkapan layar 10 — Data URLScan: semua domain xmrwallet (.com, .cc, .biz, .net, .me, .app) diarahkan ke infrastruktur yang sama.
Repositori bukti di GitHub yang menampilkan titik akhir pencurian yang terdokumentasi serta rekaman lalu lintas jaringan
Tangkapan Layar 11 — Repositori bukti kami di GitHub yang berisi analisis lengkap hasil penangkapan jaringan. Terdapat 109 permintaan dan 43 transmisi kunci tampilan yang tercatat dalam satu sesi.

Garis Waktu: Kejatuhan xmrwallet

2016
xmrwallet[.]com mulai beroperasi, dipromosikan sebagai “dompet Monero sumber terbuka gratis”
2018
Operator diblokir dari r/Monero. Ulasan pertama dari para korban mulai muncul di Trustpilot
4 Februari 2026
Domain xmrwallet.cc telah didaftarkan (prabayar 8 tahun) — sebelum hasil penyelidikan dipublikasikan
13 Februari 2026
Edisi #35 telah terbit — Mekanisme pembajakan TX secara penuh terungkap
18 Februari 2026
Edisi #36 — pencatatan langsung: 109 permintaan, 43 transmisi viewkey dalam satu sesi
23 Februari 2026
xmrwallet.cc DITUTUP SEMENTARA (PDR). xmrwallet.biz DITUTUP SEMENTARA (WebNic). Operator secara panik menghapus Masalah #35 & #36
26 Februari 2026
Kekhawatiran semakin meningkat: xmrwallet.net dan .me telah didaftarkan (pembayaran di muka selama 10 tahun, menggunakan alamat IP yang sama dengan domain yang ditangguhkan)
8 Maret 2026
DNS xmrwallet.net TIDAK AKTIF (NiceNIC). 3 dari 4 domain pelarian telah dinetralkan
Maret 2026
NameSilo mengeluarkan pernyataan: “Pemegang pendaftaran itulah yang menjadi korban.” Membantu menekan deteksi oleh VirusTotal
27 Maret 2026
Pengaduan resmi kepada ICANN telah diajukan (RAA Pasal 3.18). Bukti yang diserahkan kepada penegak hukum. Laporan ini telah diterbitkan.

Keputusan Akhir

NameSilo tidak mengabaikan bukti tersebut. Mereka membacanya, menghubungi penipu itu, mempercayainya, menyatakan dia tidak bersalah, dan turut membantu menyembunyikan peringatan keamanan. Kemudian, mereka meminta para peneliti untuk membuktikan bahwa penyalahgunaan tersebut terjadi “baru-baru ini.”

Itu bukan kelalaian. Itu adalah kemitraan.

Domain tersebut sedang tidak aktif. Penipuan itu telah berakhir. Namun, fakta bahwa sebuah perusahaan pendaftar domain asal AS memilih untuk secara terbuka mengarang cerita palsu guna melindungi pencuri kripto senilai $2 juta — hal itulah yang akan terus membayangi NameSilo untuk waktu yang sangat lama. Pernyataan mereka akan menjadi Bukti Utama dalam setiap berkas gugatan mulai saat ini dan seterusnya.

Jika kamu membela si pencuri, kamu ikut menanggung biayanya.

Bukti & Sumber Daya

Penyelidikan Terkait

Penyelidikan ini didasarkan pada bukti yang tersedia untuk umum, rekaman jaringan secara langsung, OSINT, platform ulasan publik, serta pernyataan publik NameSilo yang dikutip secara verbatim. Tidak ada akses tanpa izin yang dilakukan. Semua temuan dapat direproduksi secara independen.

Bagikan Investigasi Ini

X / Twitter Telegram Reddit LinkedIn

Penyelidikan Terkait

xmrwallet.com Terbongkar: 10 Tahun Kunci yang Dicuri
PENELITIAN MENDALAM
xmrwallet.com Terbongkar: 10 Tahun Kunci yang Dicuri
Penyelidikan NiceNIC: Pendaftar ICANN yang Memfasilitasi Kejahatan Siber
PENELITIAN MENDALAM
Penyelidikan NiceNIC: Pendaftar ICANN yang Memfasilitasi Kejahatan Siber
NameSilo, Webnic, NiceNIC: Penyedia Layanan Pendaftaran Nama Domain yang Memfasilitasi Penipuan
PENYELIDIKAN
NameSilo, Webnic, NiceNIC: Penyedia Layanan Pendaftaran Nama Domain yang Memfasilitasi Penipuan