Torna alle notizie
Relazione d'indagine — Versione definitiva

La fine di xmrwallet[.]com: NameSilo ha mentito per proteggere un ladro che aveva rubato 2 milioni di dollari

Dopo 10 anni passati a rubare chiavi private di Monero, l’operazione è stata smantellata. Tre registrar sono intervenuti nel giro di pochi giorni. Il quarto — NameSilo — ha contattato il truffatore, ha creduto alla sua versione dei fatti e ne è diventato l’addetto stampa.

27 marzo 2026 Ricerca PhishDestroy 12 minuti di lettura
Indagine su xmrwallet.com — NameSilo smascherato
Panoramica dell'indagine: Il crollo di xmrwallet[.]com e il ruolo di NameSilo nella protezione del truffatore.
$2M+
Stima dei furti
10
Anni di attività
3/4
Registrari sospesi
7
Le menzogne di NameSilo sono state smascherate
8
Endpoint PHP per il furto

Cosa ha fatto in realtà xmrwallet[.]com

Dal 2016, xmrwallet[.]com si è presentato come un portafoglio Monero gratuito e open source. Il nostro acquisizione in tempo reale della rete il 18 febbraio 2026 ha dimostrato che stava facendo qualcosa di molto diverso: rubare le chiavi di visualizzazione private di Monero ad ogni accesso e dirottare le transazioni a livello di server.

Attacco di esfiltrazione delle chiavi di Monero — un portatile che trasmette le chiavi rubate al server del truffatore
Screenshot 1 — Il meccanismo di furto: ogni accesso al portafoglio trasmetteva la chiave privata "view key" di Monero della vittima al server del truffatore tramite codifica Base64.
Meccanismo di base del furto

Codice non iniettato — il architettura di base. Un sistema di sessioni che coinvolge 8 endpoint PHP, che trasmette la chiave privata di visualizzazione della vittima Oltre 40 volte per sessione. Quando gli utenti inviavano XMR, la loro transazione veniva silenziosamente scartata (raw_tx_and_hash.raw = 0) e sostituito con quello del truffatore.

L'utente apre il portafoglio
Chiave visualizzata (Base64)
TX dirottato lato server
XMR inviati al truffatore
8 endpoint dell'API PHP utilizzati per il furto delle chiavi di visualizzazione — Repository delle prove su GitHub
Screenshot 2 — Gli 8 endpoint PHP documentati nel nostro repository di prove su GitHub. Ciascun endpoint fa parte della catena di esfiltrazione di session_key/view_key.

Sei fornitori di soluzioni di sicurezza su VirusTotal lo hanno segnalato come dannoso. Quindici vittime documentate su Trustpilot, Sitejabber e BitcoinTalk. Una vittima ha perso 590 XMR (~177.000 $) in un unico furto.

La scansione di VirusTotal mostra che 6 fornitori su 93 segnalano xmrwallet.com come sito dannoso, tra cui il sistema di rilevamento del phishing di Fortinet
Screenshot 3 — VirusTotal: 6 fornitori su 93 hanno segnalato xmrwallet.com come sito dannoso. Fortinet lo ha classificato come “Phishing”.
ScamAdviser indica xmrwallet.com come "molto probabilmente non sicuro", con un punteggio di affidabilità pari a 1 su 100
Screenshot 4 — ScamAdviser: Punteggio di affidabilità 1/100. “Molto probabilmente non sicuro.”

Tre funzionari dell’anagrafe hanno fatto il loro dovere

Abbiamo presentato segnalazioni di abuso identiche a tutti e quattro i registrar che ospitano domini xmrwallet. Tre di essi hanno agito immediatamente:

Tre porte chiuse a chiave, che simboleggiano i registrar sospesi, e una porta aperta, che simboleggia il rifiuto di NameSilo di intervenire
Screenshot 5 — Tre registrar hanno chiuso a chiave le porte. NameSilo ha lasciato la propria spalancata al truffatore.

Registro del pubblico dominio

xmrwallet.cc
Sospeso

India · Giorni per agire

WebNic

xmrwallet.biz
Sospeso

Malesia · Giorni per agire

NiceNIC

xmrwallet.net
DNS non funzionante

Cina · Ancora poche settimane per agire

NameSilo

xmrwallet.com
Rifiutato

Stati Uniti · Truffatore difeso

Tre paesi. Tre conclusioni indipendenti.

India, Malesia, Cina: hanno esaminato le prove, hanno riscontrato una frode e hanno sospeso i domini. Senza fare domande.

NameSilo ha scelto una strada diversa

Il quarto cancelliere — NameSilo, LLC (USA) — che ospitava il dominio principale, quello con il maggior numero di prove e di vittime — ha fatto esattamente il contrario. Ha contattato il truffatore, ha creduto alla sua versione dei fatti e ha pubblicato una dichiarazione pubblica in sua difesa:

Dichiarazione pubblica di NameSilo su Twitter in difesa del gestore di xmrwallet.com, il quale sostiene che il dominio sia stato compromesso
Screenshot 6 — Dichiarazione pubblica di NameSilo su X (Twitter), 12 marzo 2026. Tutte le affermazioni contenute in questo post erano false.
“Il nostro team dedicato agli abusi ha condotto un’analisi approfondita del caso e sembra che il dominio sia stato compromesso alcuni mesi fa... A seguito di un’indagine approfondita, il nostro team ha trovato prove che indicano che la compromissione non ha coinvolto il registrante... Il registrante sta inoltre provvedendo a far rimuovere il sito web dai rapporti di VT.”

— NameSilo, su X (Twitter)

Abbiamo analizzato questa affermazione riga per riga. Tutte le affermazioni erano false.

Le parole dello stesso operatore

Prima che NameSilo intervenisse, l'operatore ha risposto direttamente alla nostra segnalazione di abuso. Le sue e-mail confermano che era a conoscenza della situazione e che aveva intenzione di agire:

Risposta via e-mail dell'amministratore di xmrwallet in cui si sostiene che non si tratti di phishing e che il servizio sia attivo da 8 anni
Screenshot 7 — Risposta dell'operatore: «Non si tratta di phishing, siamo attivi da oltre 8 anni».
Risposta via e-mail dell'operatore di xmrwallet in cui si negano le accuse di furto e si difendono le pratiche di raccolta dei dati
Screenshot 8 — Seconda risposta dell'operatore: «Questi sono i dati di cui abbiamo bisogno per fornire il servizio». I «dati» erano la chiave di visualizzazione privata della vittima.

Sette bugie smascherate

BUGIA N. 1: “Il dominio è stato compromesso”

Il meccanismo di furto costituisce l'architettura centrale: 8 endpoint PHP, esfiltrazione di chiavi Base64, un Un intervallo di 5,3 anni tra i commit su GitHub. Questo sistema è stato sviluppato nel corso degli anni, non messo insieme in fretta e furia.

BUGIA N. 2: «Non avevamo ricevuto alcuna segnalazione di abusi in precedenza»

Sei fornitori su VirusTotal, reclami su Trustpilot che risalgono a diversi anni fa, un thread di avvertimento su BitcoinTalk, l'operatore bannato da r/Monero nel 2018. Bastava una semplice ricerca su Google per scoprirlo.

BUGIA N. 3: “Non coinvolgere il soggetto registrato”

L'operatore si è registrato 4 domini di escape distribuiti su 4 registrar (prepagati per 5-10 anni ciascuno) prima L'indagine è stata resa pubblica. Sono state eliminate oltre 21 segnalazioni su GitHub. Sono stati assunti degli sviluppatori per realizzare un sistema CAPTCHA. Non si tratta di una vittima, ma di un'operazione.

BUGIA N. 4: «Hanno immediatamente adottato misure per porvi rimedio»

Il codice relativo al furto era in esecuzione nell'ambiente di produzione nel corso della dichiarazione di NameSilo. Nessun commit su GitHub relativo a alcun incidente. Non è stato annullato nulla.

BUGIA N. 5: “Ci stiamo adoperando per essere rimossi dall’elenco di VirusTotal”

NameSilo ha elogiato il truffatore per aver esercitato pressioni affinché venisse rimossa la funzione di rilevamento del “phishing” di Fortinet — senza rimuovere il codice di phishing. Questa non è buona fede. Si tratta di nascondere gli avvisi di sicurezza.

BUGIA N. 6: «L’abuso è recente?»

Spostare l’onere della prova sul segnalante per poter archiviare il caso. Le prove erano contenute nella segnalazione. Non era necessario che i tre colleghi addetti alla registrazione facessero ulteriori domande.

BUGIA N. 7: «Riapriremo l’indagine»

"Riaprire" implica che un tempo fosse aperto. La loro indagine è consistita nel chiamare il truffatore e prendere nota di ciò che diceva. Quella non è un'indagine: è un dettato.

Dati relativi alle infrastrutture

Diagramma della rete dei domini che mostra i domini xmrwallet sospesi e i domini di fuga registrati prima dell'indagine
Screenshot 9 — La rete di evasione dei domini: 4 domini distribuiti su 4 registrar, tutti puntanti agli stessi server. Tre sono stati neutralizzati.
Risultati di URLScan che mostrano come i domini xmrwallet rimandino agli stessi indirizzi IP su più TLD
Screenshot 10 — Dati di URLScan: tutti i domini xmrwallet (.com, .cc, .biz, .net, .me, .app) puntano alla stessa infrastruttura.
Repository di prove su GitHub che mostra gli endpoint oggetto di furto documentati e le acquisizioni di rete
Screenshot 11 — Il nostro repository di prove su GitHub con l'analisi completa della cattura di rete. 109 richieste e 43 trasmissioni di chiavi di visualizzazione documentate in un'unica sessione.

Cronologia: La caduta di xmrwallet

2016
xmrwallet[.]com entra in funzione, presentandosi come “portafoglio Monero gratuito e open source”
2018
Operatore bannato da r/Monero. Su Trustpilot compaiono le prime recensioni delle vittime
4 febbraio 2026
Dominio Escape xmrwallet.cc registrato (8 anni prepagati) — prima della pubblicazione dei risultati dell'indagine
13 febbraio 2026
Pubblicato il numero 35 — Meccanismo completo di dirottamento TX scoperto
18 febbraio 2026
Numero 36 — acquisizione in tempo reale: 109 richieste, 43 trasmissioni di viewkey in una singola sessione
23 febbraio 2026
xmrwallet.cc SOSPESO (PDR). xmrwallet.biz SOSPESO (WebNic). L'operatore cancella in preda al panico i numeri #35 e #36
26 febbraio 2026
Ancora panico: xmrwallet.net e .me sono stati registrati (abbonamento prepagato di 10 anni, stessi indirizzi IP dei domini sospesi)
8 marzo 2026
xmrwallet.net DNS NON FUNZIONANTE (NiceNIC). 3 dei 4 domini di fuga neutralizzati
Marzo 2026
NameSilo pubblica una dichiarazione: «Il soggetto registrato è la vittima.» Aiuta a eludere i rilevamenti di VirusTotal
27 marzo 2026
Presentato reclamo formale all’ICANN (Sezione 3.18 del RAA). Prove trasmesse alle forze dell'ordine. Pubblicazione del presente rapporto.

Il verdetto

NameSilo non ha ignorato le prove. Le ha esaminate, ha contattato il truffatore, gli ha creduto, lo ha dichiarato innocente e ha contribuito a insabbiare gli avvisi di sicurezza. Poi ha chiesto ai ricercatori di dimostrare che l’abuso fosse “recente”.

Questa non è negligenza. È una collaborazione.

Il dominio è fuori servizio. La truffa è finita. Ma il fatto che un registrar statunitense abbia deciso di inventare pubblicamente una storia di copertura per proteggere un ladro di criptovalute che ha rubato 2 milioni di dollari — questo è qualcosa che perseguiterà NameSilo per molto tempo. La loro dichiarazione sarà la prova numero uno in ogni atto processuale da questo momento in poi.

Se fai da garante per il ladro, ti ritrovi a pagare la sua parte.

Prove e risorse

Indagini correlate

La presente indagine si basa su prove di dominio pubblico, acquisizioni in tempo reale della rete, OSINT, piattaforme di recensioni pubbliche e sulla dichiarazione pubblica integrale rilasciata dalla stessa NameSilo. Non è stato effettuato alcun accesso non autorizzato. Tutti i risultati sono riproducibili in modo indipendente.

Condividi questa indagine

X / Twitter Telegram Reddit LinkedIn

Indagini correlate

xmrwallet smascherato: 10 anni di chiavi rubate
INDAGINE APPROFONDITA
xmrwallet smascherato: 10 anni di chiavi rubate
Inchiesta su NiceNIC: un registrar dell’ICANN favorisce la criminalità informatica
INDAGINE APPROFONDITA
Inchiesta su NiceNIC: un registrar dell’ICANN favorisce la criminalità informatica
NameSilo, Webnic, NiceNIC: registrar che favoriscono le truffe
INDAGINE
NameSilo, Webnic, NiceNIC: registrar che favoriscono le truffe