La fine di xmrwallet[.]com: NameSilo ha mentito per proteggere un ladro che aveva rubato 2 milioni di dollari
Dopo 10 anni passati a rubare chiavi private di Monero, l’operazione è stata smantellata. Tre registrar sono intervenuti nel giro di pochi giorni. Il quarto — NameSilo — ha contattato il truffatore, ha creduto alla sua versione dei fatti e ne è diventato l’addetto stampa.

Cosa ha fatto in realtà xmrwallet[.]com
Dal 2016, xmrwallet[.]com si è presentato come un portafoglio Monero gratuito e open source. Il nostro acquisizione in tempo reale della rete il 18 febbraio 2026 ha dimostrato che stava facendo qualcosa di molto diverso: rubare le chiavi di visualizzazione private di Monero ad ogni accesso e dirottare le transazioni a livello di server.

Codice non iniettato — il architettura di base. Un sistema di sessioni che coinvolge 8 endpoint PHP, che trasmette la chiave privata di visualizzazione della vittima Oltre 40 volte per sessione. Quando gli utenti inviavano XMR, la loro transazione veniva silenziosamente scartata (raw_tx_and_hash.raw = 0) e sostituito con quello del truffatore.

Sei fornitori di soluzioni di sicurezza su VirusTotal lo hanno segnalato come dannoso. Quindici vittime documentate su Trustpilot, Sitejabber e BitcoinTalk. Una vittima ha perso 590 XMR (~177.000 $) in un unico furto.


Tre funzionari dell’anagrafe hanno fatto il loro dovere
Abbiamo presentato segnalazioni di abuso identiche a tutti e quattro i registrar che ospitano domini xmrwallet. Tre di essi hanno agito immediatamente:

Registro del pubblico dominio
India · Giorni per agire
WebNic
Malesia · Giorni per agire
NiceNIC
Cina · Ancora poche settimane per agire
NameSilo
Stati Uniti · Truffatore difeso
India, Malesia, Cina: hanno esaminato le prove, hanno riscontrato una frode e hanno sospeso i domini. Senza fare domande.
NameSilo ha scelto una strada diversa
Il quarto cancelliere — NameSilo, LLC (USA) — che ospitava il dominio principale, quello con il maggior numero di prove e di vittime — ha fatto esattamente il contrario. Ha contattato il truffatore, ha creduto alla sua versione dei fatti e ha pubblicato una dichiarazione pubblica in sua difesa:

“Il nostro team dedicato agli abusi ha condotto un’analisi approfondita del caso e sembra che il dominio sia stato compromesso alcuni mesi fa... A seguito di un’indagine approfondita, il nostro team ha trovato prove che indicano che la compromissione non ha coinvolto il registrante... Il registrante sta inoltre provvedendo a far rimuovere il sito web dai rapporti di VT.”
— NameSilo, su X (Twitter)
Abbiamo analizzato questa affermazione riga per riga. Tutte le affermazioni erano false.
Le parole dello stesso operatore
Prima che NameSilo intervenisse, l'operatore ha risposto direttamente alla nostra segnalazione di abuso. Le sue e-mail confermano che era a conoscenza della situazione e che aveva intenzione di agire:


Sette bugie smascherate
Il meccanismo di furto costituisce l'architettura centrale: 8 endpoint PHP, esfiltrazione di chiavi Base64, un Un intervallo di 5,3 anni tra i commit su GitHub. Questo sistema è stato sviluppato nel corso degli anni, non messo insieme in fretta e furia.
Sei fornitori su VirusTotal, reclami su Trustpilot che risalgono a diversi anni fa, un thread di avvertimento su BitcoinTalk, l'operatore bannato da r/Monero nel 2018. Bastava una semplice ricerca su Google per scoprirlo.
L'operatore si è registrato 4 domini di escape distribuiti su 4 registrar (prepagati per 5-10 anni ciascuno) prima L'indagine è stata resa pubblica. Sono state eliminate oltre 21 segnalazioni su GitHub. Sono stati assunti degli sviluppatori per realizzare un sistema CAPTCHA. Non si tratta di una vittima, ma di un'operazione.
Il codice relativo al furto era in esecuzione nell'ambiente di produzione nel corso della dichiarazione di NameSilo. Nessun commit su GitHub relativo a alcun incidente. Non è stato annullato nulla.
NameSilo ha elogiato il truffatore per aver esercitato pressioni affinché venisse rimossa la funzione di rilevamento del “phishing” di Fortinet — senza rimuovere il codice di phishing. Questa non è buona fede. Si tratta di nascondere gli avvisi di sicurezza.
Spostare l’onere della prova sul segnalante per poter archiviare il caso. Le prove erano contenute nella segnalazione. Non era necessario che i tre colleghi addetti alla registrazione facessero ulteriori domande.
"Riaprire" implica che un tempo fosse aperto. La loro indagine è consistita nel chiamare il truffatore e prendere nota di ciò che diceva. Quella non è un'indagine: è un dettato.
Dati relativi alle infrastrutture



Cronologia: La caduta di xmrwallet
Il verdetto
NameSilo non ha ignorato le prove. Le ha esaminate, ha contattato il truffatore, gli ha creduto, lo ha dichiarato innocente e ha contribuito a insabbiare gli avvisi di sicurezza. Poi ha chiesto ai ricercatori di dimostrare che l’abuso fosse “recente”.
Questa non è negligenza. È una collaborazione.
Il dominio è fuori servizio. La truffa è finita. Ma il fatto che un registrar statunitense abbia deciso di inventare pubblicamente una storia di copertura per proteggere un ladro di criptovalute che ha rubato 2 milioni di dollari — questo è qualcosa che perseguiterà NameSilo per molto tempo. La loro dichiarazione sarà la prova numero uno in ogni atto processuale da questo momento in poi.
Se fai da garante per il ladro, ti ritrovi a pagare la sua parte.
Prove e risorse
Indagini correlate
La presente indagine si basa su prove di dominio pubblico, acquisizioni in tempo reale della rete, OSINT, piattaforme di recensioni pubbliche e sulla dichiarazione pubblica integrale rilasciata dalla stessa NameSilo. Non è stato effettuato alcun accesso non autorizzato. Tutti i risultati sono riproducibili in modo indipendente.



