xmrwallet[.]com의 종말: NameSilo는 200만 달러를 훔친 도둑을 감싸기 위해 거짓말을 했다
10년 동안 모네로 개인 키를 훔쳐온 이 조직이 무너졌다. 세 곳의 도메인 등록업체는 며칠 만에 조치를 취했다. 네 번째 업체인 NameSilo는 사기꾼에게 연락을 취해 그의 말을 믿고, 그의 대변인 역할을 자처했다.

xmrwallet[.]com이 실제로 한 일
2016년부터 xmrwallet[.]com은 무료 오픈소스 모네로 지갑으로 자사를 홍보해 왔습니다. 저희는 2026년 2월 18일의 실시간 네트워크 캡처 이 프로그램이 전혀 다른 일을 하고 있음을 입증했는데, 바로 매번 로그인할 때마다 모네로(Monero)의 개인 뷰 키를 훔치고 서버 측에서 거래를 가로채는 것이었다.

삽입된 코드가 아닌 — 그 핵심 아키텍처. 8개의 PHP 엔드포인트에 걸쳐 운영되는 세션 시스템으로, 피해자의 개인 뷰 키를 전송하는 세션당 40회 이상. 사용자가 XMR을 송금하면 해당 거래는 아무런 알림 없이 무효화되었습니다 (raw_tx_and_hash.raw = 0)를 사기꾼의 것으로 바꿔치웠습니다.

VirusTotal에 등록된 6개의 보안 업체가 이 파일을 악성 파일로 판정했습니다. Trustpilot, Sitejabber, BitcoinTalk에 총 15명의 피해자가 보고되었습니다. 한 피해자는 590 XMR (약 177,000달러) 단 한 건의 절도 사건에서.


세 명의 등록 담당자가 제 역할을 다했다
저희는 xmrwallet 도메인을 호스팅하는 4곳의 등록기관 모두에 동일한 악용 신고를 접수했습니다. 그중 3곳은 즉시 조치를 취했습니다:

퍼블릭도메인레지스트리
인도 · 행동에 나설 때까지 남은 일수
WebNic
말레이시아 · 행동에 나서기까지 남은 일수
NiceNIC
중국 · 행동에 나설 시간이 얼마 남지 않았다
NameSilo
미국 · 사기범을 변호한
인도, 말레이시아, 중국 — 증거를 검토한 끝에 사기 행각을 적발하고 해당 도메인을 정지시켰습니다. 아무런 질문도 없이 말이죠.
NameSilo, 다른 길을 선택하다
네 번째 등록관 — NameSilo, LLC (미국) — 증거가 가장 많고 피해자도 가장 많은 주요 도메인을 호스팅하고 있는 업체 — 는 정반대의 행동을 취했습니다. 그들은 사기꾼에게 연락을 취해 그의 말을 믿고, 그를 옹호하는 공개 성명을 발표했습니다:

“당사의 악용 대응 팀은 이 사안에 대해 심층적인 검토를 진행한 결과, 해당 도메인이 몇 달 전에 해킹당한 것으로 보입니다... 광범위한 조사 끝에, 당사 팀은 등록자와 무관한 해킹 증거를 발견했습니다... 또한 등록자는 VT 보고서에서 해당 웹사이트가 제외되도록 조치 중입니다.”
— NameSilo, X(Twitter)를 통해
우리는 이 진술을 한 줄씩 분석했습니다. 모든 주장은 거짓이었다.
운영자의 직접적인 발언
NameSilo가 개입하기 전, 해당 운영자는 당사의 악용 신고에 직접 답변했습니다. 그의 이메일 내용으로 보아 그는 이 사실을 인지하고 있었으며, 다음과 같은 의도를 가지고 있었습니다:


일곱 가지 거짓말, 그 실체
도난 메커니즘은 핵심 아키텍처로, 8개의 PHP 엔드포인트, Base64 키 유출, 그리고 5.3년 동안의 GitHub 커밋 공백기. 이 시스템은 수년에 걸쳐 구축된 것이지, 급조된 것이 아닙니다.
VirusTotal의 6개 공급업체, 수년 전부터 이어져 온 Trustpilot의 불만 사례, BitcoinTalk의 경고 게시물, 운영자 2018년에 r/Monero에서 차단됨. 구글에서 한 번만 검색해 봤어도 이 사실을 알 수 있었을 텐데.
운영자가 등록되었습니다 4개 등록기관에 걸친 4개의 도메인 (각각 5~10년 선불) ~전에 조사 결과가 공개되었습니다. GitHub 이슈 21개 이상을 삭제했습니다. 캡차 시스템 개발을 위해 개발자들을 채용했습니다. 이건 피해자가 아니라 작전입니다.
도난 방지 코드가 운영 환경에서 실행 중이었습니다 NameSilo의 성명서에서. 해당 사고와 관련된 GitHub 커밋은 단 하나도 없습니다. 어떤 변경 사항도 되돌려지지 않았습니다.
NameSilo는 사기꾼이 포티넷의 “피싱” 탐지 기능을 제거하도록 로비한 점을 칭찬했다 — 피싱 코드를 제거하지 않은 채로. 그건 선의가 아닙니다. 보안 경고를 무시하는 행위입니다.
사건을 종결하기 위해 입증 책임을 신고자에게 전가하고 있다. 증거는 신고서에 이미 나와 있었다. 동료 등록 담당자 세 명이 굳이 물어볼 필요도 없었다.
“재개”라는 말은 한때 열려 있었다는 뜻이다. 그들의 조사는 사기꾼에게 전화를 걸어 그가 한 말을 적는 것으로 이루어졌다. 그건 조사가 아니라 받아쓰기일 뿐이다.
인프라 관련 증거



연표: xmrwallet의 몰락
결론
NameSilo는 그 증거를 무시하지 않았습니다. 그들은 그 증거를 검토하고, 사기꾼에게 전화를 걸어 그의 말을 믿은 뒤, 그가 무죄라고 선언했으며, 보안 경고를 은폐하는 데 일조했습니다. 그리고는 연구진에게 그 악용 사례가 “최근의 것”임을 증명해 달라고 요구했습니다.
그건 태만이 아닙니다. 그건 파트너십입니다.
도메인이 다운되었습니다. 사기 행각은 끝났습니다. 하지만 미국의 한 도메인 등록 기관이 200만 달러 상당의 암호화폐를 훔친 범인을 감싸기 위해 공개적으로 거짓 변명을 꾸며낸 사실은, NameSilo에 오랫동안 꼬리표처럼 따라다닐 것입니다. 그들의 성명서는 앞으로 제기될 모든 소송 서류에서 핵심 증거 자료가 될 것입니다.
도둑을 감싸주면, 그 대가를 함께 짊어져야 한다.
증거 및 자료
관련 조사
이번 조사는 공개된 증거, 실시간 네트워크 캡처 자료, OSINT, 공개 리뷰 플랫폼 및 NameSilo가 직접 발표한 공식 성명을 바탕으로 진행되었습니다. 무단 접근은 이루어지지 않았습니다. 모든 조사 결과는 독립적으로 재현 가능합니다.



