Voltar às notícias
Relatório de Investigação — Final

O fim do xmrwallet[.]com: NameSilo mentiu para proteger um ladrão de US$ 2 milhões

Após 10 anos roubando chaves privadas do Monero, a operação foi desmantelada. Três registradores agiram em questão de dias. O quarto — NameSilo — entrou em contato com o golpista, acreditou na história dele e tornou-se seu assessor de imprensa.

27 de março de 2026 Pesquisa PhishDestroy 12 minutos de leitura
Investigação sobre o xmrwallet.com — NameSilo à luz do dia
Visão geral da investigação: A queda do xmrwallet[.]com e o papel da NameSilo na proteção do golpista.
$2M+
Estimativa de roubos
10
Anos em atividade
3/4
Registradores suspensos
7
As mentiras do NameSilo são comprovadas
8
Endpoints PHP para roubo

O que o xmrwallet[.]com realmente fez

Desde 2016, o xmrwallet[.]com se apresentava como uma carteira gratuita e de código aberto para Monero. Nossa captura de rede em tempo real em 18 de fevereiro de 2026 provou que estava fazendo algo muito diferente: roubando chaves de visualização privadas do Monero a cada login e sequestrando transações no lado do servidor.

Ataque de exfiltração de chaves do Monero — laptop transmitindo chaves roubadas para o servidor do golpista
Captura de tela 1 — O mecanismo de roubo: cada login na carteira transmitia a chave privada de visualização do Monero da vítima para o servidor do golpista por meio da codificação Base64.
Mecanismo central de roubo

Código não injetado — o arquitetura central. Um sistema de sessão que abrange oito pontos de extremidade PHP, transmitindo a chave privada de visualização da vítima Mais de 40 vezes por sessão. Quando os usuários enviam XMR, suas transações são descartadas sem aviso prévio (raw_tx_and_hash.raw = 0) e substituído pelo do golpista.

O usuário abre a carteira
Chave exfiltrada (Base64)
TX sequestrado no lado do servidor
XMR enviado ao golpista
8 pontos de extremidade da API do PHP usados para roubo de chaves de visualização — repositório de evidências no GitHub
Captura de tela 2 — Os 8 endpoints PHP documentados em nosso repositório de evidências no GitHub. Cada endpoint participa da cadeia de exfiltração de session_key/view_key.

Seis fornecedores de segurança no VirusTotal sinalizaram o arquivo como malicioso. Quinze vítimas documentadas no Trustpilot, Sitejabber e BitcoinTalk. Uma vítima perdeu 590 XMR (~US$ 177.000) em um único roubo.

A análise do VirusTotal mostra que 6 dos 93 fornecedores sinalizaram o xmrwallet.com como malicioso, incluindo a detecção de phishing da Fortinet
Captura de tela 3 — VirusTotal: 6 dos 93 fornecedores sinalizaram o xmrwallet.com como malicioso. A Fortinet classificou-o como “Phishing”.
O ScamAdviser classifica o site xmrwallet.com como “Muito provavelmente inseguro”, com uma pontuação de confiança de 1 em 100
Captura de tela 4 — ScamAdviser: Índice de confiança 1/100. “Muito provavelmente inseguro.”

Três secretários cumpriram suas funções

Enviamos denúncias idênticas de abuso a todos os quatro registradores que hospedam domínios xmrwallet. Três deles agiram imediatamente:

Três portas trancadas, representando os registradores suspensos, e uma porta aberta, representando a recusa da NameSilo em agir
Captura de tela 5 — Três registradores trancaram as portas. NameSilo deixou a sua de braços abertos para o golpista.

Registro de Domínio Público

xmrwallet.cc
Suspenso

Índia · Dias para agir

WebNic

xmrwallet.biz
Suspenso

Malásia · Dias para agir

NiceNIC

xmrwallet.net
DNS inoperante

China · Faltam semanas para agir

NameSilo

xmrwallet.com
Recusado

EUA · Defendeu um golpista

Três países. Três conclusões independentes.

Índia, Malásia, China — analisaram as evidências, constataram fraude e suspenderam os domínios. Sem fazer perguntas.

NameSilo escolheu um caminho diferente

O quarto secretário — NameSilo, LLC (EUA) — que hospeda o domínio principal, com o maior número de evidências e de vítimas — fez exatamente o contrário. Eles entraram em contato com o golpista, acreditaram na história dele e publicaram uma declaração pública defendendo-o:

Declaração pública da NameSilo no X (Twitter) em defesa do operador do xmrwallet.com, alegando que o domínio foi comprometido
Captura de tela 6 — Declaração pública da NameSilo no X (Twitter), 12 de março de 2026. Todas as alegações contidas nessa postagem eram falsas.
“Nossa equipe de Combate a Abusos realizou uma análise aprofundada deste caso e parece que o domínio foi comprometido há alguns meses... Após uma investigação minuciosa, nossa equipe encontrou evidências de que o comprometimento não envolveu o registrante... O registrante também está trabalhando para que o site seja removido dos relatórios do VT.”

— NameSilo, via X (Twitter)

Analisamos essa declaração linha por linha. Todas as alegações eram falsas.

Nas próprias palavras do operador

Antes da intervenção da NameSilo, o operador respondeu diretamente à nossa denúncia de abuso. Seus e-mails confirmam que ele estava ciente da situação e tinha essa intenção:

Resposta por e-mail do operador do xmrwallet, alegando que não se trata de phishing e que o serviço está em funcionamento há 8 anos
Captura de tela 7 — Resposta do operador: “Isso não é phishing, estamos no ar há mais de 8 anos.”
Resposta por e-mail do operador do xmrwallet negando as acusações de roubo e defendendo as práticas de coleta de dados
Captura de tela 8 — Segunda resposta do operador: “Esses são os dados de que precisamos para oferecer o serviço.” Os “dados” eram a chave de visualização privada da vítima.

Sete mentiras, desmascaradas

MENTIRA Nº 1: “O domínio foi comprometido”

O mecanismo de roubo é a arquitetura central — 8 endpoints PHP, exfiltração de chaves em Base64, um Intervalo de 5,3 anos entre commits no GitHub. Esse sistema foi desenvolvido ao longo de anos, não criado às pressas.

MENTIRA Nº 2: “Não tínhamos recebido nenhuma denúncia prévia de abuso”

Seis fornecedores do VirusTotal, reclamações no Trustpilot que remontam a anos atrás, um tópico de alerta no BitcoinTalk, o operador banido do r/Monero em 2018. Bastava uma única pesquisa no Google para descobrir isso.

MENTIRA Nº 3: “Não envolver o registrante”

O operador se registrou 4 domínios de escape em 4 registradores (pré-pagos por 5 a 10 anos cada) antes A investigação foi publicada. Apaguei mais de 21 issues no GitHub. Contratei desenvolvedores para um sistema de captcha. Isso não é uma vítima — é uma operação.

MENTIRA Nº 4: “Eles tomaram medidas imediatas para reverter a situação”

O código de roubo estava em execução no ambiente de produção durante o comunicado da NameSilo. Nenhum commit no GitHub relacionado a qualquer incidente. Nada foi revertido.

MENTIRA Nº 5: “Trabalhando para ser removido do VirusTotal”

NameSilo elogiou o golpista por ter pressionado para que a detecção de “phishing” da Fortinet fosse removida — sem remover o código de phishing. Isso não é agir de boa-fé. Isso é suprimir avisos de segurança.

MENTIRA Nº 6: “O abuso é recente?”

Transferir o ônus da prova para o denunciante, a fim de que possam encerrar o caso. As provas constavam da denúncia. Três registradores pares não precisavam perguntar.

MENTIRA Nº 7: “Vamos reabrir a investigação”

“Reabrir” implica que já esteve aberto. A investigação deles consistiu em ligar para o golpista e anotar o que ele dizia. Isso não é uma investigação — é um ditado.

Evidências sobre infraestrutura

Diagrama de rede de domínios mostrando os domínios suspensos do xmrwallet e os domínios de fuga registrados antes da investigação
Captura de tela 9 — A rede de evasão de domínios: 4 domínios distribuídos por 4 registradores, todos apontando para os mesmos servidores. Três foram neutralizados.
Resultados do URLScan mostrando que os domínios xmrwallet são resolvidos para os mesmos endereços IP em vários TLDs
Captura de tela 10 — Dados do URLScan: todos os domínios do xmrwallet (.com, .cc, .biz, .net, .me, .app) apontam para a mesma infraestrutura.
Repositório de evidências no GitHub que mostra pontos de acesso relacionados a roubos documentados e capturas de rede
Captura de tela 11 — Nosso repositório de evidências no GitHub com a análise completa da captura de rede. 109 solicitações e 43 transmissões de chaves de visualização documentadas em uma única sessão.

Cronologia: A queda do xmrwallet

2016
O site xmrwallet[.]com entra em operação, promovendo-se como uma “carteira Monero gratuita e de código aberto”
2018
Operador banido do r/Monero. Surgem as primeiras reclamações de vítimas no Trustpilot
4 de fevereiro de 2026
Domínio “xmrwallet.cc” registrado (8 anos pré-pagos) — antes da divulgação da investigação
13 de fevereiro de 2026
Edição nº 35 publicada — mecanismo completo de sequestro de TX exposto
18 de fevereiro de 2026
Edição nº 36 — captura em tempo real: 109 solicitações, 43 transmissões de viewkey em uma única sessão
23 de fevereiro de 2026
xmrwallet.cc SUSPENSO (PDR). xmrwallet.biz SUSPENSO (WebNic). O operador exclui por engano os Issues #35 e #36
26 de fevereiro de 2026
Mais pânico: xmrwallet.net e .me foram registrados (pré-pago por 10 anos, mesmos IPs dos domínios suspensos)
8 de março de 2026
DNS do xmrwallet.net INOPERANTE (NiceNIC). Três dos quatro domínios de fuga foram neutralizados
Março de 2026
NameSilo divulga comunicado: “O registrante é a vítima.” Ajuda a suprimir as detecções do VirusTotal
27 de março de 2026
Reclamação formal apresentada à ICANN (Seção 3.18 da RAA). Provas apresentadas às autoridades policiais. Este relatório foi publicado.

O veredicto

NameSilo não ignorou as evidências. Eles leram as evidências, ligaram para o golpista, acreditaram nele, declararam-no inocente e ajudaram a suprimir os alertas de segurança. Em seguida, pediram aos pesquisadores que provassem que o abuso era “recente”.

Isso não é negligência. É uma parceria.

O domínio está fora do ar. O golpe chegou ao fim. Mas o fato de um registrador dos EUA ter optado por inventar publicamente uma história para encobrir um ladrão de criptomoedas que roubou US$ 2 milhões — isso é algo que vai perseguir a NameSilo por muito tempo. O comunicado da empresa será a Prova A em todos os processos judiciais daqui em diante.

Se você der garantia pelo ladrão, vai ter que arcar com a conta dele.

Evidências e recursos

Investigações relacionadas

Esta investigação baseia-se em evidências disponíveis publicamente, capturas de rede em tempo real, OSINT, plataformas públicas de avaliação e na própria declaração pública, na íntegra, da NameSilo. Não foi realizado nenhum acesso não autorizado. Todas as conclusões são reproduzíveis de forma independente.

Compartilhe esta investigação

X / Twitter Telegram Reddit LinkedIn

Investigações relacionadas

xmrwallet.com à mostra: 10 anos de chaves roubadas
INVESTIGAÇÃO APROFUNDADA
xmrwallet.com à mostra: 10 anos de chaves roubadas
Investigação da NiceNIC: Registrador da ICANN facilita o crime cibernético
INVESTIGAÇÃO APROFUNDADA
Investigação da NiceNIC: Registrador da ICANN facilita o crime cibernético
NameSilo, Webnic, NiceNIC: Registradores que facilitam golpes
INVESTIGAÇÃO
NameSilo, Webnic, NiceNIC: Registradores que facilitam golpes