O fim do xmrwallet[.]com: NameSilo mentiu para proteger um ladrão de US$ 2 milhões
Após 10 anos roubando chaves privadas do Monero, a operação foi desmantelada. Três registradores agiram em questão de dias. O quarto — NameSilo — entrou em contato com o golpista, acreditou na história dele e tornou-se seu assessor de imprensa.

O que o xmrwallet[.]com realmente fez
Desde 2016, o xmrwallet[.]com se apresentava como uma carteira gratuita e de código aberto para Monero. Nossa captura de rede em tempo real em 18 de fevereiro de 2026 provou que estava fazendo algo muito diferente: roubando chaves de visualização privadas do Monero a cada login e sequestrando transações no lado do servidor.

Código não injetado — o arquitetura central. Um sistema de sessão que abrange oito pontos de extremidade PHP, transmitindo a chave privada de visualização da vítima Mais de 40 vezes por sessão. Quando os usuários enviam XMR, suas transações são descartadas sem aviso prévio (raw_tx_and_hash.raw = 0) e substituído pelo do golpista.

Seis fornecedores de segurança no VirusTotal sinalizaram o arquivo como malicioso. Quinze vítimas documentadas no Trustpilot, Sitejabber e BitcoinTalk. Uma vítima perdeu 590 XMR (~US$ 177.000) em um único roubo.


Três secretários cumpriram suas funções
Enviamos denúncias idênticas de abuso a todos os quatro registradores que hospedam domínios xmrwallet. Três deles agiram imediatamente:

Registro de Domínio Público
Índia · Dias para agir
WebNic
Malásia · Dias para agir
NiceNIC
China · Faltam semanas para agir
NameSilo
EUA · Defendeu um golpista
Índia, Malásia, China — analisaram as evidências, constataram fraude e suspenderam os domínios. Sem fazer perguntas.
NameSilo escolheu um caminho diferente
O quarto secretário — NameSilo, LLC (EUA) — que hospeda o domínio principal, com o maior número de evidências e de vítimas — fez exatamente o contrário. Eles entraram em contato com o golpista, acreditaram na história dele e publicaram uma declaração pública defendendo-o:

“Nossa equipe de Combate a Abusos realizou uma análise aprofundada deste caso e parece que o domínio foi comprometido há alguns meses... Após uma investigação minuciosa, nossa equipe encontrou evidências de que o comprometimento não envolveu o registrante... O registrante também está trabalhando para que o site seja removido dos relatórios do VT.”
— NameSilo, via X (Twitter)
Analisamos essa declaração linha por linha. Todas as alegações eram falsas.
Nas próprias palavras do operador
Antes da intervenção da NameSilo, o operador respondeu diretamente à nossa denúncia de abuso. Seus e-mails confirmam que ele estava ciente da situação e tinha essa intenção:


Sete mentiras, desmascaradas
O mecanismo de roubo é a arquitetura central — 8 endpoints PHP, exfiltração de chaves em Base64, um Intervalo de 5,3 anos entre commits no GitHub. Esse sistema foi desenvolvido ao longo de anos, não criado às pressas.
Seis fornecedores do VirusTotal, reclamações no Trustpilot que remontam a anos atrás, um tópico de alerta no BitcoinTalk, o operador banido do r/Monero em 2018. Bastava uma única pesquisa no Google para descobrir isso.
O operador se registrou 4 domínios de escape em 4 registradores (pré-pagos por 5 a 10 anos cada) antes A investigação foi publicada. Apaguei mais de 21 issues no GitHub. Contratei desenvolvedores para um sistema de captcha. Isso não é uma vítima — é uma operação.
O código de roubo estava em execução no ambiente de produção durante o comunicado da NameSilo. Nenhum commit no GitHub relacionado a qualquer incidente. Nada foi revertido.
NameSilo elogiou o golpista por ter pressionado para que a detecção de “phishing” da Fortinet fosse removida — sem remover o código de phishing. Isso não é agir de boa-fé. Isso é suprimir avisos de segurança.
Transferir o ônus da prova para o denunciante, a fim de que possam encerrar o caso. As provas constavam da denúncia. Três registradores pares não precisavam perguntar.
“Reabrir” implica que já esteve aberto. A investigação deles consistiu em ligar para o golpista e anotar o que ele dizia. Isso não é uma investigação — é um ditado.
Evidências sobre infraestrutura



Cronologia: A queda do xmrwallet
O veredicto
NameSilo não ignorou as evidências. Eles leram as evidências, ligaram para o golpista, acreditaram nele, declararam-no inocente e ajudaram a suprimir os alertas de segurança. Em seguida, pediram aos pesquisadores que provassem que o abuso era “recente”.
Isso não é negligência. É uma parceria.
O domínio está fora do ar. O golpe chegou ao fim. Mas o fato de um registrador dos EUA ter optado por inventar publicamente uma história para encobrir um ladrão de criptomoedas que roubou US$ 2 milhões — isso é algo que vai perseguir a NameSilo por muito tempo. O comunicado da empresa será a Prova A em todos os processos judiciais daqui em diante.
Se você der garantia pelo ladrão, vai ter que arcar com a conta dele.
Evidências e recursos
Investigações relacionadas
Esta investigação baseia-se em evidências disponíveis publicamente, capturas de rede em tempo real, OSINT, plataformas públicas de avaliação e na própria declaração pública, na íntegra, da NameSilo. Não foi realizado nenhum acesso não autorizado. Todas as conclusões são reproduzíveis de forma independente.



