What is xmrwallet.com?

A fake Monero wallet that stole private view keys and hijacked transactions for 10 years, stealing an estimated $2M+ in XMR.

Why did NameSilo protect the scammer?

NameSilo contacted the domain operator, believed his story, publicly declared him the victim of a compromise, and praised his efforts to suppress VirusTotal detections — while the theft code was still running.

What happened to the domains?

Three of four registrars suspended the domains. PublicDomainRegistry, WebNic, and NICENIC acted independently. Only NameSilo refused to act.

Вернуться к новостям

Отчет о расследовании — окончательный вариант

Конец xmrwallet[.]com: NameSilo солгал, чтобы прикрыть вора, похитившего 2 миллиона долларов

После 10 лет кражи закрытых ключей Monero операция была ликвидирована. Три регистратора приняли меры в течение нескольких дней. Четвертый — NameSilo — связался с мошенником, поверил его словам и стал его пресс-секретарем.

27 марта 2026 года Исследование PhishDestroy Время чтения: 12 минут

xmrwallet.com Investigation — NameSilo Exposed

Обзор расследования: крах xmrwallet[.]com и роль NameSilo в защите мошенника.

2 миллиона долларов и более

Предположительно похищено

Годы деятельности

3/4

Регистраторы, деятельность которых приостановлена

Ложь NameSilo доказана

Кража кодовых точек PHP

Что на самом деле сделал сайт xmrwallet[.]com

С 2016 года сайт xmrwallet[.]com позиционировал себя как бесплатный кошелек Monero с открытым исходным кодом. Наш запись сетевого трафика в реальном времени 18 февраля 2026 года доказало, что занимается совсем другим: крадет личные ключи просмотра Monero при каждом входе в систему и перехватывает транзакции на стороне сервера.

Monero view key exfiltration attack — laptop transmitting stolen keys to scammer's server

Снимок экрана 1 — Механизм кражи: при каждом входе в кошелек личный ключ просмотра Monero жертвы передавался на сервер мошенника в кодировке Base64.

Основной механизм кражи

Не вставленный код — это основная архитектура. Система сеансов, охватывающая 8 конечных точек PHP, передающая закрытый ключ просмотра жертвы Более 40 раз за сеанс. Когда пользователи отправляли XMR, их транзакции незаметно отбрасывались (raw_tx_and_hash.raw = 0) и заменены на данные мошенника.

Пользователь открывает кошелек

Просмотр выведенного ключа (Base64)

TX захвачено на стороне сервера

XMR, отправленные мошеннику

8 PHP API endpoints used for view key theft — GitHub evidence repository

Снимок экрана 2 — 8 конечных точек PHP, описанных в нашем репозитории доказательств на GitHub. Каждая из этих конечных точек участвует в цепочке похищения данных session_key/view_key.

Шесть поставщиков решений для обеспечения безопасности на VirusTotal определили его как вредоносный. На сайтах Trustpilot, Sitejabber и BitcoinTalk зарегистрировано пятнадцать пострадавших. Один из пострадавших потерял 590 XMR (около 177 000 долларов) в ходе одной кражи.

VirusTotal scan showing 6 of 93 vendors flagging xmrwallet.com as malicious including Fortinet Phishing detection

Снимок экрана 3 — VirusTotal: 6 из 93 поставщиков определили xmrwallet.com как вредоносный сайт. Компания Fortinet классифицировала его как «фишинг».

ScamAdviser showing xmrwallet.com as Very Likely Unsafe with Trust Score 1 out of 100

Скриншот 4 — ScamAdviser: Рейтинг доверия 1/100. «Вероятно, небезопасно».

Трое регистраторов выполнили свою работу

Мы направили одинаковые заявления о нарушении всем четырём регистраторам, обслуживающим домены xmrwallet. Трое из них отреагировали незамедлительно:

Three locked doors representing suspended registrars and one open door representing NameSilo's refusal to act

Снимок экрана 5 — Три регистратора заперли двери. NameSilo же оставил свои двери широко распахнутыми для мошенника.

Реестр общественного достояния

xmrwallet.cc

Приостановлено

Индия · Осталось времени

WebNic

xmrwallet.biz

Приостановлено

Малайзия · Осталось времени

НИКЕНИК

xmrwallet.net

DNS не работает

Китай · Осталось несколько недель

NameSilo

xmrwallet.com

Отклонено

США · Оправданный мошенник

Три страны. Три независимых вывода.

Индия, Малайзия, Китай — изучили доказательства, выявили мошенничество, заблокировали домены. Без лишних вопросов.

NameSilo выбрал другой путь

Четвертый регистратор — NameSilo, LLC (США) — хостинг основного домена, на котором было собрано больше всего доказательств и который затронул наибольшее число пострадавших, — поступил с точностью до наоборот. Они связались с мошенником, поверили его словам и опубликовали открытое заявление в его защиту:

NameSilo public statement on X Twitter defending xmrwallet.com operator claiming domain was compromised

Скриншот 6 — Публичное заявление NameSilo в X (Twitter), 12 марта 2026 года. Все утверждения в этом посте оказались ложными.

«Наша служба по борьбе с злоупотреблениями провела тщательную проверку этого случая, и, судя по всему, этот домен был взломан несколько месяцев назад... В результате тщательного расследования наша команда обнаружила доказательства взлома, к которому регистрант не имел отношения... Регистрант также принимает меры для исключения сайта из отчетов VT».

— NameSilo, через X (Twitter)

Мы проанализировали это заявление построчно. Все утверждения оказались ложными.

Слова самого оператора

До того как NameSilo вмешалось, оператор ответил непосредственно на наше сообщение о нарушении. Его электронные письма подтверждают, что он был осведомлен о ситуации и имел соответствующие намерения:

xmrwallet operator email response claiming this is not phishing and has been running for 8 years

Снимок экрана 7 — Ответ оператора: «Это не фишинг, мы работаем уже более 8 лет».

xmrwallet operator email response denying theft accusations and defending data collection practices

Снимок экрана 8 — Второй ответ оператора: «Это данные, необходимые нам для предоставления услуги». Под «данными» подразумевался личный ключ просмотра жертвы.

Семь разоблаченных лжи

ЛОЖЬ № 1: «Домен был взломан»

Механизм кражи данных представляет собой основную архитектуру — 8 конечных точек PHP, вывод ключа в кодировке Base64, а также 5,3-летний перерыв в публикации коммитов на GitHub. Эта система создавалась годами, а не была внедрена в спешке.

ЛОЖЬ № 2: «Мы не получали ранее никаких сообщений о насилии»

Шесть поставщиков VirusTotal, жалобы на Trustpilot, поступающие на протяжении многих лет, предупреждающая ветка на BitcoinTalk, оператор заблокирован в r/Monero в 2018 году. Достаточно было бы одного поиска в Google, чтобы это выяснить.

ЛОЖЬ № 3: «Без участия регистранта»

Оператор зарегистрирован 4 домена для обхода блокировок у 4 регистраторов (с предоплатой на 5–10 лет) до Были опубликованы результаты расследования. Удалено более 21 задачи на GitHub. Наняты разработчики для создания системы капчи. Это не жертва — это операция.

ЛОЖЬ № 4: «Они сразу же приняли меры, чтобы исправить ситуацию»

Код, связанный с кражей, работал в производственной среде в заявлении NameSilo. На GitHub нет ни одного коммита, касающегося какого-либо инцидента. Ничего не было отменено.

МИФ № 5: «Работаем над тем, чтобы нас удалили из списка VirusTotal»

NameSilo похвалил мошенника за то, что тот лоббировал отключение функции обнаружения «фишинга» в Fortinet — не удаляя фишинговый код. Это не добросовестность. Это подавление предупреждений о безопасности.

МИФ № 6: «Это произошло недавно?»

Переложить бремя доказывания на заявителя, чтобы можно было закрыть дело. Доказательства содержались в заявлении. Трем коллегам-регистраторам не нужно было ничего спрашивать.

ЛОЖЬ № 7: «Мы возобновим расследование»

Слово «возобновить» подразумевает, что дело когда-то было открыто. Их расследование сводилось к тому, что они позвонили мошеннику и записали его слова. Это не расследование — это диктовка.

Данные об инфраструктуре

Domain network diagram showing suspended xmrwallet domains and escape domains registered before investigation

Снимок экрана 9 — Сеть обхода доменных ограничений: 4 домена у 4 регистраторов, все указывающие на одни и те же серверы. Три из них нейтрализованы.

URLScan results showing xmrwallet domains resolving to same IPs across multiple TLDs

Снимок экрана 10 — Данные URLScan: все домены xmrwallet (.com, .cc, .biz, .net, .me, .app) указывают на одну и ту же инфраструктуру.

GitHub evidence repository showing documented theft endpoints and network captures

Снимок экрана 11 — Наш репозиторий доказательств на GitHub с полным анализом сетевых данных. Зафиксировано 109 запросов и 43 передачи ключей просмотра за один сеанс.

Хронология: крах xmrwallet

2016

Сайт xmrwallet[.]com начал работу, позиционируя себя как «бесплатный кошелек Monero с открытым исходным кодом»

2018

Оператор заблокирован в r/Monero. На сайте Trustpilot появляются первые отзывы пострадавших

4 февраля 2026 г.

Зарегистрирован домен xmrwallet.cc (предоплата на 8 лет) — до публикации результатов расследования

13 февраля 2026 года

Вышел № 35 — раскрыт механизм полного захвата TX

18 февраля 2026 г.

Выпуск № 36 — отслеживание в реальном времени: 109 запросов, 43 передачи ключа просмотра за один сеанс

23 февраля 2026 г.

xmrwallet.cc ПРИОСТАНОВЛЕН (PDR). xmrwallet.biz ЗАБЛОКИРОВАН (WebNic). Оператор по ошибке удалил заявки № 35 и № 36

26 февраля 2026 г.

Еще больше паники: зарегистрированы домены xmrwallet.net и .me (с 10-летней предоплатой, с теми же IP-адресами, что и у заблокированных доменов)

По состоянию на 8 марта 2026 года

xmrwallet.net — DNS не работает (NICENIC). 3 из 4 доменов-убегающих нейтрализованы

По состоянию на 2026 год

NameSilo опубликовало заявление: «Зарегистрированное лицо является потерпевшим». Помогает обойти обнаружение VirusTotal

27 марта 2026 года

Подана официальная жалоба в ICANN (Раздел 3.18 РПП). Доказательства переданы правоохранительным органам. Настоящий отчет опубликован.

Вердикт

NameSilo не проигнорировала эти факты. Они ознакомились с ними, позвонили мошеннику, поверили ему, признали его невиновным и помогли замять предупреждения о безопасности. Затем они попросили исследователей доказать, что злоупотребление произошло «недавно».

Это не халатность. Это партнерство.

Домен не работает. Афера закончилась. Но тот факт, что американский регистратор решил публично сфабриковать легенду, чтобы прикрыть крипто-вора, похитившего 2 миллиона долларов, — это то, что будет преследовать NameSilo ещё очень долго. Их заявление станет главным доказательством в каждом судебном иске, который будет подан с этого момента.

Если ты заступаешься за вора, тебе придется платить вместе с ним.

Доказательства и ресурсы

Полное расследование на Medium Хранилище доказательств Страница расследования Заявление NameSilo (в архиве)

Связанные расследования

Углубленное расследование

Анализ криптофишинга: 8 программ для кражи семенных фраз под микроскопом

Боты в Telegram, EmailJS, бэкэнды PhaaS. Более 1 824 украденных учетных данных. Общая стоимость: 0 долларов.

Расследование

Фишинг под видом военной помощи: под прицелом оказались 5 банков, установлена личность злоумышленников

Поддельный фонд помощи украинским военным. Панель управления ботами. Полная цепочка OSINT, ведущая к операторам.

Оригинальное исследование

xmrwallet.com: 10 лет украденных ключей

Исходная техническая экспертиза, с которой всё и началось. Раскрыты ключевые моменты утечки данных.

Отчет регистратора

Когда сообщения о злоупотреблениях остаются без внимания

16 обнаружений вирусов. 13 отчетов. 1 788 часов в сети. Регистраторы как «тихие партнеры».

Данное расследование основано на общедоступных данных, записях сетевого трафика в реальном времени, информации из открытых источников (OSINT), публичных платформах для отзывов, а также на дословном публичном заявлении компании NameSilo. Несанкционированный доступ не осуществлялся. Все выводы можно независимо воспроизвести.