xmrwallet[.]com’un Sonu: NameSilo, 2 milyon dolarlık hırsızı korumak için yalan söyledi
10 yıl boyunca Monero özel anahtarlarını çalan bu operasyon, son buldu. Üç kayıt şirketi birkaç gün içinde harekete geçti. Dördüncüsü olan NameSilo ise dolandırıcıyla iletişime geçti, onun hikâyesine inandı ve onun basın sözcüsü oldu.

xmrwallet[.]com Aslında Ne Yaptı?
2016 yılından bu yana, xmrwallet[.]com kendini ücretsiz, açık kaynaklı bir Monero cüzdanı olarak tanıtmıştır. Bizim 18 Şubat 2026 tarihinde gerçekleştirilen canlı ağ yakalama çok farklı bir şey yaptığını kanıtladı: her oturum açılışında özel Monero görüntüleme anahtarlarını çalıyor ve işlemleri sunucu tarafında ele geçiriyordu.

Enjekte edilmemiş kod — temel mimari. 8 adet PHP uç noktası arasında çalışan ve kurbanın özel görüntüleme anahtarını ileten bir oturum sistemi Seans başına 40'tan fazla kez. Kullanıcılar XMR gönderdiğinde, işlemleri hiçbir uyarı yapılmadan iptal ediliyordu (raw_tx_and_hash.raw = 0) ve dolandırıcınınkiyle değiştirildi.

VirusTotal’da altı güvenlik sağlayıcısı bu dosyayı zararlı olarak işaretledi. Trustpilot, Sitejabber ve BitcoinTalk’ta toplam on beş mağdur vakası kaydedildi. Bir mağdur, 590 XMR (~177.000 $) tek bir hırsızlık olayında.


Üç Kayıt Memuru Görevlerini Yerine Getirdi
xmrwallet alan adlarını barındıran dört kayıt kuruluşunun tümüne aynı içerik ihlali bildirimlerini ilettik. Bunlardan üçü hemen harekete geçti:

PublicDomainRegistry
Hindistan · Harekete geçmek için kalan gün sayısı
WebNic
Malezya · Harekete geçmek için kalan gün sayısı
NiceNIC
Çin · Harekete geçmek için kalan süre
NameSilo
ABD · Suçlamalardan kurtulan dolandırıcı
Hindistan, Malezya, Çin — kanıtları incelediler, dolandırıcılık tespit ettiler ve alan adlarını askıya aldılar. Hiçbir soru sorulmadı.
NameSilo Farklı Bir Yol Seçti
Dördüncü kayıt memuru — NameSilo, LLC (ABD) — en fazla kanıtın ve en fazla mağdurun bulunduğu ana alan adını barındıran kuruluş — tam tersini yaptı. Dolandırıcıyla iletişime geçtiler, onun hikâyesine inandılar ve onu savunan bir kamuoyu açıklaması yayınladılar:

“Kötüye Kullanım ekibimiz bu vakayı derinlemesine inceledi ve görünüşe göre söz konusu alan adı birkaç ay önce ele geçirilmiş... Kapsamlı bir soruşturmanın ardından ekibimiz, bu ele geçirilme olayının alan adı sahibiyle ilgisi olmadığına dair kanıtlar buldu... Alan adı sahibi de web sitesinin VT raporlarından çıkarılması için çalışmalar yürütüyor.”
— NameSilo, X (Twitter) üzerinden
Bu ifadeyi satır satır inceledik. Her iddia yanlıştı.
Operatörün Kendi Sözleri
NameSilo devreye girmeden önce, operatör kötüye kullanım bildirimimize doğrudan yanıt verdi. Gönderdiği e-postalar, konunun farkında olduğunu ve niyetini doğrulamaktadır:


Yedi Yalan, Ortaya Çıktı
Hırsızlık mekanizması, sistemin temel mimarisini oluşturur — 8 adet PHP uç noktası, Base64 anahtarının dışarı aktarılması, bir 5,3 yıllık GitHub commit açığı. Bu sistem yıllar boyunca geliştirildi; bir anda aceleyle ortaya çıkarılmadı.
VirusTotal’da altı satıcı, yıllardır süren Trustpilot şikayetleri, BitcoinTalk’ta bir uyarı başlığı, işletmeci 2018 yılında r/Monero'dan yasaklandı. Tek bir Google araması bile bunu ortaya çıkarırdı.
Operatör kayıt oldu 4 kayıt kuruluşunda bulunan 4 kaçış etki alanı (her biri 5-10 yıllık ön ödemeli) öncesinde Soruşturma sonuçları yayınlandı. 21'den fazla GitHub sorunu silindi. CAPTCHA sistemi için yazılımcılar işe alındı. Bu bir mağdur değil — bu bir operasyon.
Hırsızlık kodu üretim ortamında çalışıyordu NameSilo’nun açıklamasında. Herhangi bir olayı ele alan hiçbir GitHub commit’i yok. Hiçbir değişiklik geri alınmadı.
NameSilo, dolandırıcıyı Fortinet’in “Phishing” algılama özelliğinin kaldırılması için lobi faaliyeti yürütmesi nedeniyle övdü — kimlik avı kodunu kaldırmadan. Bu iyi niyetli bir davranış değil. Bu, güvenlik uyarılarını gizlemektir.
Davayı kapatabilmek için ispat yükümlülüğünü ihbarcıya yüklemek. Kanıtlar raporda mevcuttu. Üç meslektaş kayıt memurunun sorduğuna gerek yoktu.
“Yeniden açmak” ifadesi, oranın bir zamanlar açık olduğunu ima eder. Yaptıkları “soruşturma”, dolandırıcıyı aramak ve onun söylediklerini not almaktan ibaretti. Bu bir soruşturma değil — bu dikte ettirme.
Altyapı Kanıtları



Zaman Çizelgesi: xmrwallet’in Düşüşü
Karar
NameSilo bu kanıtları görmezden gelmedi. Kanıtları incelediler, dolandırıcıyı aradılar, ona inandılar, masum olduğunu ilan ettiler ve güvenlik uyarılarının bastırılmasına yardımcı oldular. Ardından araştırmacılardan, bu suistimalin “yakın zamanda” gerçekleştiğini kanıtlamalarını istediler.
Bu ihmal değil. Bu bir ortaklık.
Alan adı erişime kapalı. Dolandırıcılık olayı sona erdi. Ancak bir ABD’li kayıt kuruluşunun, 2 milyon dolarlık kripto hırsızını korumak için kamuoyuna yönelik bir uydurma hikâye uydurmayı tercih etmiş olması — bu, NameSilo’nun çok uzun bir süre boyunca peşini bırakmayacak bir durumdur. Bundan sonra yapılacak her dava dosyasında, şirketin açıklaması “A Delili” olarak yer alacaktır.
Hırsızın arkasında durursan, cezasını da sen çekersin.
Kanıtlar ve Kaynaklar
İlgili Soruşturmalar
Bu araştırma, kamuya açık kanıtlara, gerçek zamanlı ağ yakalamalarına, OSINT verilerine, halka açık değerlendirme platformlarına ve NameSilo’nun kendi kelimesi kelimesine aktarılan kamuya açık açıklamasına dayanmaktadır. Herhangi bir yetkisiz erişim gerçekleştirilmemiştir. Tüm bulgular bağımsız olarak tekrarlanabilir niteliktedir.



