Haberlere Geri Dön
Soruşturma Raporu — Nihai

xmrwallet[.]com’un Sonu: NameSilo, 2 milyon dolarlık hırsızı korumak için yalan söyledi

10 yıl boyunca Monero özel anahtarlarını çalan bu operasyon, son buldu. Üç kayıt şirketi birkaç gün içinde harekete geçti. Dördüncüsü olan NameSilo ise dolandırıcıyla iletişime geçti, onun hikâyesine inandı ve onun basın sözcüsü oldu.

27 Mart 2026 PhishDestroy Araştırması Okuma süresi: 12 dakika
xmrwallet.com Soruşturması — NameSilo Ortaya Çıktı
Soruşturmaya genel bakış: xmrwallet[.]com sitesinin çöküşü ve NameSilo’nun dolandırıcıyı korumadaki rolü.
$2M+
Çalındığı Tahmin Edilen
10
Aktif Olduğu Yıllar
3/4
Askıya Alınan Kayıt Kuruluşları
7
NameSilo’nun Yalanları Kanıtlandı
8
PHP Uç Noktalarında Hırsızlık

xmrwallet[.]com Aslında Ne Yaptı?

2016 yılından bu yana, xmrwallet[.]com kendini ücretsiz, açık kaynaklı bir Monero cüzdanı olarak tanıtmıştır. Bizim 18 Şubat 2026 tarihinde gerçekleştirilen canlı ağ yakalama çok farklı bir şey yaptığını kanıtladı: her oturum açılışında özel Monero görüntüleme anahtarlarını çalıyor ve işlemleri sunucu tarafında ele geçiriyordu.

Monero görüntüleme anahtarı sızdırma saldırısı — çalınan anahtarları dolandırıcının sunucusuna ileten dizüstü bilgisayar
Ekran görüntüsü 1 — Hırsızlık mekanizması: Her cüzdan girişi sırasında, kurbanın özel Monero görüntüleme anahtarı Base64 kodlaması yoluyla dolandırıcının sunucusuna aktarılıyordu.
Temel Hırsızlık Mekanizması

Enjekte edilmemiş kod — temel mimari. 8 adet PHP uç noktası arasında çalışan ve kurbanın özel görüntüleme anahtarını ileten bir oturum sistemi Seans başına 40'tan fazla kez. Kullanıcılar XMR gönderdiğinde, işlemleri hiçbir uyarı yapılmadan iptal ediliyordu (raw_tx_and_hash.raw = 0) ve dolandırıcınınkiyle değiştirildi.

Kullanıcı cüzdanını açar
Çalınan anahtar görüntülendi (Base64)
TX, sunucu tarafında ele geçirildi
Dolandırıcıya gönderilen XMR
Görünüm anahtarı hırsızlığında kullanılan 8 PHP API uç noktası — GitHub kanıt deposu
Ekran Görüntüsü 2 — GitHub kanıt havuzumuzda belgelenen 8 PHP uç noktası. Her bir uç nokta, session_key/view_key sızdırma zincirinin bir parçasıdır.

VirusTotal’da altı güvenlik sağlayıcısı bu dosyayı zararlı olarak işaretledi. Trustpilot, Sitejabber ve BitcoinTalk’ta toplam on beş mağdur vakası kaydedildi. Bir mağdur, 590 XMR (~177.000 $) tek bir hırsızlık olayında.

VirusTotal taraması, 93 satıcıdan 6’sının xmrwallet.com’u kötü amaçlı olarak işaretlediğini gösteriyor; buna Fortinet’in kimlik avı algılama özelliği de dahildir
Ekran Görüntüsü 3 — VirusTotal: 93 sağlayıcıdan 6’sı xmrwallet.com’u zararlı olarak işaretledi. Fortinet ise bu siteyi “Oltalama” olarak sınıflandırdı.
ScamAdviser, xmrwallet.com sitesini “Güvenilirlik Puanı 100 üzerinden 1” ile “Büyük Muhtemelen Güvenli Değil” olarak gösteriyor
Ekran görüntüsü 4 — ScamAdviser: Güven Puanı 1/100. “Güvenilmez olma olasılığı çok yüksek.”

Üç Kayıt Memuru Görevlerini Yerine Getirdi

xmrwallet alan adlarını barındıran dört kayıt kuruluşunun tümüne aynı içerik ihlali bildirimlerini ilettik. Bunlardan üçü hemen harekete geçti:

Görevden uzaklaştırılmış kayıt operatörlerini temsil eden üç kilitli kapı ve NameSilo’nun harekete geçmeyi reddetmesini temsil eden bir açık kapı
Ekran görüntüsü 5 — Üç kayıt sağlayıcısı kapılarını kilitledi. NameSilo ise kapılarını dolandırıcıya ardına kadar açık bıraktı.

PublicDomainRegistry

xmrwallet.cc
Askıya alınmış

Hindistan · Harekete geçmek için kalan gün sayısı

WebNic

xmrwallet.biz
Askıya alınmış

Malezya · Harekete geçmek için kalan gün sayısı

NiceNIC

xmrwallet.net
DNS Çalışmıyor

Çin · Harekete geçmek için kalan süre

NameSilo

xmrwallet.com
Reddedildi

ABD · Suçlamalardan kurtulan dolandırıcı

Üç ülke. Üç bağımsız sonuç.

Hindistan, Malezya, Çin — kanıtları incelediler, dolandırıcılık tespit ettiler ve alan adlarını askıya aldılar. Hiçbir soru sorulmadı.

NameSilo Farklı Bir Yol Seçti

Dördüncü kayıt memuru — NameSilo, LLC (ABD) — en fazla kanıtın ve en fazla mağdurun bulunduğu ana alan adını barındıran kuruluş — tam tersini yaptı. Dolandırıcıyla iletişime geçtiler, onun hikâyesine inandılar ve onu savunan bir kamuoyu açıklaması yayınladılar:

NameSilo’nun, xmrwallet.com’un işletmecisini savunarak alan adının ele geçirildiğini iddia ettiği X Twitter’daki kamuoyuna yaptığı açıklama
Ekran Görüntüsü 6 — NameSilo’nun X (Twitter) platformunda 12 Mart 2026 tarihinde yaptığı kamuoyuna açık açıklama. Bu gönderideki tüm iddialar yanlıştı.
“Kötüye Kullanım ekibimiz bu vakayı derinlemesine inceledi ve görünüşe göre söz konusu alan adı birkaç ay önce ele geçirilmiş... Kapsamlı bir soruşturmanın ardından ekibimiz, bu ele geçirilme olayının alan adı sahibiyle ilgisi olmadığına dair kanıtlar buldu... Alan adı sahibi de web sitesinin VT raporlarından çıkarılması için çalışmalar yürütüyor.”

— NameSilo, X (Twitter) üzerinden

Bu ifadeyi satır satır inceledik. Her iddia yanlıştı.

Operatörün Kendi Sözleri

NameSilo devreye girmeden önce, operatör kötüye kullanım bildirimimize doğrudan yanıt verdi. Gönderdiği e-postalar, konunun farkında olduğunu ve niyetini doğrulamaktadır:

xmrwallet operatörünün, bunun bir kimlik hırsızlığı girişimi olmadığını ve 8 yıldır faaliyette olduğunu belirten e-posta yanıtı
Ekran görüntüsü 7 — Operatörün yanıtı: “Bu bir kimlik hırsızlığı denemesi değil, 8 yılı aşkın süredir faaliyet gösteriyoruz.”
xmrwallet operatörünün, hırsızlık suçlamalarını reddeden ve veri toplama uygulamalarını savunan e-posta yanıtı
Ekran görüntüsü 8 — Operatörün ikinci yanıtı: “Hizmeti sunabilmemiz için bu verilere ihtiyacımız var.” Söz konusu “veriler”, mağdurun özel görüntüleme anahtarıydı.

Yedi Yalan, Ortaya Çıktı

YALAN #1: “Alan adı ele geçirildi”

Hırsızlık mekanizması, sistemin temel mimarisini oluşturur — 8 adet PHP uç noktası, Base64 anahtarının dışarı aktarılması, bir 5,3 yıllık GitHub commit açığı. Bu sistem yıllar boyunca geliştirildi; bir anda aceleyle ortaya çıkarılmadı.

YALAN #2: “Daha önce herhangi bir istismar ihbarı almamıştık”

VirusTotal’da altı satıcı, yıllardır süren Trustpilot şikayetleri, BitcoinTalk’ta bir uyarı başlığı, işletmeci 2018 yılında r/Monero'dan yasaklandı. Tek bir Google araması bile bunu ortaya çıkarırdı.

YALAN #3: “Kayıt sahibini sürece dahil etmemek”

Operatör kayıt oldu 4 kayıt kuruluşunda bulunan 4 kaçış etki alanı (her biri 5-10 yıllık ön ödemeli) öncesinde Soruşturma sonuçları yayınlandı. 21'den fazla GitHub sorunu silindi. CAPTCHA sistemi için yazılımcılar işe alındı. Bu bir mağdur değil — bu bir operasyon.

YALAN #4: “Hemen durumu düzeltmek için önlemler aldılar”

Hırsızlık kodu üretim ortamında çalışıyordu NameSilo’nun açıklamasında. Herhangi bir olayı ele alan hiçbir GitHub commit’i yok. Hiçbir değişiklik geri alınmadı.

YALAN #5: “VirusTotal’dan listeden çıkarılmak için çalışmak”

NameSilo, dolandırıcıyı Fortinet’in “Phishing” algılama özelliğinin kaldırılması için lobi faaliyeti yürütmesi nedeniyle övdü — kimlik avı kodunu kaldırmadan. Bu iyi niyetli bir davranış değil. Bu, güvenlik uyarılarını gizlemektir.

YALAN #6: “İstismar yakın zamanda mı yaşandı?”

Davayı kapatabilmek için ispat yükümlülüğünü ihbarcıya yüklemek. Kanıtlar raporda mevcuttu. Üç meslektaş kayıt memurunun sorduğuna gerek yoktu.

7. YALAN: “Soruşturmayı yeniden başlatacağız”

“Yeniden açmak” ifadesi, oranın bir zamanlar açık olduğunu ima eder. Yaptıkları “soruşturma”, dolandırıcıyı aramak ve onun söylediklerini not almaktan ibaretti. Bu bir soruşturma değil — bu dikte ettirme.

Altyapı Kanıtları

Soruşturma öncesinde kaydedilmiş askıya alınmış xmrwallet alan adlarını ve kaçış alan adlarını gösteren alan adı ağ şeması
Ekran Görüntüsü 9 — Etki alanı kaçış ağı: 4 farklı kayıt kuruluşuna ait 4 etki alanı, hepsi aynı sunuculara yönlendiriliyor. Üçü etkisiz hale getirildi.
URLScan sonuçları, xmrwallet alan adlarının birden fazla üst düzey alan adı (TLD) üzerinden aynı IP adreslerine yönlendirildiğini gösteriyor
Ekran Görüntüsü 10 — URLScan verileri: tüm xmrwallet alan adları (.com, .cc, .biz, .net, .me, .app) aynı altyapıya yönlendiriliyor.
Belgelenmiş hırsızlık uç noktalarını ve ağ yakalamalarını gösteren GitHub kanıt deposu
Ekran Görüntüsü 11 — Tam ağ yakalama analizini içeren GitHub kanıt arşivimiz. Tek bir oturumda 109 istek ve 43 görüntüleme anahtarı iletimi kaydedilmiştir.

Zaman Çizelgesi: xmrwallet’in Düşüşü

2016
xmrwallet[.]com faaliyete geçti ve “ücretsiz, açık kaynaklı Monero cüzdanı” olarak tanıtılıyor
2018
Operatör r/Monero'dan yasaklandı. Trustpilot'ta ilk mağdur yorumları ortaya çıkıyor
4 Şubat 2026
xmrwallet.cc alan adı kaydedildi (8 yıllık ön ödemeli) — soruşturma sonuçları açıklanmadan önce
13 Şubat 2026
35. sayı yayınlandı — TX ele geçirme mekanizmasının tamamı ortaya çıktı
18 Şubat 2026
36. Sayı — canlı yakalama: tek oturumda 109 istek, 43 viewkey iletimi
23 Şubat 2026
xmrwallet.cc ASKIYA ALINMIŞTIR (PDR). xmrwallet.biz ASKIYA ALINMIŞTIR (WebNic). Operatör, #35 ve #36 numaralı sorunları panik içinde sildi
26 Şubat 2026
Panik artıyor: xmrwallet.net ve .me alan adları tescil edildi (10 yıllık ön ödemeli, askıya alınan alan adlarıyla aynı IP adresleri)
8 Mart 2026
xmrwallet.net DNS HİZMETİ DURMUŞ (NiceNIC). 4 kaçış alanından 3’ü etkisiz hale getirildi
Mart 2026
NameSilo bir açıklama yayınladı: “Kayıt sahibi mağdurdur.” VirusTotal’ın algılamalarını bastırmaya yardımcı olur
27 Mart 2026
ICANN’a resmi şikayet başvurusu yapıldı (RAA Madde 3.18). Kolluk kuvvetlerine sunulan deliller. Bu raporun yayınlanması.

Karar

NameSilo bu kanıtları görmezden gelmedi. Kanıtları incelediler, dolandırıcıyı aradılar, ona inandılar, masum olduğunu ilan ettiler ve güvenlik uyarılarının bastırılmasına yardımcı oldular. Ardından araştırmacılardan, bu suistimalin “yakın zamanda” gerçekleştiğini kanıtlamalarını istediler.

Bu ihmal değil. Bu bir ortaklık.

Alan adı erişime kapalı. Dolandırıcılık olayı sona erdi. Ancak bir ABD’li kayıt kuruluşunun, 2 milyon dolarlık kripto hırsızını korumak için kamuoyuna yönelik bir uydurma hikâye uydurmayı tercih etmiş olması — bu, NameSilo’nun çok uzun bir süre boyunca peşini bırakmayacak bir durumdur. Bundan sonra yapılacak her dava dosyasında, şirketin açıklaması “A Delili” olarak yer alacaktır.

Hırsızın arkasında durursan, cezasını da sen çekersin.

Kanıtlar ve Kaynaklar

İlgili Soruşturmalar

Bu araştırma, kamuya açık kanıtlara, gerçek zamanlı ağ yakalamalarına, OSINT verilerine, halka açık değerlendirme platformlarına ve NameSilo’nun kendi kelimesi kelimesine aktarılan kamuya açık açıklamasına dayanmaktadır. Herhangi bir yetkisiz erişim gerçekleştirilmemiştir. Tüm bulgular bağımsız olarak tekrarlanabilir niteliktedir.

Bu Araştırmayı Paylaşın

X / Twitter Telegram Reddit LinkedIn

İlgili Soruşturmalar

xmrwallet.com Ortaya Çıktı: 10 Yıllık Çalınan Anahtarlar
KAPSAMLI SORUŞTURMA
xmrwallet.com Ortaya Çıktı: 10 Yıllık Çalınan Anahtarlar
NiceNIC Soruşturması: Siber Suçlara Zemin Hazırlayan ICANN Kayıt Kuruluşu
KAPSAMLI SORUŞTURMA
NiceNIC Soruşturması: Siber Suçlara Zemin Hazırlayan ICANN Kayıt Kuruluşu
NameSilo, Webnic, NiceNIC: Dolandırıcılıklara Zemin Hazırlayan Kayıt Kuruluşları
SORUŞTURMA
NameSilo, Webnic, NiceNIC: Dolandırıcılıklara Zemin Hazırlayan Kayıt Kuruluşları