Кінець xmrwallet[.]com: NameSilo збрехав, щоб захистити злодія, який вкрав 2 млн доларів
Після 10 років крадіжки приватних ключів Monero операція була ліквідована. Три реєстратори вжили заходів протягом кількох днів. Четвертий — NameSilo — зв’язався з шахраєм, повірив його розповіді та став його прес-секретарем.

Що насправді зробив сайт xmrwallet[.]com
З 2016 року сайт xmrwallet[.]com позиціонував себе як безкоштовний гаманець для Monero з відкритим кодом. Наш запис мережевого трафіку в реальному часі 18 лютого 2026 року довів, що система робила щось зовсім інше: викрадала приватні ключі перегляду Monero під час кожного входу в систему та перехоплювала транзакції на стороні сервера.

Не вставлений код — це основна архітектура. Система сеансів, що охоплює 8 кінцевих точок PHP, яка передає приватний ключ перегляду жертви понад 40 разів за сеанс. Коли користувачі надсилали XMR, їхні транзакції непомітно відхилялися (raw_tx_and_hash.raw = 0) і замінено на дані шахрая.

Шість постачальників засобів безпеки на VirusTotal визнали його шкідливим. П’ятнадцять задокументованих випадків потерпілих на Trustpilot, Sitejabber та BitcoinTalk. Один потерпілий втратив 590 XMR (~177 000 доларів) в результаті однієї крадіжки.


Троє реєстраторів виконали свою роботу
Ми подали однакові скарги щодо зловживань до всіх чотирьох реєстраторів, які обслуговують домени xmrwallet. Троє з них відреагували негайно:

Реєстр об’єктів, що перебувають у публічному домені
Індія · Скільки часу залишилося на дії
WebNic
Малайзія · Скільки днів залишилося на вжиття заходів
NiceNIC
Китай · Залишилося кілька тижнів на те, щоб вжити заходів
NameSilo
США · Шахрай, якому вдалося уникнути покарання
Індія, Малайзія, Китай — перевірили докази, виявили шахрайство, заблокували домени. Без зайвих питань.
NameSilo обрав інший шлях
Четвертий реєстратор — NameSilo, ТОВ (США) — хостинг-провайдер основного домену, на якому було зібрано найбільше доказів і який налічував найбільшу кількість жертв, — вчинив навпаки. Вони зв’язалися з шахраєм, повірили його розповіді та опублікували публічну заяву на його захист:

«Наша команда з боротьби зі зловживаннями провела ретельний аналіз цього випадку, і, судячи з усього, цей домен був зламаний кілька місяців тому... Після ґрунтовного розслідування наша команда виявила докази того, що до зломu не причетний власник домену... Власник домену також працює над тим, щоб веб-сайт був виключений зі списку VT-звітів».
— NameSilo, через X (Twitter)
Ми проаналізували це твердження рядок за рядком. Усі твердження були неправдивими.
Слова самого оператора
До того, як NameSilo втрутилося, оператор безпосередньо відповів на нашу скаргу щодо зловживання. Його електронні листи підтверджують, що він знав про це і мав намір:


Сім викритих брехень
Механізм викрадення даних є основною архітектурою — 8 кінцевих точок PHP, витік ключа у форматі Base64, а 5,3-річна перерва у внесенні змін на GitHub. Ця система створювалася роками, а не була впроваджена за один раз.
Шість постачальників VirusTotal, скарги на Trustpilot, що накопичувалися роками, тема з попередженням на BitcoinTalk, оператор заблокований у r/Monero у 2018 році. Достатньо було б одного пошуку в Google, щоб це з’ясувати.
Оператор зареєструвався 4 домени для перенесення у 4 реєстраторів (з попередньою оплатою на 5–10 років кожен) до того, як Було опубліковано результати розслідування. Видалено понад 21 квиток на GitHub. Найнято розробників для створення системи капчі. Це не жертва — це операція.
Код, пов'язаний із крадіжкою, працював у виробничому середовищі у заяві компанії NameSilo. На GitHub немає жодного коміту, пов’язаного з будь-яким інцидентом. Нічого не було скасовано.
NameSilo похвалив шахрая за те, що той доклав зусиль, аби вилучити функцію виявлення «фішингу» від Fortinet — не видаляючи фішинговий код. Це не є проявом добросовісності. Це приховування попереджень про безпеку.
Переклали тягар доказування на репортера, щоб закрити справу. Докази містилися у звіті. Трьом колегам-реєстраторам не потрібно було нічого запитувати.
«Повторне відкриття» означає, що раніше воно було відкрите. Їхнє розслідування полягало в тому, що вони зателефонували шахраєві й записали його слова. Це не розслідування — це диктант.
Дані щодо інфраструктури



Хронологія: Падіння xmrwallet
Вердикт
NameSilo не проігнорувало ці докази. Вони ознайомилися з ними, зателефонували шахраєві, повірили йому, визнали його невинним і допомогли приховати попередження про загрозу безпеці. Потім вони попросили дослідників довести, що зловживання відбулося «нещодавно».
Це не недбалість. Це партнерство.
Домен не працює. Афера закінчилася. Але той факт, що американський реєстратор вирішив публічно вигадати прикриття, щоб захистити криптозлодія, який вкрав 2 млн доларів, — це те, що буде переслідувати NameSilo ще дуже довго. Їхня заява відтепер стане доказом № 1 у кожній судовій справі.
Якщо ти заступаєшся за злодія, то й платити доведеться разом з ним.
Докази та ресурси
Пов’язані розслідування
Це розслідування ґрунтується на загальнодоступних доказах, даних, отриманих під час моніторингу мережевого трафіку в режимі реального часу, інформації з відкритих джерел (OSINT), публічних платформах для оглядів та власному дословному публічному заяві компанії NameSilo. Несанкціонований доступ не здійснювався. Усі отримані результати можна незалежно відтворити.



