Назад до новин
Звіт про розслідування — остаточний варіант

Кінець xmrwallet[.]com: NameSilo збрехав, щоб захистити злодія, який вкрав 2 млн доларів

Після 10 років крадіжки приватних ключів Monero операція була ліквідована. Три реєстратори вжили заходів протягом кількох днів. Четвертий — NameSilo — зв’язався з шахраєм, повірив його розповіді та став його прес-секретарем.

27 березня 2026 року Дослідження PhishDestroy 12 хвилин читання
Розслідування xmrwallet.com — NameSilo викрито
Огляд розслідування: Падіння xmrwallet[.]com та роль NameSilo у захисті шахрая.
$2M+
Ймовірно викрадене
10
Роки діяльності
3/4
Реєстратори, діяльність яких призупинено
7
Доведено, що NameSilo — це брехня
8
Крадіжка кінцевих точок PHP

Що насправді зробив сайт xmrwallet[.]com

З 2016 року сайт xmrwallet[.]com позиціонував себе як безкоштовний гаманець для Monero з відкритим кодом. Наш запис мережевого трафіку в реальному часі 18 лютого 2026 року довів, що система робила щось зовсім інше: викрадала приватні ключі перегляду Monero під час кожного входу в систему та перехоплювала транзакції на стороні сервера.

Атака з викрадення ключів перегляду Monero — ноутбук передає викрадені ключі на сервер шахрая
Знімок екрана 1 — Механізм крадіжки: під час кожного входу в гаманець приватний ключ перегляду Monero жертви передавався на сервер шахрая у форматі кодування Base64.
Основний механізм крадіжки

Не вставлений код — це основна архітектура. Система сеансів, що охоплює 8 кінцевих точок PHP, яка передає приватний ключ перегляду жертви понад 40 разів за сеанс. Коли користувачі надсилали XMR, їхні транзакції непомітно відхилялися (raw_tx_and_hash.raw = 0) і замінено на дані шахрая.

Користувач відкриває гаманець
Викрадене ключове значення (Base64)
TX було захоплено на стороні сервера
XMR, надіслані шахраєві
8 кінцевих точок API PHP, використаних для викрадення ключів до перегляду — репозиторій доказів на GitHub
Знімок екрана 2 — 8 кінцевих точок PHP, задокументованих у нашому репозиторії доказів на GitHub. Кожна з цих кінцевих точок бере участь у ланцюжку витоку session_key/view_key.

Шість постачальників засобів безпеки на VirusTotal визнали його шкідливим. П’ятнадцять задокументованих випадків потерпілих на Trustpilot, Sitejabber та BitcoinTalk. Один потерпілий втратив 590 XMR (~177 000 доларів) в результаті однієї крадіжки.

Результати сканування VirusTotal показують, що 6 із 93 постачальників позначають xmrwallet.com як шкідливий сайт, зокрема система виявлення фішингу від Fortinet
Знімок екрана 3 — VirusTotal: 6 із 93 постачальників позначили xmrwallet.com як шкідливий. Компанія Fortinet класифікувала його як «фішинг».
ScamAdviser позначає сайт xmrwallet.com як «дуже ймовірно небезпечний» з показником довіри 1 із 100
Знімок екрана 4 — ScamAdviser: Рейтинг довіри 1/100. «Дуже ймовірно, що це небезпечно».

Троє реєстраторів виконали свою роботу

Ми подали однакові скарги щодо зловживань до всіх чотирьох реєстраторів, які обслуговують домени xmrwallet. Троє з них відреагували негайно:

Три зачинені двері, що символізують призупинену діяльність реєстраторів, та одна відчинена двері, що символізує відмову NameSilo вживати заходи
Знімок екрана 5 — Три реєстратори зачинили двері. NameSilo залишив свої широко відкритими для шахрая.

Реєстр об’єктів, що перебувають у публічному домені

xmrwallet.cc
Призупинено

Індія · Скільки часу залишилося на дії

WebNic

xmrwallet.biz
Призупинено

Малайзія · Скільки днів залишилося на вжиття заходів

NiceNIC

xmrwallet.net
DNS не працює

Китай · Залишилося кілька тижнів на те, щоб вжити заходів

NameSilo

xmrwallet.com
Відхилено

США · Шахрай, якому вдалося уникнути покарання

Три країни. Три незалежні висновки.

Індія, Малайзія, Китай — перевірили докази, виявили шахрайство, заблокували домени. Без зайвих питань.

NameSilo обрав інший шлях

Четвертий реєстратор — NameSilo, ТОВ (США) — хостинг-провайдер основного домену, на якому було зібрано найбільше доказів і який налічував найбільшу кількість жертв, — вчинив навпаки. Вони зв’язалися з шахраєм, повірили його розповіді та опублікували публічну заяву на його захист:

Публічна заява NameSilo у Twitter (X) на захист оператора xmrwallet.com, який стверджує, що домен був зламаний
Скріншот 6 — Публічна заява NameSilo в X (Twitter), 12 березня 2026 року. Усі твердження в цьому дописі були неправдивими.
«Наша команда з боротьби зі зловживаннями провела ретельний аналіз цього випадку, і, судячи з усього, цей домен був зламаний кілька місяців тому... Після ґрунтовного розслідування наша команда виявила докази того, що до зломu не причетний власник домену... Власник домену також працює над тим, щоб веб-сайт був виключений зі списку VT-звітів».

— NameSilo, через X (Twitter)

Ми проаналізували це твердження рядок за рядком. Усі твердження були неправдивими.

Слова самого оператора

До того, як NameSilo втрутилося, оператор безпосередньо відповів на нашу скаргу щодо зловживання. Його електронні листи підтверджують, що він знав про це і мав намір:

Відповідь на електронний лист від оператора xmrwallet, в якій стверджується, що це не фішинг і що сервіс працює вже 8 років
Знімок екрана 7 — Відповідь оператора: «Це не фішинг, ми працюємо вже понад 8 років».
Відповідь оператора xmrwallet на електронний лист, в якій він заперечує звинувачення у крадіжці та обґрунтовує практику збору даних
Знімок екрана 8 — Друга відповідь оператора: «Це дані, які нам потрібні для надання послуги». Під «даними» мався на увазі приватний ключ перегляду жертви.

Сім викритих брехень

МІФ № 1: «Домен було зламано»

Механізм викрадення даних є основною архітектурою — 8 кінцевих точок PHP, витік ключа у форматі Base64, а 5,3-річна перерва у внесенні змін на GitHub. Ця система створювалася роками, а не була впроваджена за один раз.

МІФ № 2: «Ми раніше не отримували жодних повідомлень про випадки жорстокого поводження»

Шість постачальників VirusTotal, скарги на Trustpilot, що накопичувалися роками, тема з попередженням на BitcoinTalk, оператор заблокований у r/Monero у 2018 році. Достатньо було б одного пошуку в Google, щоб це з’ясувати.

МІФ № 3: «Без участі реєстранта»

Оператор зареєструвався 4 домени для перенесення у 4 реєстраторів (з попередньою оплатою на 5–10 років кожен) до того, як Було опубліковано результати розслідування. Видалено понад 21 квиток на GitHub. Найнято розробників для створення системи капчі. Це не жертва — це операція.

МІФ № 4: «Вони одразу ж вжили заходів, щоб це виправити»

Код, пов'язаний із крадіжкою, працював у виробничому середовищі у заяві компанії NameSilo. На GitHub немає жодного коміту, пов’язаного з будь-яким інцидентом. Нічого не було скасовано.

МІФ № 5: «Працюємо над тим, щоб нас виключили зі списку VirusTotal»

NameSilo похвалив шахрая за те, що той доклав зусиль, аби вилучити функцію виявлення «фішингу» від Fortinet — не видаляючи фішинговий код. Це не є проявом добросовісності. Це приховування попереджень про безпеку.

МІФ № 6: «Чи сталося це нещодавно?»

Переклали тягар доказування на репортера, щоб закрити справу. Докази містилися у звіті. Трьом колегам-реєстраторам не потрібно було нічого запитувати.

МІФ № 7: «Ми відновимо розслідування»

«Повторне відкриття» означає, що раніше воно було відкрите. Їхнє розслідування полягало в тому, що вони зателефонували шахраєві й записали його слова. Це не розслідування — це диктант.

Дані щодо інфраструктури

Схема доменної мережі, на якій показано призупинені домени xmrwallet та домени-«захисні», зареєстровані до початку розслідування
Знімок екрана 9 — Мережа обходу доменних обмежень: 4 домени у 4 реєстраторів, які всі вказують на одні й ті самі сервери. Три з них нейтралізовано.
Результати URLScan, які показують, що домени xmrwallet розпізнаються як ті самі IP-адреси в різних доменних зонах верхнього рівня
Знімок екрана 10 — Дані URLScan: усі домени xmrwallet (.com, .cc, .biz, .net, .me, .app) ведуть до однієї й тієї ж інфраструктури.
Репозиторій доказів на GitHub, що містить задокументовані точки доступу, пов’язані з крадіжкою, та знімки мережевого трафіку
Знімок екрана 11 — Наше сховище доказів на GitHub із повним аналізом мережевих даних. Зафіксовано 109 запитів та 43 передачі ключів перегляду за одну сесію.

Хронологія: Падіння xmrwallet

2016
xmrwallet[.]com розпочав роботу, позиціонуючи себе як «безкоштовний гаманець Monero з відкритим кодом»
2018
Оператор заблоковано в r/Monero. На Trustpilot з’являються перші відгуки жертв
4 лютого 2026 року
Зареєстровано домен escape.xmrwallet.cc (попередня оплата на 8 років) — до оприлюднення результатів розслідування
13 лютого 2026 року
Вийшов № 35 — розкрито механізм повного захоплення TX
18 лютого 2026 року
Випуск № 36 — зйомка в реальному часі: 109 запитів, 43 передачі ключа перегляду за одну сесію
23 лютого 2026 року
xmrwallet.cc ПРИПИНЕНО (PDR). xmrwallet.biz ПРИПИНЕНО (WebNic). Оператор помилково видалив записи № 35 та № 36
26 лютого 2026 року
Ще більше паніки: зареєстровано домени xmrwallet.net та .me (10-річна передплата, ті самі IP-адреси, що й у заблокованих доменів)
8 березня 2026 року
DNS-сервер xmrwallet.net не працює (NiceNIC). 3 із 4 доменів втечі нейтралізовано
Березень 2026 року
NameSilo опублікувало заяву: «Реєстрант є потерпілим». Допомагає придушити виявлення VirusTotal
27 березня 2026 року
Подано офіційну скаргу до ICANN (Розділ 3.18 RAA). Докази, надані правоохоронним органам. Цей звіт опубліковано.

Вердикт

NameSilo не проігнорувало ці докази. Вони ознайомилися з ними, зателефонували шахраєві, повірили йому, визнали його невинним і допомогли приховати попередження про загрозу безпеці. Потім вони попросили дослідників довести, що зловживання відбулося «нещодавно».

Це не недбалість. Це партнерство.

Домен не працює. Афера закінчилася. Але той факт, що американський реєстратор вирішив публічно вигадати прикриття, щоб захистити криптозлодія, який вкрав 2 млн доларів, — це те, що буде переслідувати NameSilo ще дуже довго. Їхня заява відтепер стане доказом № 1 у кожній судовій справі.

Якщо ти заступаєшся за злодія, то й платити доведеться разом з ним.

Докази та ресурси

Пов’язані розслідування

Це розслідування ґрунтується на загальнодоступних доказах, даних, отриманих під час моніторингу мережевого трафіку в режимі реального часу, інформації з відкритих джерел (OSINT), публічних платформах для оглядів та власному дословному публічному заяві компанії NameSilo. Несанкціонований доступ не здійснювався. Усі отримані результати можна незалежно відтворити.

Поділитися цим розслідуванням

X / Twitter Telegram Reddit LinkedIn

Пов’язані розслідування

xmrwallet викрито: 10 років викрадених ключів
ГЛИБОКЕ РОЗСЛІДУВАННЯ
xmrwallet викрито: 10 років викрадених ключів
Розслідування NiceNIC: Реєстратор ICANN сприяє кіберзлочинності
ГЛИБОКЕ РОЗСЛІДУВАННЯ
Розслідування NiceNIC: Реєстратор ICANN сприяє кіберзлочинності
NameSilo, Webnic, NiceNIC: реєстратори, які сприяють шахрайству
РОЗСЛІДУВАННЯ
NameSilo, Webnic, NiceNIC: реєстратори, які сприяють шахрайству