Quay lại trang Tin tức
Báo cáo điều tra — Bản cuối cùng

Sự kết thúc của xmrwallet[.]com: NameSilo đã nói dối để che giấu một tên trộm 2 triệu đô la

Sau 10 năm đánh cắp khóa riêng Monero, đường dây lừa đảo này đã bị triệt phá. Ba nhà đăng ký tên miền đã có hành động chỉ trong vài ngày. Nhà đăng ký thứ tư — NameSilo — đã liên hệ với kẻ lừa đảo, tin vào lời kể của hắn và trở thành người phát ngôn cho hắn.

Ngày 27 tháng 3 năm 2026 Nghiên cứu PhishDestroy Thời gian đọc: 12 phút
Cuộc điều tra về xmrwallet.com — NameSilo bị phanh phui
Tổng quan về cuộc điều tra: Sự sụp đổ của xmrwallet[.]com và vai trò của NameSilo trong việc che chở cho kẻ lừa đảo.
$2M+
Ước tính bị đánh cắp
10
Thời gian hoạt động
3/4
Các cơ quan đăng ký bị đình chỉ hoạt động
7
Những lời dối trá của NameSilo đã bị vạch trần
8
Các điểm cuối PHP bị đánh cắp

xmrwallet[.]com thực sự đã làm gì

Kể từ năm 2016, xmrwallet[.]com đã tự quảng bá mình là một ví Monero miễn phí, mã nguồn mở. Chúng tôi Ghi lại dữ liệu mạng trực tiếp vào ngày 18 tháng 2 năm 2026 đã chứng minh rằng nó đang thực hiện một hành vi hoàn toàn khác: đánh cắp các khóa xem Monero riêng tư mỗi khi người dùng đăng nhập và chiếm quyền kiểm soát các giao dịch ở phía máy chủ.

Cuộc tấn công đánh cắp khóa xem Monero — máy tính xách tay truyền các khóa bị đánh cắp đến máy chủ của kẻ lừa đảo
Ảnh chụp màn hình 1 — Cơ chế đánh cắp: mỗi lần đăng nhập ví đều truyền khóa xem riêng tư Monero của nạn nhân đến máy chủ của kẻ lừa đảo thông qua mã hóa Base64.
Cơ chế cướp lõi

Không phải mã được chèn vào — phần kiến trúc cốt lõi. Một hệ thống phiên làm việc trải rộng trên 8 điểm cuối PHP, truyền khóa xem riêng tư của nạn nhân Hơn 40 lần mỗi buổi tập. Khi người dùng gửi XMR, giao dịch của họ đã bị loại bỏ mà không có thông báo nào (raw_tx_and_hash.raw = 0) và bị thay thế bằng thông tin của kẻ lừa đảo.

Người dùng mở ví
Xem khóa đã bị đánh cắp (Base64)
TX bị chiếm quyền điều khiển ở phía máy chủ
XMR đã được chuyển cho kẻ lừa đảo
8 điểm cuối API PHP bị lợi dụng để đánh cắp khóa xem — Kho lưu trữ bằng chứng trên GitHub
Ảnh chụp màn hình 2 — 8 điểm cuối PHP được ghi chép trong kho lưu trữ bằng chứng trên GitHub của chúng tôi. Mỗi điểm cuối đều tham gia vào chuỗi rò rỉ thông tin session_key/view_key.

Sáu nhà cung cấp dịch vụ bảo mật trên VirusTotal đã đánh dấu nó là phần mềm độc hại. Có mười lăm nạn nhân được ghi nhận trên Trustpilot, Sitejabber và BitcoinTalk. Một nạn nhân đã mất 590 XMR (~177.000 USD) trong một vụ trộm duy nhất.

Kết quả quét của VirusTotal cho thấy 6 trong số 93 nhà cung cấp đã đánh dấu xmrwallet.com là trang web độc hại, bao gồm cả tính năng phát hiện lừa đảo (phishing) của Fortinet
Ảnh chụp màn hình 3 — VirusTotal: 6 trong số 93 nhà cung cấp đã đánh dấu xmrwallet.com là trang web độc hại. Fortinet đã phân loại trang web này là “Lừa đảo (Phishing).”
ScamAdviser đánh giá xmrwallet.com là “Rất có khả năng không an toàn” với điểm tin cậy là 1 trên 100
Ảnh chụp màn hình 4 — ScamAdviser: Điểm tin cậy 1/100. “Rất có khả năng không an toàn.”

Ba nhân viên đăng ký đã hoàn thành nhiệm vụ của mình

Chúng tôi đã gửi các báo cáo lạm dụng giống hệt nhau đến cả bốn nhà đăng ký tên miền đang lưu trữ các tên miền xmrwallet. Ba trong số đó đã có hành động ngay lập tức:

Ba cánh cửa đóng kín tượng trưng cho các nhà đăng ký bị đình chỉ hoạt động và một cánh cửa mở tượng trưng cho việc NameSilo từ chối can thiệp
Ảnh chụp màn hình 5 — Ba nhà đăng ký đã khóa cửa. NameSilo lại để cửa rộng mở cho kẻ lừa đảo.

Cơ quan đăng ký tài sản công cộng

xmrwallet.cc
Bị đình chỉ

Ấn Độ · Còn bao nhiêu ngày để hành động

WebNic

xmrwallet.biz
Bị đình chỉ

Malaysia · Còn bao nhiêu ngày để hành động

NiceNIC

xmrwallet.net
DNS ngừng hoạt động

Trung Quốc · Còn vài tuần để hành động

NameSilo

xmrwallet.com
Bị từ chối

Hoa Kỳ · Kẻ lừa đảo được bảo vệ

Ba quốc gia. Ba kết luận độc lập.

Ấn Độ, Malaysia, Trung Quốc — đã xem xét các bằng chứng, phát hiện hành vi gian lận và đình chỉ các tên miền. Không có bất kỳ câu hỏi nào được đặt ra.

NameSilo đã chọn một con đường khác

Cơ quan đăng ký thứ tư — NameSilo, LLC (Hoa Kỳ) — đơn vị lưu trữ tên miền chính, nơi có nhiều bằng chứng nhất và số nạn nhân nhiều nhất — lại làm ngược lại. Họ đã liên hệ với kẻ lừa đảo, tin vào lời kể của hắn và đăng tải một tuyên bố công khai bênh vực hắn:

Tuyên bố công khai của NameSilo trên Twitter nhằm bảo vệ người điều hành xmrwallet.com, người khẳng định tên miền đã bị xâm nhập
Ảnh chụp màn hình 6 — Tuyên bố công khai của NameSilo trên X (Twitter), ngày 12 tháng 3 năm 2026. Mọi thông tin trong bài đăng này đều là sai sự thật.
“Đội ngũ Chống lạm dụng của chúng tôi đã tiến hành rà soát kỹ lưỡng vụ việc này và có vẻ như tên miền đó đã bị xâm nhập cách đây vài tháng... Sau một cuộc điều tra kỹ lưỡng, đội ngũ của chúng tôi đã tìm thấy bằng chứng cho thấy vụ xâm nhập này không liên quan đến chủ sở hữu tên miền... Chủ sở hữu tên miền cũng đang nỗ lực để trang web này được gỡ khỏi danh sách báo cáo của VT.”

— NameSilo, qua X (Twitter)

Chúng tôi đã phân tích tuyên bố này từng dòng một. Tất cả các tuyên bố đó đều là sai sự thật.

Lời của chính người điều hành

Trước khi NameSilo can thiệp, người điều hành đã trực tiếp phản hồi báo cáo vi phạm của chúng tôi. Các email của anh ta xác nhận rằng anh ta đã biết về vấn đề này và có ý định:

Email phản hồi từ người điều hành xmrwallet khẳng định đây không phải là hành vi lừa đảo và dịch vụ này đã hoạt động được 8 năm
Ảnh chụp màn hình 7 — Phản hồi của nhân viên tổng đài: “Đây không phải là lừa đảo, chúng tôi đã hoạt động được hơn 8 năm rồi.”
Email phản hồi của người điều hành xmrwallet bác bỏ các cáo buộc về hành vi trộm cắp và bảo vệ các hoạt động thu thập dữ liệu
Ảnh chụp màn hình 8 — Phản hồi thứ hai của nhân viên tổng đài: “Đây là dữ liệu chúng tôi cần để cung cấp dịch vụ.” “Dữ liệu” đó chính là khóa xem riêng tư của nạn nhân.

Bảy lời dối trá, bị vạch trần

LỜI NÓI DỐI SỐ 1: “Tên miền đã bị xâm nhập”

Cơ chế đánh cắp dữ liệu là kiến trúc cốt lõi — 8 điểm cuối PHP, việc lấy cắp khóa mã hóa Base64, một Khoảng trống 5,3 năm giữa các lần commit trên GitHub. Hệ thống này được xây dựng qua nhiều năm, chứ không phải được triển khai vội vàng trong một lần.

LỜI NÓI DỐI SỐ 2: “Chúng tôi chưa từng nhận được bất kỳ báo cáo nào về hành vi lạm dụng trước đó”

Sáu nhà cung cấp trên VirusTotal, các khiếu nại trên Trustpilot kéo dài nhiều năm, một chủ đề cảnh báo trên BitcoinTalk, người điều hành bị cấm tham gia r/Monero vào năm 2018. Chỉ cần tìm kiếm trên Google một lần là đã có thể biết được điều này.

LỜI NÓI DỐI SỐ 3: “Không có sự tham gia của người đăng ký”

Nhà khai thác đã đăng ký 4 miền thoát trên 4 nhà đăng ký tên miền (trả trước 5–10 năm mỗi hợp đồng) trước đó Kết quả điều tra đã được công bố. Đã xóa hơn 21 vấn đề trên GitHub. Đã tuyển dụng các nhà phát triển để xây dựng hệ thống CAPTCHA. Đó không phải là nạn nhân — đó là một chiến dịch.

LỜI NÓI DỐI SỐ 4: “Họ đã ngay lập tức thực hiện các biện pháp để khắc phục tình hình”

Mã gây ra sự cố đang chạy trên môi trường sản xuất trong tuyên bố của NameSilo. Không có bất kỳ cam kết nào trên GitHub liên quan đến sự cố nào. Không có thay đổi nào được hoàn tác.

LỜI NÓI DỐI SỐ 5: “Đang nỗ lực để được gỡ khỏi danh sách theo dõi của VirusTotal”

NameSilo đã ca ngợi kẻ lừa đảo vì đã vận động để loại bỏ tính năng phát hiện “Phishing” của Fortinet — mà không cần xóa đoạn mã lừa đảo. Đó không phải là hành động thiện chí. Đó là việc che giấu các cảnh báo bảo mật.

LỜI NÓI DỐI SỐ 6: “Việc lạm dụng có phải mới xảy ra gần đây không?”

Đẩy trách nhiệm chứng minh sang cho người báo cáo để họ có thể kết thúc vụ việc. Bằng chứng đã có trong báo cáo. Ba chuyên viên đăng ký đồng cấp không cần phải hỏi thêm.

LỜI NÓI DỐI SỐ 7: “Chúng tôi sẽ mở lại cuộc điều tra”

“Mở lại” ngụ ý rằng trước đây nó đã từng mở cửa. Cuộc điều tra của họ chỉ bao gồm việc gọi điện cho kẻ lừa đảo và ghi chép lại những gì hắn nói. Đó không phải là điều tra — đó chỉ là việc chép lại lời nói.

Bằng chứng về cơ sở hạ tầng

Sơ đồ mạng tên miền cho thấy các tên miền xmrwallet bị tạm ngưng và các tên miền “trốn tránh” đã được đăng ký trước khi cuộc điều tra diễn ra
Ảnh chụp màn hình 9 — Mạng lưới né tránh tên miền: 4 tên miền được đăng ký tại 4 nhà đăng ký khác nhau, tất cả đều trỏ đến cùng một máy chủ. Ba trong số đó đã bị vô hiệu hóa.
Kết quả kiểm tra URLScan cho thấy các tên miền xmrwallet đều trỏ đến cùng một địa chỉ IP trên nhiều TLD khác nhau
Ảnh chụp màn hình 10 — Dữ liệu từ URLScan: tất cả các tên miền xmrwallet (.com, .cc, .biz, .net, .me, .app) đều trỏ đến cùng một hạ tầng.
Kho lưu trữ bằng chứng trên GitHub hiển thị các điểm cuối bị đánh cắp đã được ghi nhận và các bản ghi dữ liệu mạng
Ảnh chụp màn hình 11 — Kho lưu trữ bằng chứng trên GitHub của chúng tôi với phân tích đầy đủ dữ liệu ghi lại từ mạng. Có 109 yêu cầu và 43 lần truyền khóa xem được ghi nhận trong một phiên duy nhất.

Dòng thời gian: Sự sụp đổ của xmrwallet

2016
xmrwallet[.]com chính thức đi vào hoạt động, được quảng bá là “ví Monero mã nguồn mở miễn phí”
2018
Nhân viên điều hành bị cấm khỏi r/Monero. Những đánh giá đầu tiên của khách hàng xuất hiện trên Trustpilot
Ngày 4 tháng 2 năm 2026
Tên miền xmrwallet.cc đã được đăng ký (trả trước 8 năm) — trước khi kết quả điều tra được công bố
Ngày 13 tháng 2 năm 2026
Số 35 đã được xuất bản — Cơ chế chiếm quyền điều khiển TX hoàn toàn đã bị phơi bày
Ngày 18 tháng 2 năm 2026
Số 36 — ghi lại trực tiếp: 109 yêu cầu, 43 lần truyền mã xem trong một phiên
Ngày 23 tháng 2 năm 2026
xmrwallet.cc ĐÃ BỊ TẠM NGƯNG HOẠT ĐỘNG (PDR). xmrwallet.biz ĐÃ BỊ TẠM NGƯNG HOẠT ĐỘNG (WebNic). Người vận hành đã xóa nhầm các vấn đề số #35 và #36
Ngày 26 tháng 2 năm 2026
Tình hình càng thêm hoảng loạn: xmrwallet.net và .me đã được đăng ký (trả trước 10 năm, cùng địa chỉ IP với các tên miền bị đình chỉ)
Ngày 8 tháng 3 năm 2026
xmrwallet.net DNS không hoạt động (NiceNIC). 3 trong số 4 miền thoát đã bị vô hiệu hóa
Tháng 3 năm 2026
NameSilo ra thông cáo: “Người đăng ký chính là nạn nhân.” Giúp ngăn chặn các kết quả phát hiện của VirusTotal
Ngày 27 tháng 3 năm 2026
Đơn khiếu nại chính thức gửi đến ICANN đã được nộp (Điều 3.18 của RAA). Chứng cứ được nộp cho cơ quan thực thi pháp luật. Báo cáo này đã được công bố.

Phán quyết

NameSilo không phớt lờ các bằng chứng. Họ đã xem xét các bằng chứng đó, gọi điện cho kẻ lừa đảo, tin lời hắn, tuyên bố hắn vô tội và giúp che giấu các cảnh báo an ninh. Sau đó, họ yêu cầu các nhà nghiên cứu chứng minh rằng hành vi lạm dụng này là “mới xảy ra”.

Đó không phải là sự cẩu thả. Đó là sự hợp tác.

Tên miền đã ngừng hoạt động. Vụ lừa đảo đã kết thúc. Nhưng việc một nhà đăng ký tên miền của Mỹ lại chọn cách bịa đặt công khai một câu chuyện che đậy để bảo vệ kẻ trộm tiền điện tử trị giá 2 triệu đô la — đó là điều sẽ đeo bám NameSilo trong một thời gian rất dài. Tuyên bố của họ sẽ trở thành Bằng chứng A trong mọi hồ sơ được nộp từ thời điểm này trở đi.

Nếu bạn đứng ra bảo lãnh cho tên trộm, bạn sẽ phải chia sẻ khoản tiền phạt của hắn.

Bằng chứng và tài liệu tham khảo

Các cuộc điều tra liên quan

Cuộc điều tra này dựa trên các bằng chứng công khai, dữ liệu ghi lại trực tiếp từ mạng, thông tin OSINT, các nền tảng đánh giá công khai và tuyên bố công khai nguyên văn của NameSilo. Không có hành vi truy cập trái phép nào được thực hiện. Tất cả các kết quả đều có thể được tái hiện một cách độc lập.

Chia sẻ cuộc điều tra này

X / Twitter Telegram Reddit LinkedIn

Các cuộc điều tra liên quan

xmrwallet bị phanh phui: 10 năm khóa riêng tư bị đánh cắp
ĐIỀU TRA SÂU RỘNG
xmrwallet bị phanh phui: 10 năm khóa riêng tư bị đánh cắp
Cuộc điều tra của NiceNIC: Nhà đăng ký ICANN tiếp tay cho tội phạm mạng
ĐIỀU TRA SÂU RỘNG
Cuộc điều tra của NiceNIC: Nhà đăng ký ICANN tiếp tay cho tội phạm mạng
NameSilo, Webnic, NiceNIC: Các nhà đăng ký tên miền tạo điều kiện cho các vụ lừa đảo
ĐIỀU TRA
NameSilo, Webnic, NiceNIC: Các nhà đăng ký tên miền tạo điều kiện cho các vụ lừa đảo