Sự kết thúc của xmrwallet[.]com: NameSilo đã nói dối để che giấu một tên trộm 2 triệu đô la
Sau 10 năm đánh cắp khóa riêng Monero, đường dây lừa đảo này đã bị triệt phá. Ba nhà đăng ký tên miền đã có hành động chỉ trong vài ngày. Nhà đăng ký thứ tư — NameSilo — đã liên hệ với kẻ lừa đảo, tin vào lời kể của hắn và trở thành người phát ngôn cho hắn.

xmrwallet[.]com thực sự đã làm gì
Kể từ năm 2016, xmrwallet[.]com đã tự quảng bá mình là một ví Monero miễn phí, mã nguồn mở. Chúng tôi Ghi lại dữ liệu mạng trực tiếp vào ngày 18 tháng 2 năm 2026 đã chứng minh rằng nó đang thực hiện một hành vi hoàn toàn khác: đánh cắp các khóa xem Monero riêng tư mỗi khi người dùng đăng nhập và chiếm quyền kiểm soát các giao dịch ở phía máy chủ.

Không phải mã được chèn vào — phần kiến trúc cốt lõi. Một hệ thống phiên làm việc trải rộng trên 8 điểm cuối PHP, truyền khóa xem riêng tư của nạn nhân Hơn 40 lần mỗi buổi tập. Khi người dùng gửi XMR, giao dịch của họ đã bị loại bỏ mà không có thông báo nào (raw_tx_and_hash.raw = 0) và bị thay thế bằng thông tin của kẻ lừa đảo.

Sáu nhà cung cấp dịch vụ bảo mật trên VirusTotal đã đánh dấu nó là phần mềm độc hại. Có mười lăm nạn nhân được ghi nhận trên Trustpilot, Sitejabber và BitcoinTalk. Một nạn nhân đã mất 590 XMR (~177.000 USD) trong một vụ trộm duy nhất.


Ba nhân viên đăng ký đã hoàn thành nhiệm vụ của mình
Chúng tôi đã gửi các báo cáo lạm dụng giống hệt nhau đến cả bốn nhà đăng ký tên miền đang lưu trữ các tên miền xmrwallet. Ba trong số đó đã có hành động ngay lập tức:

Cơ quan đăng ký tài sản công cộng
Ấn Độ · Còn bao nhiêu ngày để hành động
WebNic
Malaysia · Còn bao nhiêu ngày để hành động
NiceNIC
Trung Quốc · Còn vài tuần để hành động
NameSilo
Hoa Kỳ · Kẻ lừa đảo được bảo vệ
Ấn Độ, Malaysia, Trung Quốc — đã xem xét các bằng chứng, phát hiện hành vi gian lận và đình chỉ các tên miền. Không có bất kỳ câu hỏi nào được đặt ra.
NameSilo đã chọn một con đường khác
Cơ quan đăng ký thứ tư — NameSilo, LLC (Hoa Kỳ) — đơn vị lưu trữ tên miền chính, nơi có nhiều bằng chứng nhất và số nạn nhân nhiều nhất — lại làm ngược lại. Họ đã liên hệ với kẻ lừa đảo, tin vào lời kể của hắn và đăng tải một tuyên bố công khai bênh vực hắn:

“Đội ngũ Chống lạm dụng của chúng tôi đã tiến hành rà soát kỹ lưỡng vụ việc này và có vẻ như tên miền đó đã bị xâm nhập cách đây vài tháng... Sau một cuộc điều tra kỹ lưỡng, đội ngũ của chúng tôi đã tìm thấy bằng chứng cho thấy vụ xâm nhập này không liên quan đến chủ sở hữu tên miền... Chủ sở hữu tên miền cũng đang nỗ lực để trang web này được gỡ khỏi danh sách báo cáo của VT.”
— NameSilo, qua X (Twitter)
Chúng tôi đã phân tích tuyên bố này từng dòng một. Tất cả các tuyên bố đó đều là sai sự thật.
Lời của chính người điều hành
Trước khi NameSilo can thiệp, người điều hành đã trực tiếp phản hồi báo cáo vi phạm của chúng tôi. Các email của anh ta xác nhận rằng anh ta đã biết về vấn đề này và có ý định:


Bảy lời dối trá, bị vạch trần
Cơ chế đánh cắp dữ liệu là kiến trúc cốt lõi — 8 điểm cuối PHP, việc lấy cắp khóa mã hóa Base64, một Khoảng trống 5,3 năm giữa các lần commit trên GitHub. Hệ thống này được xây dựng qua nhiều năm, chứ không phải được triển khai vội vàng trong một lần.
Sáu nhà cung cấp trên VirusTotal, các khiếu nại trên Trustpilot kéo dài nhiều năm, một chủ đề cảnh báo trên BitcoinTalk, người điều hành bị cấm tham gia r/Monero vào năm 2018. Chỉ cần tìm kiếm trên Google một lần là đã có thể biết được điều này.
Nhà khai thác đã đăng ký 4 miền thoát trên 4 nhà đăng ký tên miền (trả trước 5–10 năm mỗi hợp đồng) trước đó Kết quả điều tra đã được công bố. Đã xóa hơn 21 vấn đề trên GitHub. Đã tuyển dụng các nhà phát triển để xây dựng hệ thống CAPTCHA. Đó không phải là nạn nhân — đó là một chiến dịch.
Mã gây ra sự cố đang chạy trên môi trường sản xuất trong tuyên bố của NameSilo. Không có bất kỳ cam kết nào trên GitHub liên quan đến sự cố nào. Không có thay đổi nào được hoàn tác.
NameSilo đã ca ngợi kẻ lừa đảo vì đã vận động để loại bỏ tính năng phát hiện “Phishing” của Fortinet — mà không cần xóa đoạn mã lừa đảo. Đó không phải là hành động thiện chí. Đó là việc che giấu các cảnh báo bảo mật.
Đẩy trách nhiệm chứng minh sang cho người báo cáo để họ có thể kết thúc vụ việc. Bằng chứng đã có trong báo cáo. Ba chuyên viên đăng ký đồng cấp không cần phải hỏi thêm.
“Mở lại” ngụ ý rằng trước đây nó đã từng mở cửa. Cuộc điều tra của họ chỉ bao gồm việc gọi điện cho kẻ lừa đảo và ghi chép lại những gì hắn nói. Đó không phải là điều tra — đó chỉ là việc chép lại lời nói.
Bằng chứng về cơ sở hạ tầng



Dòng thời gian: Sự sụp đổ của xmrwallet
Phán quyết
NameSilo không phớt lờ các bằng chứng. Họ đã xem xét các bằng chứng đó, gọi điện cho kẻ lừa đảo, tin lời hắn, tuyên bố hắn vô tội và giúp che giấu các cảnh báo an ninh. Sau đó, họ yêu cầu các nhà nghiên cứu chứng minh rằng hành vi lạm dụng này là “mới xảy ra”.
Đó không phải là sự cẩu thả. Đó là sự hợp tác.
Tên miền đã ngừng hoạt động. Vụ lừa đảo đã kết thúc. Nhưng việc một nhà đăng ký tên miền của Mỹ lại chọn cách bịa đặt công khai một câu chuyện che đậy để bảo vệ kẻ trộm tiền điện tử trị giá 2 triệu đô la — đó là điều sẽ đeo bám NameSilo trong một thời gian rất dài. Tuyên bố của họ sẽ trở thành Bằng chứng A trong mọi hồ sơ được nộp từ thời điểm này trở đi.
Nếu bạn đứng ra bảo lãnh cho tên trộm, bạn sẽ phải chia sẻ khoản tiền phạt của hắn.
Bằng chứng và tài liệu tham khảo
Các cuộc điều tra liên quan
Cuộc điều tra này dựa trên các bằng chứng công khai, dữ liệu ghi lại trực tiếp từ mạng, thông tin OSINT, các nền tảng đánh giá công khai và tuyên bố công khai nguyên văn của NameSilo. Không có hành vi truy cập trái phép nào được thực hiện. Tất cả các kết quả đều có thể được tái hiện một cách độc lập.



