返回新闻
调查报告——最终版

xmrwallet[.]com 的终结: NameSilo 为包庇一名盗取200万美元的窃贼而撒谎

经过10年窃取门罗币私钥的活动,该团伙最终被摧毁。三家域名注册商在短短几天内采取了行动。第四家——NameSilo——却联系了该诈骗犯,相信了他的说辞,并充当了他的“新闻发言人”。

2026年3月27日 PhishDestroy 研究 阅读时间 12 分钟
xmrwallet 调查——NameSilo 内幕曝光
调查概述:xmrwallet[.]com的倒台以及NameSilo在庇护诈骗者方面所扮演的角色。
$2M+
据估计被盗
10
活跃年份
3/4
被暂停资格的注册商
7
“NameSilo”谎言被揭穿
8
窃取 PHP 端点

xmrwallet[.]com 实际上做了什么

自2016年以来,xmrwallet[.]com一直将自己宣传为一款免费的开源门罗币钱包。我们的 2026年2月18日的实时网络抓包 事实证明,它正在做一件截然不同的事:在每次登录时窃取私有的门罗币查看密钥,并在服务器端劫持交易。

门罗币查看密钥窃取攻击——笔记本电脑将窃取的密钥传输至诈骗者的服务器
截图 1 —— 盗取机制:每次钱包登录时,都会通过 Base64 编码将受害者的门罗币私有视图密钥传输到诈骗者的服务器上。
核心盗窃机制

非注入代码——该 核心架构. 一个横跨 8 个 PHP 端点的会话系统,用于传输受害者的私有查看密钥 每次训练40多次. 当用户发送 XMR 时,其交易会被悄无声息地丢弃(raw_tx_and_hash.raw = 0) 并被诈骗者的信息所取代。

用户打开钱包
已泄露密钥(Base64)
TX 劫持了服务器端
发送给诈骗者的XMR
用于窃取视图密钥的 8 个 PHP API 端点 — GitHub 证据存储库
截图 2 —— 我们在 GitHub 证据仓库中记录的 8 个 PHP 端点。每个端点都参与了 session_key/view_key 的外泄链。

VirusTotal 上有六家安全厂商将其标记为恶意软件。在 Trustpilot、Sitejabber 和 BitcoinTalk 上共有十五名已确认的受害者。其中一名受害者损失了 590 XMR(约合177,000美元) 在一次盗窃案中。

VirusTotal 扫描结果显示,93 家安全厂商中有 6 家将 xmrwallet.com 标记为恶意网站,其中包括 Fortinet 的网络钓鱼检测功能
截图 3 — VirusTotal:93 家安全厂商中有 6 家将 xmrwallet.com 标记为恶意网站。Fortinet 将其归类为“网络钓鱼”。
ScamAdviser 将 xmrwallet.com 标记为“极有可能不安全”,信任评分为 1(满分 100 分)
截图 4 — ScamAdviser:可信度评分 1/100。“极有可能不安全。”

三名登记员尽职尽责

我们向托管 xmrwallet 域名的所有四家注册商提交了内容完全相同的滥用报告。其中三家立即采取了行动:

三扇上锁的门代表被暂停注册服务的注册商,一扇敞开的门代表NameSilo拒绝采取行动
截图 5 — 三家域名注册商都锁上了大门。而 NameSilo 却为骗子敞开了大门。

PublicDomainRegistry

xmrwallet.cc
暂停

印度 · 行动倒计时

WebNic

xmrwallet.biz
暂停

马来西亚 · 行动倒计时

NiceNIC

xmrwallet.net
DNS 故障

中国 · 行动倒计时

NameSilo

xmrwallet.com
被拒绝

美国 · 为诈骗犯辩护

三个国家。三个独立的结论。

印度、马来西亚、中国——审查了证据,查实了欺诈行为,暂停了相关域名。未作任何询问。

NameSilo 选择了另一条道路

第四位登记官—— NameSilo, LLC(美国) ——该平台托管着证据最充分、受害者最多的主要域名——却采取了截然相反的做法。他们联系了诈骗者,相信了他的说辞,并发布了一份公开声明为他辩护:

NameSilo在X(Twitter)上发表公开声明,为xmrwallet.com运营商辩护,称该域名遭到入侵
截图 6 — NameSilo 于 2026 年 3 月 12 日在 X(Twitter)上发布的公开声明。该帖子中的所有说法均为虚假。
“我们的滥用处理团队对此案进行了深入审查,似乎该域名在几个月前曾遭到入侵……经过全面调查,我们的团队发现,此次入侵事件与域名注册人无关……域名注册人目前也在努力将该网站从VT报告中移除。”

— NameSilo,通过 X(Twitter)发布

我们逐行分析了这段话。 每一项说法都是虚假的。

操作员的原话

在NameSilo介入之前,该运营商曾直接回复了我们的滥用举报。他的电子邮件证实了他对此事的知情和意图:

xmrwallet 运营方通过电子邮件回复称,这并非钓鱼行为,且该平台已运营 8 年
截图 7 — 客服人员的回复:“这不是网络钓鱼,我们已经运营了 8 年多。”
xmrwallet 运营商通过电子邮件回应,否认盗窃指控并为数据收集做法辩护
截图 8 —— 客服人员的第二次回复:“这是我们提供该服务所需的数据。”所谓的“数据”其实是受害者的私有查看密钥。

七大谎言,真相大白

谎言一:“该域名遭到入侵”

窃取机制是其核心架构——8个PHP端点、Base64密钥外泄、一个 GitHub 提交间隔长达 5.3 年. 这个系统是经过多年逐步构建的,并非通过临时拼凑而成。

谎言之二:“我们此前从未收到过任何虐待报告”

六家VirusTotal服务商、Trustpilot上积攒多年的投诉、BitcoinTalk上的警告帖,以及该网站运营者 2018年被r/Monero禁言. 只要在谷歌上搜索一下,就能查到这一点。

谎言之三:“不涉及登记人”

该运营商已注册 4个注册商下的4个逃逸域名 (每项预付5至10年) 之前 调查报告已发布。删除了21个以上的GitHub问题。为验证码系统招聘了开发人员。这并非受害者——而是一项行动。

谎言之四:“他们立即采取了措施加以纠正”

该盗版代码正在生产环境中运行 在NameSilo的声明中. GitHub 上没有任何针对该事件的提交。没有任何操作被撤销。

谎言 #5:“正在努力让该程序从 VirusTotal 上被移除”

NameSilo 称赞了这位诈骗者,因为他游说移除了 Fortinet 的“网络钓鱼”检测功能—— 在不删除钓鱼代码的情况下. 这不符合诚信原则。这是在屏蔽安全警告。

谎言之六:“虐待是最近才发生的吗?”

将举证责任转嫁给报告人,以便他们能结案。证据就在报告里。三位同行注册官根本不需要询问。

谎言之七:“我们将重新启动调查”

“重新开放”意味着它曾经开放过。他们的“调查”无非是给骗子打个电话,然后把他说的话记下来。这根本算不上调查——这不过是复述罢了。

基础设施证据

显示被暂停的 xmrwallet 域名以及在调查前注册的逃逸域名的域名网络图
截图 9 —— 域名逃逸网络:分布在 4 家注册商处的 4 个域名,均指向同一组服务器。其中 3 个已被封堵。
URLScan 结果显示,xmrwallet 的各个域名在多个顶级域名下解析到相同的 IP 地址
截图 10 — URLScan 数据:所有 xmrwallet 域名(.com、.cc、.biz、.net、.me、.app)均解析至同一套基础设施。
GitHub 证据仓库,其中记录了已确认的盗取端点和网络抓包数据
截图 11 —— 我们的 GitHub 证据库,其中包含完整的网络抓包分析。单次会话中共记录了 109 次请求和 43 次视图密钥传输。

时间线:xmrwallet的倒台

2016
xmrwallet[.]com 正式上线,宣传为“免费的开源门罗币钱包”
2018
操作员 被r/Monero禁言. Trustpilot 上出现了首批受害者报告
2026年2月4日
已注册域名 xmrwallet.cc(预付8年)—— 调查结果公布前
2026年2月13日
第35期已出版 — TX劫持机制全貌曝光
2026年2月18日
第36期 — 实时捕获:单次会话中共有 109 次请求,43 次 viewkey 传输
2026年2月23日
xmrwallet.cc 已暂停服务 (PDR)。 xmrwallet.biz 已被暂停 (WebNic)。操作员误删了问题 #35 和 #36
2026年2月26日
恐慌加剧:xmrwallet.net 和 .me 已被注册(10年预付,IP地址与被暂停的域名相同)
2026年3月8日
xmrwallet.net DNS 无法访问 (NiceNIC)。4个逃逸结构域中有3个被中和
2026年3月
NameSilo发布声明: “登记人就是受害者。” 有助于抑制 VirusTotal 的检测结果
2026年3月27日
已向ICANN提交正式投诉 (《RAA》第3.18条)。向执法机关提交的证据。本报告已发布。

最终裁决

NameSilo 并没有忽视这些证据。他们阅读了这些证据,致电了该诈骗者,相信了他的说辞,宣布他无罪,并协助压制了安全警告。随后,他们要求研究人员证明该滥用行为是“最近发生的”。

那不是疏忽,而是合作关系。

该域名已无法访问。这场骗局已经结束。但一家美国域名注册商竟公然编造借口,为一名盗取200万美元加密货币的窃贼开脱——这一事实将长期如影随形地困扰NameSilo。从今往后,他们的声明将成为每份诉讼文件中的关键证据。

如果你为小偷作保,你就得和他分担这笔账。

证据与资源

相关调查

本调查基于公开证据、实时网络抓包、OSINT、公开评论平台以及NameSilo公司发布的原话公开声明。未进行任何未经授权的访问。所有调查结果均可独立复现。

分享此调查

X / Twitter Telegram Reddit 领英

相关调查

xmrwallet 内幕曝光:10年来被盗的密钥
深度调查
xmrwallet 内幕曝光:10年来被盗的密钥
NiceNIC调查:ICANN注册商助长网络犯罪
深度调查
NiceNIC调查:ICANN注册商助长网络犯罪
NameSilo、Webnic、NiceNIC:助长诈骗的域名注册商
调查
NameSilo、Webnic、NiceNIC:助长诈骗的域名注册商