xmrwallet[.]com 的终结: NameSilo 为包庇一名盗取200万美元的窃贼而撒谎
经过10年窃取门罗币私钥的活动,该团伙最终被摧毁。三家域名注册商在短短几天内采取了行动。第四家——NameSilo——却联系了该诈骗犯,相信了他的说辞,并充当了他的“新闻发言人”。

xmrwallet[.]com 实际上做了什么
自2016年以来,xmrwallet[.]com一直将自己宣传为一款免费的开源门罗币钱包。我们的 2026年2月18日的实时网络抓包 事实证明,它正在做一件截然不同的事:在每次登录时窃取私有的门罗币查看密钥,并在服务器端劫持交易。

非注入代码——该 核心架构. 一个横跨 8 个 PHP 端点的会话系统,用于传输受害者的私有查看密钥 每次训练40多次. 当用户发送 XMR 时,其交易会被悄无声息地丢弃(raw_tx_and_hash.raw = 0) 并被诈骗者的信息所取代。

VirusTotal 上有六家安全厂商将其标记为恶意软件。在 Trustpilot、Sitejabber 和 BitcoinTalk 上共有十五名已确认的受害者。其中一名受害者损失了 590 XMR(约合177,000美元) 在一次盗窃案中。


三名登记员尽职尽责
我们向托管 xmrwallet 域名的所有四家注册商提交了内容完全相同的滥用报告。其中三家立即采取了行动:

PublicDomainRegistry
印度 · 行动倒计时
WebNic
马来西亚 · 行动倒计时
NiceNIC
中国 · 行动倒计时
NameSilo
美国 · 为诈骗犯辩护
印度、马来西亚、中国——审查了证据,查实了欺诈行为,暂停了相关域名。未作任何询问。
NameSilo 选择了另一条道路
第四位登记官—— NameSilo, LLC(美国) ——该平台托管着证据最充分、受害者最多的主要域名——却采取了截然相反的做法。他们联系了诈骗者,相信了他的说辞,并发布了一份公开声明为他辩护:

“我们的滥用处理团队对此案进行了深入审查,似乎该域名在几个月前曾遭到入侵……经过全面调查,我们的团队发现,此次入侵事件与域名注册人无关……域名注册人目前也在努力将该网站从VT报告中移除。”
— NameSilo,通过 X(Twitter)发布
我们逐行分析了这段话。 每一项说法都是虚假的。
操作员的原话
在NameSilo介入之前,该运营商曾直接回复了我们的滥用举报。他的电子邮件证实了他对此事的知情和意图:


七大谎言,真相大白
窃取机制是其核心架构——8个PHP端点、Base64密钥外泄、一个 GitHub 提交间隔长达 5.3 年. 这个系统是经过多年逐步构建的,并非通过临时拼凑而成。
六家VirusTotal服务商、Trustpilot上积攒多年的投诉、BitcoinTalk上的警告帖,以及该网站运营者 2018年被r/Monero禁言. 只要在谷歌上搜索一下,就能查到这一点。
该运营商已注册 4个注册商下的4个逃逸域名 (每项预付5至10年) 之前 调查报告已发布。删除了21个以上的GitHub问题。为验证码系统招聘了开发人员。这并非受害者——而是一项行动。
该盗版代码正在生产环境中运行 在NameSilo的声明中. GitHub 上没有任何针对该事件的提交。没有任何操作被撤销。
NameSilo 称赞了这位诈骗者,因为他游说移除了 Fortinet 的“网络钓鱼”检测功能—— 在不删除钓鱼代码的情况下. 这不符合诚信原则。这是在屏蔽安全警告。
将举证责任转嫁给报告人,以便他们能结案。证据就在报告里。三位同行注册官根本不需要询问。
“重新开放”意味着它曾经开放过。他们的“调查”无非是给骗子打个电话,然后把他说的话记下来。这根本算不上调查——这不过是复述罢了。
基础设施证据



时间线:xmrwallet的倒台
最终裁决
NameSilo 并没有忽视这些证据。他们阅读了这些证据,致电了该诈骗者,相信了他的说辞,宣布他无罪,并协助压制了安全警告。随后,他们要求研究人员证明该滥用行为是“最近发生的”。
那不是疏忽,而是合作关系。
该域名已无法访问。这场骗局已经结束。但一家美国域名注册商竟公然编造借口,为一名盗取200万美元加密货币的窃贼开脱——这一事实将长期如影随形地困扰NameSilo。从今往后,他们的声明将成为每份诉讼文件中的关键证据。
如果你为小偷作保,你就得和他分担这笔账。
证据与资源
相关调查
本调查基于公开证据、实时网络抓包、OSINT、公开评论平台以及NameSilo公司发布的原话公开声明。未进行任何未经授权的访问。所有调查结果均可独立复现。



