XMR Escrow

Un servicio de custodia (escrow) Monero centralizado y sin cuenta. Una de las partes (típicamente el comprador) crea el trato, el sitio emite un enlace para el comprador y otro para el vendedor como tokens de sesión de un solo uso, y el monedero del operador retiene el XMR depositado hasta que el comprador haga clic en liberar o un admin fuerce la liberación en una disputa. Catalogada con Grado C porque el servicio es reciente (las primeras huellas públicas datan de 2026-06), no hay historial en ningún directorio par, el operador (handle `@T_Txmrescrow` en X) es seudónimo sin clave PGP publicada, y el marco "non-custodial" de la página principal contradice el flujo real — pero el producto en sí es una custodia Monero-only funcional con espejo Tor y una mecánica claramente explicada que algunos compradores y vendedores encontrarán útil para tratos P2P de bajo valor.

Qué es. Una custodia Monero centralizada basada en web. Cualquiera de las dos partes (típicamente el comprador) llena un formulario en `xmrescrow.app` — etiquetas opcionales Alice/Bob, cantidad de XMR, descripción opcional del trato — y el sitio devuelve dos URLs con tokens de sesión aleatorios (`?t=…`), uno para el comprador y otro para el vendedor. El sitio también emite una subdirección Monero (empieza con `8`) bajo el monedero maestro del operador; el comprador envía XMR a esa subdirección y pega el ID de transacción de vuelta en la página. Un bot luego espera 10 confirmaciones y marca el trato como financiado. El vendedor entrega fuera de plataforma; el comprador hace clic en "Release" y el monedero del operador envía a la dirección Monero del vendedor. Si algo sale mal, cualquier parte abre una disputa y el admin del operador "puede forzar la liberación o reembolso" — palabras del propio panel de disputa. Los espejos clearnet (`xmrescrow.app`) y Tor (`wptywii7…onion`) sirven el mismo contenido; ambos están accesibles al momento de esta reseña.

Antecedentes. Operador seudónimo — el handle de X `@T_Txmrescrow` publicó un tweet de lanzamiento el 2026-06-23 anunciando "XMRescrow.app is now live! Automated Monero escrow for P2P. I've moved away from personal onboarding and launched a fully automated middleman (MM) service so you can keep transacting p2p privately with trust." El tweet lleva una firma PGP, pero el sitio no tiene página "about", ni página de contacto, ni clave pública publicada — así que la firma no puede contrastarse contra nada que el operador mismo aloje. El sitio mismo tampoco enlaza a la cuenta de X ni a ningún otro canal del operador; el tweet es lo único que vincula ese handle al servicio. Ningún directorio par lista esto aún — ni monerica, ni kycnot.me, ni Monero Observer, ni no-kyc.io.

En qué confías.

• En el operador, completamente. La dirección de depósito es una subdirección bajo el monedero maestro del operador — cada custodia financiada se sienta en ese único monedero hasta liberarse. El operador puede mover fondos en cualquier momento sin firmas de usuario; el panel de disputa lo dice explícitamente ("admin will review and can force-release or refund"). El modelo de confianza es "confía en que el operador libere honestamente", no "las matemáticas impiden que cualquiera mueva los fondos".
• El espejo Tor. La dirección .onion incluida en el tweet de lanzamiento resuelve al mismo sitio y devuelve el mismo contenido que la clearnet — significativo para usuarios que quieren negociar un trato sin revelar su IP al operador o a un CDN.
• La ruta de liberación con 1 clic. Cuando el trato fluye sin problemas, el flujo es lo más simple posible: comprador paga, espera diez confirmaciones, hace clic en Release, vendedor recibe el XMR. Sin cuentas, sin email, sin KYC, sin intervención manual del operador.
• Los tokens de sesión de un solo uso. Cada parte se autentica únicamente por URL (`?t=…`). Trátalos como contraseñas — cualquiera con el enlace puede actuar como esa parte. No hay segundo factor, no hay recuperación, no hay cuenta.

Especificaciones operativas.

• Sitio. `xmrescrow.app` (clearnet) y `wptywii7oaqvbe4lb4ko6qlo5rtnat2gj5x57rlrrrvwshl3oorustad.onion` (Tor, mismo contenido).
• Sin cuenta. Sin registro, sin email, sin KYC. La autenticación de cada custodia es un único token URL de un solo uso por parte.
• Modelo de monedero. Centralizado. Cada custodia recibe una subdirección bajo el monedero maestro del operador. Los fondos permanecen en el monedero del operador durante todo el trato.
• Confirmaciones. El bot espera 10 confirmaciones de Monero antes de marcar un trato como financiado.
• Autoridad de liberación. El clic del comprador es la ruta normal. El admin del operador puede forzar la liberación o reembolso en disputa — autoridad de clave única, sin multisig.
• Tarifas. 3.5% del monto de la custodia o el equivalente a $3 USD en XMR, lo que sea mayor. En una custodia de 0.10 XMR (~$31 a $315/XMR) el piso de la tarifa mínima domina y la tarifa efectiva es ~9.4%; el 3.5% promocionado solo aplica una vez que la custodia es lo suficientemente grande para que 3.5% > $3 (alrededor de ~$86 / ~0.27 XMR en adelante).
• BETA declarada. El tweet de lanzamiento del operador describe el servicio como "In BETA" y como *"fully automated middleman (MM) service"* — el propio encuadre del operador es de intermediario centralizado, incluso donde el marketing de la página principal lee "non-custodial".
• Código. Closed-source hasta donde se puede ver — no hay enlace a GitHub en el sitio, no hay URL de repositorio en ninguna parte. "Hosted locally" según el tweet de lanzamiento.
• Canales. X `@T_Txmrescrow`. El sitio mismo no anuncia Matrix, Signal, SimpleX, GitHub, ni clave PGP publicada.

Filosofía del operador. Mercadeado como privado, no-custodial, sin necesidad de confianza: *"Peer-to-peer Monero escrow. Private, non-custodial, and works over Tor. No accounts. No KYC. Just a secure hold between two parties."* En la práctica es una custodia centralizada — el operador retiene los fondos durante el trato y es la única autoridad en disputas. La página principal usa "non-custodial" en un sentido de marketing (el comprador y el vendedor no tienen una cuenta en *xmrescrow.app* ni un custodio fiat detrás) más que en el sentido criptográfico estricto que el término carga en la comunidad Monero, donde significa claves propias / multisig. Bajo esa definición estricta — la que este directorio usa para la etiqueta `non_custodial` — xmrescrow.app no es no-custodial. El directorio la lista honestamente por lo que en realidad es: una custodia *centralizada* sin cuenta con espejo Tor.

Justificación de la calificación. Catalogada con Grado C porque el servicio es reciente, el operador es seudónimo con identidad no verificable desde el sitio, existe la brecha marketing-vs-mecánica (afirma non-custodial, en realidad custodial), y ningún directorio par lo ha reseñado independientemente aún. Los servicios de custodia centralizada retienen fondos reales de usuarios durante tiempo real, lo que es una posición de alta pérdida asimétrica incluso cuando el operador es honesto — así que el piso de antigüedad aplica sin importar cuán limpia se vea la superficie publicada. Camino a B: publicar la clave pública PGP del operador y prueba bidireccional de propiedad sitio↔X; corregir la página principal para eliminar "non-custodial" o documentar un flujo real de multisig 2-de-3; acumular ≥6 meses de operación sin incidentes con resultados de disputa documentados; obtener al menos una reseña independiente de directorio par (monerica, kycnot). Camino a A: todo lo anterior más un año de operación sin incidentes con volumen real de custodias y un repositorio fuente publicado para que el bot, la generación de subdirecciones y la lógica de disputa puedan ser auditados.

Útil cuando.

• Estás haciendo un trato P2P pequeño con una contraparte que se niega a enviar primero, y ninguno de los dos lados quiere la fricción de instalar un monedero multisig o coordinar una configuración 2-de-3 por chat. Una custodia centralizada sin barrera de cuenta es el camino de menor resistencia y 3.5% (por encima de $86) es un precio razonable por esa simplicidad.
• Quieres un servicio de custodia Tor-nativo — el espejo .onion es el mismo sitio que la clearnet y sirve contenido idéntico, así que puedes negociar un trato de extremo a extremo sin tocar nunca la clearnet.
• Eres comprador y quieres una UX de liberación con un solo clic una vez que el vendedor entrega, en lugar de ejecutar una ceremonia de firma multisig.

No útil cuando.

• El trato es grande. Retener 1+ XMR en el monedero de un tercero durante la duración de un trato es un perfil de riesgo diferente al de la custodia de ~$30 a la que este servicio está implícitamente puesto en precio.
• Realmente necesitas no-custodia criptográfica. Usa Haveno, el flujo multisig 2-de-3 de AgoraDesk, o XMRTrades para eso.
• No puedes mantener segura la URL del token de sesión. Pierde el enlace y pierdes el acceso; el operador es el único camino de vuelta.

Advertencias.

• El encuadre "non-custodial" es marketing, no mecánica. La página principal y el tweet del operador en X usan la palabra, pero el panel de disputa dice textualmente *"admin will review and can force-release or refund"* — eso es autoridad custodial de clave única. El directorio no etiqueta este listado como `non_custodial`. Lee el servicio por lo que es: un intermediario centralizado que la página principal describe en el sentido más laxo de la comunidad ("sin custodio fiat, sin KYC, no tienes una cuenta aquí"). El sentido criptográfico estricto no aplica.
• Identidad del operador no verificable desde el sitio. El handle de X `@T_Txmrescrow` que dice ser el operador no puede cruzarse con el sitio mismo — no hay enlace, no hay clave PGP. Si la cuenta de X es comprometida o suplantada, solo te enterarías por la discrepancia después del hecho.
• Tarifa mínima dura en custodias pequeñas. El mínimo de $3 USD pega fuerte por debajo de 0.27 XMR. Una custodia de 0.10 XMR consume 9.4%, una de 0.05 XMR consume 19%. El titular del 3.5% es solo la verdad una vez que la custodia es lo suficientemente grande para que 3.5% > $3.
• Pérdida del token = pérdida de fondos (ruta del comprador). Tokens URL de un solo uso sin recuperación. Si el enlace del comprador se pierde antes de la liberación, el comprador no puede disparar Release; el vendedor tiene que abrir disputa y depender del admin del operador para forzar la liberación. Si el enlace se filtra, cualquiera con la URL puede actuar como esa parte.
• Sin revisión de seguridad publicada, sin código fuente publicado. La ruta de verificación de pruebas, la generación de subdirecciones y la lógica de disputa son opacas a revisión externa. El operador dice "hosted locally" pero no hay atestación de infraestructura publicada ni URL de repositorio para chequear.
• BETA, auto-declarado. El tweet de lanzamiento del propio operador lo llama "In BETA" y pide feedback. Trata los resultados de disputas y los casos límite en consecuencia hasta que el servicio se asiente.
• Sin cobertura de directorio par. No está listado en monerica, kycnot.me, Monero Observer, ni no-kyc.io. La única señal pública de vida es la propia cuenta de X del operador.