الانتقال إلى المحتوى الرئيسي
العودة إلى الأخبار

التحقيق في سرقة محفظة مونيرو

الكشف عن xmrwallet.com: 10 سنوات من سرقة المفاتيح واختطاف المعاملات

تحقيق جنائي متعمق في محفظة ويب «مونيرو» التي تقوم بترميز مفتاح العرض الخاص الخاص بك باستخدام Base64 إلى session_key الرمز، ويقوم بتسريبه عبر أكثر من 40 طلبًا لواجهة برمجة التطبيقات (API) في كل جلسة، ثم يلغي معاملتك باستخدام raw_tx = 0 ويعيد بنائه لسرقة أموالك. نشط منذ عام 2016. تم التعرف على المشغل.

نشط منذ عام 2016 أكثر من 40 تسريبًا للمفاتيح / الجلسة محمي بواسطة DDoS-Guard
الكشف عن xmrwallet
0
سنوات النشاط
40+
عدد التسريبات الرئيسية لكل جلسة
$2M-$15M+
المبلغ الإجمالي المقدر للمسروقات
0
تحديثات GitHub منذ عام 2018

الواجهة

xmrwallet.com تُقدَّم هذه المحفظة على أنها محفظة «مونيرو» مجانية، ومفتوحة المصدر، وتعمل من جانب العميل. لا تحتاج إلى تنزيل. ولا تتطلب التسجيل. وتورد شروط الخدمة الخاصة بها ادعاءً محددًا للغاية:

"تتم جميع العمليات التشفيرية داخل متصفحك. ولا يملك الخادم أي إمكانية للوصول إلى مفاتيحك الخاصة."

— شروط الخدمة الخاصة بموقع xmrwallet.com (ثابت أنها كاذبة)

هذه كذبة. إن تحليلنا الجنائي — الذي شمل رصد حركة الشبكة، وإزالة التعتيم عن جافا سكريبت، ومقارنة كود الإنتاج — يثبت العكس تمامًا. فكل مفتاح يتم إدخاله على موقع xmrwallet.com هو مفتاح مسروق. ويمكن اختطاف كل معاملة.

Production مقابل GitHub: اختلاف تام

الـ مستودع GitHub عام لم يتلقَ أي «كوميت» منذ ذلك الحين تشرين الثاني/نوفمبر 2018. يعمل موقع الإنتاج بكود مختلف تمامًا مع معلمات غير موثقة غير موجودة في مستودع البرمجة:

  • session_key — رمز تسريب مفتاح العرض المشفر بنظام Base64
  • verification — قناة تسريب ثانوية
  • timestamp — معلمة تتبع الجلسة
  • data — حاوية حمولة إضافية

النطاق مسجل عبر NameSilo في عام 2016 — مدفوعة مسبقًا من خلال 2031. خمسة عشر عامًا من التسجيل في «مشروع مستقل حر».

الهجوم رقم 1: تسريب مفتاح العرض

عند تسجيل الدخول إلى موقع xmrwallet.com، يتم ترميز مفتاح العرض الخاص الخاص بك باستخدام ترميز Base64 وإدراجه في session_key الرمز المميز. ثم يتم إرسال هذا الرمز المميز إلى الخادم مع كل طلب من طلبات واجهة برمجة التطبيقات (API) — أكثر من 40 مرة في جلسة واحدة.

بنية session_key

مفتاح الجلسة = [encrypted_blob]:[base64_address]:[base64_private_viewkey]

// Decoded example:
// blob: a3f8c2... (session identifier)
// address: 4A1BxN... (your Monero public address)
// viewkey: مفتاح العرض الخاص بك بنص عادي

تؤكد عمليات التقاط شبكة Firefox WebExtension أن هذا الرمز يتم إرساله عبر الشبكة 6 نقاط نهاية مميزة لواجهة برمجة التطبيقات (API) بما مجموعه أكثر من 40 طلب POST لكل جلسة:

نقطة نهاية واجهة برمجة التطبيقات (API)الطلبات / الجلسةتسريب مفتاح الجلسة (session_key)
/api/getheightsync12 نعم
/api/gettransactions10 نعم
/api/getbalance6 نعم
/api/getsubaddresses4 نعم
/api/getoutputs3 نعم
/api/support_login1 نعم

أكثر من 40 نسخة من مفتاحك الخاص

تقوم جلسة تسجيل الدخول الواحدة بإرسال مفتاح العرض الخاص بك إلى الخادم 36 مرة على الأقل. لا يحتاج الخادم إلى مفتاحك لإجراء أي من هذه العمليات — فعمليات التحقق من الرصيد ومزامنة الارتفاع هي استعلامات عامة على البلوكشين. ولا يوجد أي سبب مشروع على الإطلاق لنقل بيانات المفتاح. دليل التسجيل الكامل للشبكة: xmrwallet.com، المشكلة رقم 36 على GitHub — عرض أدلة تسريب المفاتيح.

الهجوم رقم 2: اختطاف المعاملات

تسمح «سرقة المفتاح» للمهاجم شاهد محفظتك. لكن موقع xmrwallet.com يذهب إلى أبعد من ذلك — فهو يسرق أموالك في الوقت الفعلي. ويكشف كود جافا سكريبت الخاص بالإنتاج، بعد إزالة التعتيم، عن تسلسل هجوم من 5 خطوات:

// Step 1: Client builds a legitimate transaction
cnUtil.إنشاء معاملة() → raw_tx_and_hash

// Step 2: Client transaction is NULLIFIED
raw_tx_and_hash.raw = 0;

// Step 3: Only metadata sent to server (no real tx)
منشور /api/submit_raw_tx { البيانات الأولية: 0, البيانات الوصفية: {...} }

// Step 4: Server rebuilds its OWN transaction
// using your keys + its destination address

// Step 5: Stolen transactions tagged internally
إذا(النوع == "اجتاحت") → معاملة تمت إعادة توجيهها من قبل المهاجم

تظهر على محفظتك عبارة «تم إرسال المعاملة». وتصل أموالك إلى عنوان المهاجم. بينما ترى الضحايا "معرّف المعاملة غير معروف" عندما يحاولون التحقق من ذلك عبر مستكشفات البلوكشين. المعاملات التي تم وسمها داخليًّا على أنها swept هي المسروقة.

لم تكن معاملتك قد حدثت أبدًا

raw_tx_and_hash.raw = 0 وهذا يعني أن المعاملة التي أنشأها العميل يتم تجاهلها. يقوم الخادم بإنشاء معاملة جديدة تمامًا باستخدام مفاتيحك ويرسل عملات XMR الخاصة بك إلى المهاجم. رسالة «النجاح» التي تراها هي كذبة. تحليل تفصيلي للكود: xmrwallet.com، المشكلة رقم 35 على GitHub — إثبات مقاومة اختطاف المعاملات.

رمز الإنتاج المخفي

يحتفظ موقع xmrwallet.com بمستودع GitHub عام ليبدو وكأنه موقع شرعي. هذا المستودع هو مجرد شرك. ولم يتم تحديثه منذ ذلك الحين تشرين الثاني/نوفمبر 2018. يعمل موقع الإنتاج برمز برمجي مختلف تمامًا ومُشوش.

GitHub العام (وهمي)

  • آخر تعديل: نوفمبر 2018
  • لا session_key المعلمة
  • لا verification param
  • لا /support_login.html
  • لا يوجد «Google Tag Manager»
  • كود نظيف وقابل للتدقيق

موقع الإنتاج (الفعلي)

  • يتم تحديثه بانتظام خلال الفترة 2024-2026
  • session_key باستخدام مفتاح العرض Base64
  • verification قناة التسريب
  • /support_login.html باب خلفي
  • إدخال جافا سكريبت عن بُعد في GTM
  • كود مشوش وغير قابل للتدقيق

الثغرة الخلفية وحقن التعليمات البرمجية عن بُعد

يحتوي موقع الإنتاج على /support_login.html — نقطة نهاية إدارية مخفية غير موجودة على الإطلاق في مستودع GitHub. إلى جانب مدير علامات جوجل (حاوية GTM) بفضل هذه التكامل، يمكن للمشغل إدخال وتعديل جافا سكريبت عن بُعد على الموقع النشط في أي وقت — دون الحاجة إلى تحديث قاعدة الكود العامة. ويُعد هذا وسيلة لتنفيذ التعليمات البرمجية عن بُعد متخفية في شكل تحليلات.

بنية تحتية محصنة

لا يستخدم موقع xmrwallet.com خدمات استضافة مشتركة رخيصة. فهو يعمل على بنية تحتية متميزة ومحصنة تم اختيارها خصيصًا لمقاومة طلبات إزالة المحتوى وإجراءات سلطات إنفاذ القانون.

مؤشرات الأداء الرئيسية (IOCs) الخاصة بالاستضافة والشبكات

المؤشرالقيمة
المجالxmrwallet.com
مسجلNameSilo (2016 – 2031، تسجيل لمدة 15 عامًا)
مزود خدمات الاستضافةIQWEB FZ-LLC (550 دولارًا أمريكيًا أو أكثر شهريًّا)
عنوان IP186.2.165.49
ASNAS59692
CDN / الحماية من هجمات DDoSDDoS-Guard
خادم الويبأباتشي 2.4.58 (أوبونتو)
الخلفيةPHP 8.2.29
شهادة SSLLet's Encrypt (يتم تجديده تلقائيًا)
مرآة تورxmrwalletdatuxms.onion
التكلفة السنوية للبنية التحتية$8,000 – $15,000+

مؤشرات الأداء الرئيسية للتتبع والتحليلات IOC

أداة التتبعالطلبات / الجلسةالمعرّف
مدير علامات جوجل12حاوية GTM
Google Analytics (UA)12UA-116766241-1
Google Analytics 45بث GA4
DoubleClick1بكسل تتبع الإعلانات
ملفات تعريف الارتباط الخاصة بـ DDoS-Guard __ddg8_, __ddg9_, __ddg10_, __ddg1_

$8K-$15K/Year for a "Free Volunteer Wallet"

المحفظة المجانية الشرعية لا تنفق ما يزيد عن 550 دولارًا شهريًّا على خدمة الاستضافة المُحصّنة من شركة IQWEB FZ-LLC المدعومة بنظام DDoS-Guard — وهي بنية تحتية مصممة خصيصًا لمقاومة شكاوى إساءة الاستخدام ومذكرات الاستدعاء الصادرة عن سلطات إنفاذ القانون. كما أنها لا تسجل نطاقًا لمدة 15 عامًا. كما أنها لا تستخدم أداة تتبع Google Analytics على محفظة Monero «المركزة على الخصوصية». هذه البنية التحتية مصممة لغرض واحد فقط: السرقة المستمرة على نطاق واسع.

تم تحديد هوية المشغلة: ناتالي روي

تشير المعلومات الاستخباراتية المفتوحة المصدر إلى أن البنية التحتية لموقع xmrwallet.com ترتبط مباشرةً بشخص واحد.

الميدانالتفاصيل
الاسمناتالي روي
الموقعكندا
اسم المستخدم على GitHubناثروي (رقم التعريف: 39167759)
منظمة GitHubxmrwallet (تم إنشاؤه في 10 مايو 2018)
البريد الإلكتروني (الإدارة)admin@xmrwallet.com
البريد الإلكتروني (الشخصي)royn5094@protonmail.com
Redditu/WiseSolution (ممنوع من r/Monero)
Twitter@xmrwalletcom
خادم البريد (MX)mail.privateemail.com

محظور، مكشوف، لا يزال نشطًا

تم استبعاد ناتالي روي من البطولة الرسمية منتدى r/Monero على موقع Reddit في عام 2018 للترويج لموقع xmrwallet.com. وقد تم آخر تحديث على GitHub في العام نفسه. وعلى مدار أكثر من 6 سنوات، ظل الكود المفتوح مجمدًا، في حين أن الموقع الفعلي يسرق الأموال بشكل نشط باستخدام كود مختلف تمامًا. وقد تم تجديد النطاق حتى عام 2031 — مما يعني أن المشغل لن يغادر المكان.

الضحايا المسجلون

على الأقل 15 حالة تم الإبلاغ عنها علنًا حالات سرقة الأموال على مواقع Trustpilot وSitejabber وReddit وGitHub Issues. أشخاص حقيقيون. أموال حقيقية. ضاعت.

15+
التقارير العامة
590 XMR
أكبر مبلغ منفرد (177 ألف دولار)
0
سنوات من السرقة
$2M-$15M+
الإجمالي التقديري
  • 590 XMR (حوالي 177,000 دولار) — سرقة واحدة، أكبر حالة موثقة
  • 17.44 XMR — موثقة برقم معرّف المعاملة على السلسلة
  • سُرق 20 XMR خلال الليل — نفد رصيد المحفظة أثناء نوم المستخدم
  • تقارير متعددة عن «معرّف معاملة غير معروف» — الـ swept توقيع العلامة
  • تم حذف مشكلات GitHub رقم 13 وما فوق — يقوم المشغل بحذف تقارير الضحايا من قاعدة البيانات

أدلة محذوفة، لا توجد محفظة تبرعات

يقوم المشغل بحذف تقارير الضحايا بشكل نشط من قسم «GitHub Issues» (تم حذف جميع المشكلات التي تسبق رقم #13). ويزعم الموقع أنه يقبل التبرعات، لكن لم يتم نشر أي عنوان محفظة للتبرعات على الإطلاق. لماذا قد يرفض «مشروع مستقل» تنفق ما بين 8 آلاف و15 ألف دولار سنويًّا التبرعات؟ لأن إيراداته تأتي من السرقة.

التسلسل الزمني للأحداث

الجدول الزمني 2014-2024: سرقة أكثر من 10,000 مفتاح من موقع xmrwallet.com — بدءًا من إطلاق الموقع مرورًا بالضحايا الأوائل وصولاً إلى تحديد هوية المشغل
الجدول الزمني 2014-2024: سرقة أكثر من 10,000 مفتاح من موقع xmrwallet.com — بدءًا من إطلاق الموقع مرورًا بالضحايا الأوائل وصولاً إلى تحديد هوية المشغل
2016

تم تسجيل النطاق — xmrwallet.com

تم التسجيل عبر NameSilo باستخدام فترة تسجيل مدتها 15 عامًا (2016-2031). تُقدم كمحفظة ويب مجانية ومفتوحة المصدر لعملة «مونيرو».

مايو 2018

تم إنشاء منظمة على GitHub

تم إنشاء منظمة xmrwallet على GitHub في 2018-05-10 بقلم nathroy (رقم التعريف: 39167759). تم نشر الكود للجمهور كمسرحية للشفافية.

2018

محظور وتجميد الرمز

المشغل u/WiseSolution تم حظره من r/Monero بسبب الرسائل الترويجية غير المرغوب فيها. آخر عملية «كوميت» على GitHub في هذا الوقت تقريبًا. بدأ حذف تقارير المشكلات المقدمة من الضحايا (اختفت المشكلات من رقم #1 إلى رقم #12).

2018 – 2024

6 سنوات من الصمت

تم تجميد المستودع العام. ويختلف كود الإنتاج تمامًا، حيث يحتوي على جافا سكريبت مشوش، ومعلمات غير موثقة، ونقاط نهاية خلفية. وتتزايد تقارير الضحايا على موقعي Trustpilot وReddit.

2025 – 2026

تحقيق «PhishDestroy»

يكشف تحليل حركة مرور الشبكة عن session_key التسريب. ويؤكد ذلك فك تشفير جافا سكريبت raw_tx = 0 اختطاف المعاملات. أدلة نُشرت على GitHub Issues #35 & #36.

فبراير 2026

نُشر التقرير — النطاق لا يزال نشطًا

تم نشر التقرير الفني الكامل. لا يزال موقع xmrwallet.com متاحًا على الإنترنت. تم دفع رسوم النطاق من خلال 2031. يوفر DDoS-Guard مقاومة لإزالة الخدمة.

الأدلة الكاملة والمواد المرجعية

كل ادعاء وارد في هذا المقال مدعوم بأدلة يمكن التحقق منها علنًا. قم بتنزيل التقارير. تحقق من الكود. افحص لقطات الشبكة بنفسك.

بدائل آمنة

لا تقم أبدًا بإدخال المفاتيح الخاصة في أي محفظة إلكترونية على الويب. نقطة. استخدم برامج تم التحقق من صحتها وتدقيقها، وتُشغَّل محليًّا على جهازك.

محافظ سطح المكتب

واجهة المستخدم الرسومية لـ Monero — محفظة رسمية، كاملة الميزات، مفتوحة المصدر، خضعت للتدقيق
محفظة «فيذر» — محفظة سطح مكتب خفيفة الوزن وسريعة وتركز على الخصوصية

المحافظ الإلكترونية

مونيروجو (Android) — برنامج مفتوح المصدر يدعم شبكة Tor
محفظة كيك (iOS/Android) — يدعم عملات متعددة، ويتم صيانته جيدًا

القاعدة الذهبية في عالم العملات المشفرة

لا تقم أبدًا بإدخال عبارة البذرة أو المفاتيح الخاصة أو مفاتيح العرض على أي موقع إلكتروني. تعمل المحافظ الشرعية محليًّا — ولا تحتاج أبدًا إلى إرسال مفاتيحك إلى خادم. إذا طلبت منك محفظة ويب تقديم مفاتيحك الخاصة، فهذا احتيال. ولتحقيق أقصى درجات الأمان، استخدم محفظة أجهزة (Ledger، Trezor) مع برنامج Monero الرسمي.

حماية المجتمع

يقوم موقع xmrwallet.com بسرقة عملة مونيرو منذ 10 سنوات. الأدلة متاحة للجميع. وقد تم تحديد هوية المشغل. شاركوا هذا التحقيق. أبلغوا عن هذا النطاق. ساعدونا في إغلاقه.

التحقيقات ذات الصلة

نهاية موقع xmrwallet.com: «NameSilo» كذبت لحماية سارق عملات مشفرة بقيمة 2 مليون دولار
التحقيق
نهاية موقع xmrwallet.com: «NameSilo» كذبت لحماية سارق عملات مشفرة بقيمة 2 مليون دولار
لوحة التصيد الاحتيالي الخاصة بـ «Trust Wallet»: سرقة 239 ألف دولار، و6 مشغلين
تحقيق معمق
لوحة التصيد الاحتيالي الخاصة بـ «Trust Wallet»: سرقة 239 ألف دولار، و6 مشغلين
مجموعة أدوات «Crypto Drainer»: الكشف عن موزعي «Angel Drainer»
تحقيق معمق
مجموعة أدوات «Crypto Drainer»: الكشف عن موزعي «Angel Drainer»

شارك هذا المقال

X Telegram Reddit
إشعار بشأن الشفافية. PhishDestroy هو مشروع مستقل وغير تجاري. قد تعكس أبحاثنا تحيزًا متأصلًا ضد البنية التحتية للاحتيال والخدمات التي تتيحها. ونشجع القراء على تقييم جميع المواد تقييمًا نقديًا ومستقلًا. اقرأ بيان الشفافية الكامل الخاص بنا →