تحقيق جنائي متعمق في محفظة ويب «مونيرو» التي تقوم بترميز مفتاح العرض الخاص الخاص بك باستخدام Base64 إلى session_key
الرمز، ويقوم بتسريبه عبر أكثر من 40 طلبًا لواجهة برمجة التطبيقات (API) في كل جلسة، ثم يلغي
معاملتك باستخدام
raw_tx = 0
ويعيد بنائه لسرقة أموالك. نشط منذ عام 2016. تم
التعرف على المشغل.
~9 دقائق للقراءة·
تم التحديث مارس 2026·
معلومات PhishDestroy
نشط منذ عام 2016أكثر من 40 تسريبًا للمفاتيح / الجلسةمحمي بواسطة DDoS-Guard
0
سنوات النشاط
40+
عدد التسريبات الرئيسية لكل جلسة
$2M-$15M+
المبلغ الإجمالي المقدر للمسروقات
0
تحديثات GitHub منذ عام 2018
الواجهة
xmrwallet.com تُقدَّم هذه المحفظة على أنها محفظة «مونيرو» مجانية،
ومفتوحة المصدر، وتعمل من جانب العميل. لا تحتاج إلى تنزيل. ولا
تتطلب التسجيل. وتورد شروط الخدمة الخاصة بها ادعاءً محددًا للغاية:
"تتم جميع العمليات التشفيرية داخل متصفحك. ولا يملك الخادم
أي إمكانية للوصول إلى مفاتيحك الخاصة."
— شروط الخدمة الخاصة بموقع xmrwallet.com (ثابت أنها كاذبة)
هذه كذبة. إن تحليلنا الجنائي — الذي شمل رصد حركة الشبكة،
وإزالة التعتيم عن جافا سكريبت، ومقارنة كود الإنتاج —
يثبت العكس تمامًا. فكل مفتاح يتم إدخاله على موقع xmrwallet.com هو
مفتاح مسروق. ويمكن اختطاف كل معاملة.
Production مقابل GitHub:
اختلاف تام
الـ
مستودع GitHub عام
لم يتلقَ أي «كوميت» منذ ذلك الحين
تشرين الثاني/نوفمبر 2018. يعمل موقع الإنتاج
بكود مختلف تمامًا مع معلمات غير موثقة غير موجودة في
مستودع البرمجة:
session_key — رمز تسريب مفتاح العرض المشفر بنظام Base64
verification — قناة تسريب ثانوية
timestamp — معلمة تتبع الجلسة
data — حاوية حمولة إضافية
النطاق مسجل عبر NameSilo في عام 2016 — مدفوعة مسبقًا من خلال 2031. خمسة عشر عامًا من التسجيل في «مشروع مستقل حر».
الهجوم رقم 1: تسريب مفتاح العرض
عند تسجيل الدخول إلى موقع xmrwallet.com، يتم ترميز مفتاح العرض الخاص الخاص بك باستخدام ترميز Base64 وإدراجه في session_key الرمز المميز. ثم يتم إرسال هذا الرمز المميز إلى الخادم مع كل طلب من طلبات واجهة برمجة التطبيقات (API) — أكثر من 40 مرة في جلسة واحدة.
// Decoded example: // blob: a3f8c2... (session identifier) // address: 4A1BxN... (your Monero public address) // viewkey: مفتاح العرض الخاص بك بنص عادي
تؤكد عمليات التقاط شبكة Firefox WebExtension أن هذا الرمز يتم إرساله عبر الشبكة 6 نقاط نهاية مميزة لواجهة برمجة التطبيقات (API) بما مجموعه أكثر من 40 طلب POST لكل جلسة:
نقطة نهاية واجهة برمجة التطبيقات (API)
الطلبات / الجلسة
تسريب مفتاح الجلسة (session_key)
/api/getheightsync
12
نعم
/api/gettransactions
10
نعم
/api/getbalance
6
نعم
/api/getsubaddresses
4
نعم
/api/getoutputs
3
نعم
/api/support_login
1
نعم
أكثر من 40 نسخة من مفتاحك الخاص
تقوم جلسة تسجيل الدخول الواحدة بإرسال مفتاح العرض الخاص بك إلى الخادم 36 مرة على الأقل. لا يحتاج الخادم إلى مفتاحك لإجراء أي من هذه العمليات — فعمليات التحقق من الرصيد ومزامنة الارتفاع هي استعلامات عامة على البلوكشين. ولا يوجد أي سبب مشروع على الإطلاق لنقل بيانات المفتاح. دليل التسجيل الكامل للشبكة: xmrwallet.com، المشكلة رقم 36 على GitHub — عرض أدلة تسريب المفاتيح.
الهجوم رقم 2: اختطاف المعاملات
تسمح «سرقة المفتاح» للمهاجم شاهد محفظتك. لكن موقع xmrwallet.com يذهب إلى أبعد من ذلك — فهو يسرق أموالك في الوقت الفعلي. ويكشف كود جافا سكريبت الخاص بالإنتاج، بعد إزالة التعتيم، عن تسلسل هجوم من 5 خطوات:
// Step 2: Client transaction is NULLIFIED raw_tx_and_hash.raw = 0;
// Step 3: Only metadata sent to server (no real tx) منشور /api/submit_raw_tx { البيانات الأولية: 0, البيانات الوصفية: {...} }
// Step 4: Server rebuilds its OWN transaction // using your keys + its destination address
// Step 5: Stolen transactions tagged internally إذا(النوع == "اجتاحت") → معاملة تمت إعادة توجيهها من قبل المهاجم
تظهر على محفظتك عبارة «تم إرسال المعاملة». وتصل أموالك إلى عنوان المهاجم. بينما ترى الضحايا "معرّف المعاملة غير معروف" عندما يحاولون التحقق من ذلك عبر مستكشفات البلوكشين. المعاملات التي تم وسمها داخليًّا على أنها swept هي المسروقة.
لم تكن معاملتك قد حدثت أبدًا
raw_tx_and_hash.raw = 0 وهذا يعني أن المعاملة التي أنشأها العميل يتم تجاهلها. يقوم الخادم بإنشاء معاملة جديدة تمامًا باستخدام مفاتيحك ويرسل عملات XMR الخاصة بك إلى المهاجم. رسالة «النجاح» التي تراها هي كذبة. تحليل تفصيلي للكود: xmrwallet.com، المشكلة رقم 35 على GitHub — إثبات مقاومة اختطاف المعاملات.
رمز الإنتاج المخفي
يحتفظ موقع xmrwallet.com بمستودع GitHub عام ليبدو وكأنه موقع شرعي. هذا المستودع هو مجرد شرك. ولم يتم تحديثه منذ ذلك الحين تشرين الثاني/نوفمبر 2018. يعمل موقع الإنتاج برمز برمجي مختلف تمامًا ومُشوش.
GitHub العام (وهمي)
آخر تعديل: نوفمبر 2018
لا session_key المعلمة
لا verification param
لا /support_login.html
لا يوجد «Google Tag Manager»
كود نظيف وقابل للتدقيق
موقع الإنتاج (الفعلي)
يتم تحديثه بانتظام خلال الفترة 2024-2026
session_key باستخدام مفتاح العرض Base64
verification قناة التسريب
/support_login.html باب خلفي
إدخال جافا سكريبت عن بُعد في GTM
كود مشوش وغير قابل للتدقيق
الثغرة الخلفية وحقن التعليمات البرمجية عن بُعد
يحتوي موقع الإنتاج على /support_login.html — نقطة نهاية إدارية مخفية غير موجودة على الإطلاق في مستودع GitHub. إلى جانب مدير علامات جوجل (حاوية GTM) بفضل هذه التكامل، يمكن للمشغل إدخال وتعديل جافا سكريبت عن بُعد على الموقع النشط في أي وقت — دون الحاجة إلى تحديث قاعدة الكود العامة. ويُعد هذا وسيلة لتنفيذ التعليمات البرمجية عن بُعد متخفية في شكل تحليلات.
بنية تحتية محصنة
لا يستخدم موقع xmrwallet.com خدمات استضافة مشتركة رخيصة. فهو يعمل على بنية تحتية متميزة ومحصنة تم اختيارها خصيصًا لمقاومة طلبات إزالة المحتوى وإجراءات سلطات إنفاذ القانون.
مؤشرات الأداء الرئيسية (IOCs) الخاصة بالاستضافة والشبكات
المؤشر
القيمة
المجال
xmrwallet.com
مسجل
NameSilo (2016 – 2031، تسجيل لمدة 15 عامًا)
مزود خدمات الاستضافة
IQWEB FZ-LLC (550 دولارًا أمريكيًا أو أكثر شهريًّا)
عنوان IP
186.2.165.49
ASN
AS59692
CDN / الحماية من هجمات DDoS
DDoS-Guard
خادم الويب
أباتشي 2.4.58 (أوبونتو)
الخلفية
PHP 8.2.29
شهادة SSL
Let's Encrypt (يتم تجديده تلقائيًا)
مرآة تور
xmrwalletdatuxms.onion
التكلفة السنوية للبنية التحتية
$8,000 – $15,000+
مؤشرات الأداء الرئيسية للتتبع والتحليلات IOC
أداة التتبع
الطلبات / الجلسة
المعرّف
مدير علامات جوجل
12
حاوية GTM
Google Analytics (UA)
12
UA-116766241-1
Google Analytics 4
5
بث GA4
DoubleClick
1
بكسل تتبع الإعلانات
ملفات تعريف الارتباط الخاصة بـ DDoS-Guard
—
__ddg8_, __ddg9_, __ddg10_, __ddg1_
$8K-$15K/Year for a "Free Volunteer Wallet"
المحفظة المجانية الشرعية لا تنفق ما يزيد عن 550 دولارًا شهريًّا على خدمة الاستضافة المُحصّنة من شركة IQWEB FZ-LLC المدعومة بنظام DDoS-Guard — وهي بنية تحتية مصممة خصيصًا لمقاومة شكاوى إساءة الاستخدام ومذكرات الاستدعاء الصادرة عن سلطات إنفاذ القانون. كما أنها لا تسجل نطاقًا لمدة 15 عامًا. كما أنها لا تستخدم أداة تتبع Google Analytics على محفظة Monero «المركزة على الخصوصية». هذه البنية التحتية مصممة لغرض واحد فقط: السرقة المستمرة على نطاق واسع.
تم تحديد هوية المشغلة: ناتالي روي
تشير المعلومات الاستخباراتية المفتوحة المصدر إلى أن البنية التحتية لموقع xmrwallet.com ترتبط مباشرةً بشخص واحد.
تم استبعاد ناتالي روي من البطولة الرسمية منتدى r/Monero على موقع Reddit في عام 2018 للترويج لموقع xmrwallet.com. وقد تم آخر تحديث على GitHub في العام نفسه. وعلى مدار أكثر من 6 سنوات، ظل الكود المفتوح مجمدًا، في حين أن الموقع الفعلي يسرق الأموال بشكل نشط باستخدام كود مختلف تمامًا. وقد تم تجديد النطاق حتى عام 2031 — مما يعني أن المشغل لن يغادر المكان.
الضحايا المسجلون
على الأقل 15 حالة تم الإبلاغ عنها علنًا حالات سرقة الأموال على مواقع Trustpilot وSitejabber وReddit وGitHub Issues. أشخاص حقيقيون. أموال حقيقية. ضاعت.
15+
التقارير العامة
590 XMR
أكبر مبلغ منفرد (177 ألف دولار)
0
سنوات من السرقة
$2M-$15M+
الإجمالي التقديري
590 XMR (حوالي 177,000 دولار) — سرقة واحدة، أكبر حالة موثقة
17.44 XMR — موثقة برقم معرّف المعاملة على السلسلة
سُرق 20 XMR خلال الليل — نفد رصيد المحفظة أثناء نوم المستخدم
تقارير متعددة عن «معرّف معاملة غير معروف» — الـ swept توقيع العلامة
تم حذف مشكلات GitHub رقم 13 وما فوق — يقوم المشغل بحذف تقارير الضحايا من قاعدة البيانات
أدلة محذوفة، لا توجد محفظة تبرعات
يقوم المشغل بحذف تقارير الضحايا بشكل نشط من قسم «GitHub Issues» (تم حذف جميع المشكلات التي تسبق رقم #13). ويزعم الموقع أنه يقبل التبرعات، لكن لم يتم نشر أي عنوان محفظة للتبرعات على الإطلاق. لماذا قد يرفض «مشروع مستقل» تنفق ما بين 8 آلاف و15 ألف دولار سنويًّا التبرعات؟ لأن إيراداته تأتي من السرقة.
التسلسل الزمني للأحداث
الجدول الزمني 2014-2024: سرقة أكثر من 10,000 مفتاح من موقع xmrwallet.com — بدءًا من إطلاق الموقع مرورًا بالضحايا الأوائل وصولاً إلى تحديد هوية المشغل
2016
تم تسجيل النطاق — xmrwallet.com
تم التسجيل عبر NameSilo باستخدام فترة تسجيل مدتها 15 عامًا (2016-2031). تُقدم كمحفظة ويب مجانية ومفتوحة المصدر لعملة «مونيرو».
مايو 2018
تم إنشاء منظمة على GitHub
تم إنشاء منظمة xmrwallet على GitHub في 2018-05-10 بقلم nathroy (رقم التعريف: 39167759). تم نشر الكود للجمهور كمسرحية للشفافية.
2018
محظور وتجميد الرمز
المشغل u/WiseSolution تم حظره من r/Monero بسبب الرسائل الترويجية غير المرغوب فيها. آخر عملية «كوميت» على GitHub في هذا الوقت تقريبًا. بدأ حذف تقارير المشكلات المقدمة من الضحايا (اختفت المشكلات من رقم #1 إلى رقم #12).
2018 – 2024
6 سنوات من الصمت
تم تجميد المستودع العام. ويختلف كود الإنتاج تمامًا، حيث يحتوي على جافا سكريبت مشوش، ومعلمات غير موثقة، ونقاط نهاية خلفية. وتتزايد تقارير الضحايا على موقعي Trustpilot وReddit.
2025 – 2026
تحقيق «PhishDestroy»
يكشف تحليل حركة مرور الشبكة عن session_key التسريب. ويؤكد ذلك فك تشفير جافا سكريبت raw_tx = 0 اختطاف المعاملات. أدلة نُشرت على GitHub Issues #35 & #36.
فبراير 2026
نُشر التقرير — النطاق لا يزال نشطًا
تم نشر التقرير الفني الكامل. لا يزال موقع xmrwallet.com متاحًا على الإنترنت. تم دفع رسوم النطاق من خلال 2031. يوفر DDoS-Guard مقاومة لإزالة الخدمة.
الأدلة الكاملة والمواد المرجعية
كل ادعاء وارد في هذا المقال مدعوم بأدلة يمكن التحقق منها علنًا. قم بتنزيل التقارير. تحقق من الكود. افحص لقطات الشبكة بنفسك.
مونيروجو (Android) — برنامج مفتوح المصدر يدعم شبكة Tor محفظة كيك (iOS/Android) — يدعم عملات متعددة، ويتم صيانته جيدًا
القاعدة الذهبية في عالم العملات المشفرة
لا تقم أبدًا بإدخال عبارة البذرة أو المفاتيح الخاصة أو مفاتيح العرض على أي موقع إلكتروني. تعمل المحافظ الشرعية محليًّا — ولا تحتاج أبدًا إلى إرسال مفاتيحك إلى خادم. إذا طلبت منك محفظة ويب تقديم مفاتيحك الخاصة، فهذا احتيال. ولتحقيق أقصى درجات الأمان، استخدم محفظة أجهزة (Ledger، Trezor) مع برنامج Monero الرسمي.
حماية المجتمع
يقوم موقع xmrwallet.com بسرقة عملة مونيرو منذ 10 سنوات. الأدلة متاحة للجميع. وقد تم تحديد هوية المشغل. شاركوا هذا التحقيق. أبلغوا عن هذا النطاق. ساعدونا في إغلاقه.
إشعار بشأن الشفافية. PhishDestroy هو مشروع مستقل وغير تجاري. قد تعكس أبحاثنا تحيزًا متأصلًا ضد البنية التحتية للاحتيال والخدمات التي تتيحها. ونشجع القراء على تقييم جميع المواد تقييمًا نقديًا ومستقلًا. اقرأ بيان الشفافية الكامل الخاص بنا →