xmrwallet.com entlarvt: 10 Jahre gestohlene Schlüssel und manipulierte Transaktionen
Eingehende forensische Untersuchung einer Monero-Web-Wallet, die Ihren privaten View-Schlüssel in eine Base64-kodierte Zeichenfolge umwandelt session_key Token, gibt es über mehr als 40 API-Anfragen pro Sitzung weiter und macht dann Ihre Transaktion mit raw_tx = 0 und baut sie neu auf, um an Ihr Geld zu gelangen. Seit 2016 aktiv. Betreiber identifiziert.
~9 Minuten Lesezeit· Aktualisiert März 2026· PhishDestroy Intelligence
Aktiv seit 2016Über 40 Schlüssel-Leaks / SitzungDurch DDoS-Guard geschützt
0
Tätigkeitsjahre
40+
Schlüssel-Lecks pro Sitzung
2 Mio. $ – 15 Mio. $+
Geschätzter Gesamtwert der gestohlenen Gegenstände
0
GitHub-Updates seit 2018
Die Fassade
xmrwallet.com präsentiert sich als kostenlose, quelloffene, clientseitige Monero-Wallet. Keine Downloads. Keine Registrierung. In den Nutzungsbedingungen wird eine ganz konkrete Aussage getroffen:
„Alle kryptografischen Vorgänge finden in Ihrem Browser statt. Der Server hat keinerlei Zugriff auf Ihre privaten Schlüssel.“
— Nutzungsbedingungen von xmrwallet.com (nachweislich falsch)
Das ist eine Lüge. Unsere forensische Analyse – Netzwerkprotokollaufzeichnungen, Entschleierung von JavaScript und Vergleich des Produktionscodes – beweist genau das Gegenteil. Jeder auf xmrwallet.com eingegebene Schlüssel wird gestohlen. Jede Transaktion kann abgefangen werden.
Produktion vs. GitHub: Völlige Diskrepanz
Die öffentliches GitHub-Repository hat seitdem keinen einzigen Commit mehr erhalten November 2018. Auf der Produktionsseite läuft ein völlig anderer Code mit undokumentierten Parametern, die im Repo nicht enthalten sind:
session_key — Base64-kodiertes Token zur Exfiltration des View-Schlüssels
verification — sekundärer Abflusskanal
timestamp — Parameter zur Sitzungsverfolgung
data — zusätzlicher Nutzlastcontainer
Domain registriert über NameSilo im Jahr 2016 – im Voraus bezahlt über 2031. Fünfzehn Jahre Registrierung für ein „kostenloses Freiwilligenprojekt“.
Angriff Nr. 1: Exfiltration von View-Schlüsseln
Wenn Sie sich bei xmrwallet.com anmelden, wird Ihr privater Schlüssel Base64-kodiert und in eine session_key Token. Dieses Token wird dann zusammen mit jede einzelne API-Anfrage — mehr als 40 Mal in einer einzigen Sitzung.
// Beispiel zur Dekodierung: // Blob: a3f8c2... (Sitzungskennung) // Adresse: 4A1BxN... (deine öffentliche Monero-Adresse) // viewkey: IHR PRIVATER ANZEIGESCHLÜSSEL IM KLARTEXT
Netzwerk-Erfassungen von Firefox WebExtensions bestätigen, dass dieses Token übertragen wird 6 verschiedene API-Endpunkte insgesamt mehr als 40 POST-Anfragen pro Sitzung:
API-Endpunkt
Anfragen / Sitzung
Gibt den session_key preis
/api/getheightsync
12
Ja
/api/gettransactions
10
Ja
/api/getbalance
6
Ja
/api/getsubaddresses
4
Ja
/api/getoutputs
3
Ja
/api/support_login
1
Ja
Mehr als 40 Kopien Ihres privaten Schlüssels
Bei jeder einzelnen Anmeldesitzung wird Ihr privater Anmeldeschlüssel an den Server gesendet mindestens 36 Mal. Der Server benötigt für keine dieser Vorgänge Ihren Schlüssel – Kontostandsabfragen und Höhenabgleich sind öffentliche Blockchain-Abfragen. Es gibt absolut keinen legitimen Grund, Schlüsselmaterial zu übermitteln. Vollständiger Nachweis der Netzwerkprotokollierung: xmrwallet.com GitHub-Issue Nr. 36 – Beweise für die Exfiltration von Schlüsseln anzeigen.
Angriff Nr. 2: Transaktionsentführung
Durch den Diebstahl des Schlüssels kann der Angreifer ansehen Ihrer Geldbörse. Aber xmrwallet.com geht noch einen Schritt weiter – es stiehlt Ihr Guthaben in Echtzeit. Das entschlüsselte Produktions-JavaScript offenbart eine fünfstufige Angriffsabfolge:
// Schritt 1: Der Client erstellt eine gültige Transaktion cnUtil.Transaktion erstellen() → Rohtransaktion und Hash
// Schritt 2: Die Client-Transaktion wird auf NULL gesetzt Rohtransaktion und Hash.Der Rohwert ist 0;
// Schritt 3: Es werden nur Metadaten an den Server gesendet (keine echte Transaktion) Beitrag Die Rohtransaktion übermitteln. Roh: 0, Metadaten: {...} }
// Schritt 4: Der Server baut seine EIGENE Transaktion neu auf // unter Verwendung Ihrer Schlüssel und der Zieladresse
In Ihrer Wallet wird „Transaktion gesendet“ angezeigt. Ihr Geld geht bei der Adresse des Angreifers ein. Die Opfer sehen „Unbekannte Transaktions-ID“ wenn sie versuchen, dies über Block-Explorer zu überprüfen. Transaktionen, die intern als swept sind die gestohlenen.
Ihre Transaktion hat nie stattgefunden
raw_tx_and_hash.raw = 0 bedeutet, dass die vom Client generierte Transaktion verworfen wird. Der Server erstellt unter Verwendung Ihrer Schlüssel eine völlig neue Transaktion und sendet Ihre XMR an den Angreifer. Die angezeigte „Erfolgsmeldung“ ist eine Täuschung. Detaillierte Code-Analyse: xmrwallet.com GitHub-Issue Nr. 35 – Nachweis gegen Transaktionsentführung.
Versteckter Produktionscode
xmrwallet.com unterhält ein öffentliches GitHub-Repository, um seriös zu wirken. Das Repository dient jedoch nur als Ablenkungsmanöver. Es wurde seit November 2018. Auf der Produktionsseite läuft ein völlig anderer, verschleierter Code.
Öffentliches GitHub (Köder)
Letzter Commit: Nov. 2018
No session_key parameter
No verification param
No /support_login.html
Kein Google Tag Manager
Sauberer, überprüfbarer Code
Produktionsstandort (Real)
Aktuell aktualisiert 2024–2026
session_key mit Base64-Viewkey
verification Exfil-Kanal
/support_login.html Hintertür
GTM-Remote-JS-Injektion
Verschleierter, nicht überprüfbarer Code
Die Hintertür und die Remote-Code-Injektion
Der Produktionsstandort umfasst /support_login.html — ein versteckter Verwaltungsendpunkt, der im GitHub-Repository überhaupt nicht enthalten ist. In Kombination mit Google Tag Manager (GTM-container) Dank dieser Integration kann der Betreiber jederzeit aus der Ferne JavaScript in die Live-Website einschleusen und dort ändern – ohne die öffentliche Codebasis zu aktualisieren. Dabei handelt es sich um einen als Analyse getarnten Vektor zur Ausführung von Remote-Code.
Eine absolut sichere Infrastruktur
xmrwallet.com nutzt kein billiges Shared Hosting. Die Website läuft auf einer erstklassigen, absolut sicheren Infrastruktur, die speziell darauf ausgelegt ist, Sperrungsanträgen und Strafverfolgungsbehörden standzuhalten.
Hosting & Netzwerk-IOCs
Indikator
Wert
Domain
xmrwallet.com
Anmelden
NameSilo (2016–2031, 15-jährige Registrierung)
Webhosting-Anbieter
IQWEB FZ-LLC (ab 550 $/Monat)
IP-Adresse
186.2.165.49
Esel
AS59692
CDN / DDoS-Schutz
DDoS-Schutz
Webserver
Apache 2.4.58 (Ubuntu)
Backend
PHP 8.2.29
SSL-Zertifikat
Let's Encrypt (automatisch verlängert)
Tor-Spiegel
xmrwalletdatuxms.onion
Jährliche Infrastrukturkosten
8.000 $ – 15.000 $+
Tracking- und Analyse-IOCs
Tracker
Anfragen / Sitzung
Anmelden
Google Tag Manager
12
GTM-Container
Google Analytics (UA)
12
UA-116766241-1
Google Analytics 4
5
GA4-Stream
DoubleClick
1
Pixel zur Anzeigenverfolgung
DDoS-Guard-Cookies
—
__ddg8_, __ddg9_, __ddg10_, __ddg1_
8.000–15.000 $ pro Jahr für eine „kostenlose Freiwilligen-Geldbörse“
Eine seriöse kostenlose Wallet gibt nicht über 550 Dollar pro Monat für das „Bulletproof“-Hosting von IQWEB FZ-LLC hinter DDoS-Guard aus – eine Infrastruktur, die speziell darauf ausgelegt ist, Missbrauchsbeschwerden und Vorladungen von Strafverfolgungsbehörden standzuhalten. Sie registriert keine Domain für 15 Jahre. Sie nutzt kein Google-Analytics-Tracking auf einer „datenschutzorientierten“ Monero-Wallet. Diese Infrastruktur wurde für einen einzigen Zweck entwickelt: anhaltender Diebstahl in großem Umfang.
Anrufer identifiziert: Nathalie Roy
Open-Source-Recherchen lassen den Schluss zu, dass die Infrastruktur von xmrwallet.com direkt auf eine einzelne Person zurückzuführen ist.
Nathalie Roy wurde von der offiziellen r/Monero-Subreddit im Jahr 2018 zur Werbung für xmrwallet.com. Der letzte GitHub-Commit erfolgte im selben Jahr. Seit mehr als sechs Jahren ist der öffentlich zugängliche Code eingefroren, während die Produktionswebsite mit völlig anderem Code aktiv Gelder stiehlt. Die Domain ist bis 2031 bezahlt – der Betreiber wird so schnell nicht verschwinden.
Dokumentierte Opfer
Mindestens 15 öffentlich gemeldete Fälle über Gelddiebstahl auf Trustpilot, Sitejabber, Reddit und GitHub Issues. Echte Menschen. Echtes Geld. Weg.
15+
Öffentliche Berichte
590 XMR
Höchster Einzelbetrag (177.000 $)
0
Jahrelanger Diebstahl
2 Mio. $ – 15 Mio. $+
Geschätzter Gesamtbetrag
590 XMR (~177.000 $) — ein einzelner Diebstahl, der größte dokumentierte Fall
17,44 XMR — in der Blockchain anhand der Transaktions-ID dokumentiert
Über Nacht wurden 20 XMR gestohlen — Das Wallet wurde leergeräumt, während der Nutzer schlief
Mehrere Meldungen über „Unbekannte Transaktions-ID“ — das swept Signatur-Tag
GitHub-Issues Nr. 13 und höher wurden gelöscht — Der Betreiber löscht Opferberichte aus dem Repo
Gelöschte Beweise, keine Spenden-Wallet
Der Betreiber löscht aktiv Meldungen von Betroffenen aus den GitHub-Issues (alle Issues vor Nr. 13 sind verschwunden). Die Website gibt an, Spenden anzunehmen, aber Es wurde noch nie eine Adresse für eine Spenden-Wallet veröffentlicht. Warum sollte ein „Freiwilligenprojekt“, das jährlich 8.000 bis 15.000 Dollar ausgibt, Spenden ablehnen? Weil die Einnahmen aus Diebstahl stammen.
Chronologie der Ereignisse
Zeitleiste 2014–2024: xmrwallet.com – über 10.000 gestohlene Schlüssel – vom Start der Website über die ersten Opfer bis zur Identifizierung des Betreibers
2016
Domain registriert — xmrwallet.com
Registriert über NameSilo mit einer 15-jährige Registrierungsdauer (2016–2031). Stellt sich als kostenlose Open-Source-Web-Wallet für Monero vor.
Mai 2018
GitHub-Organisation erstellt
Die GitHub-Organisation „XMRWallet“ wurde am 2018-05-10 von nathroy (ID: 39167759). Öffentlicher Code, der als „Transparenz-Theater“ veröffentlicht wurde.
2018
Gesperrt & Code eingefroren
Betreiber von WiseSolution aus r/Monero gesperrt wegen Werbe-Spam. Letzter GitHub-Commit um diese Zeit. Berichte von Betroffenen werden nach und nach gelöscht (Issues #1–#12 sind verschwunden).
2018–2024
Sechs Jahre Schweigen
Das öffentliche Repository wurde eingefroren. Der Produktionscode weicht völlig davon ab und enthält verschleiertes JavaScript, undokumentierte Parameter sowie Endpunkte mit Hintertüren. Auf Trustpilot und Reddit häufen sich die Berichte von Betroffenen.
2025–2026
Untersuchung zu PhishDestroy
Die Analyse des Netzwerkverkehrs zeigt session_key Exfiltration. Die Entschleierung von JavaScript bestätigt raw_tx = 0 Transaktionsentführung. Auf GitHub Issues veröffentlichte Beweise #35 & #36.
Februar 2026
Bericht veröffentlicht – Domain weiterhin aktiv
Der vollständige technische Bericht wurde veröffentlicht. xmrwallet.com bleibt online. Die Domain wurde bezahlt über 2031. DDoS-Guard sorgt für Ausfallsicherheit.
Vollständige Belege und Quellenmaterialien
Jede Aussage in diesem Artikel stützt sich auf öffentlich überprüfbare Belege. Laden Sie die Berichte herunter. Überprüfen Sie den Code. Sehen Sie sich die Netzwerkaufzeichnungen selbst an.
Geben Sie niemals private Schlüssel in einer Web-Wallet ein. Punkt. Verwenden Sie geprüfte und auditierte Software, die lokal auf Ihrem Gerät läuft.
Desktop-Wallets
Münz-Benutzeroberfläche — Offizielle Wallet, mit vollem Funktionsumfang, Open Source, geprüft Feder-Geldbörse — Eine leichte, schnelle und datenschutzorientierte Desktop-Wallet
Mobile Geldbörsen
Geldbörse (Android) – Open Source mit Tor-Unterstützung Cake Wallet (iOS/Android) – Unterstützt mehrere Kryptowährungen, gut gepflegt
Die goldene Regel der Kryptowährungen
Geben Sie niemals Ihre Seed-Phrase, Ihre privaten Schlüssel oder Ihre View-Schlüssel auf jede Website. Seriöse Wallets laufen lokal – sie müssen Ihre Schlüssel niemals an einen Server senden. Wenn ein Web-Wallet nach Ihren privaten Schlüsseln fragt, handelt es sich um einen Betrugsversuch. Verwenden Sie für maximale Sicherheit ein Hardware-Wallet (Ledger, Trezor) mit offizieller Monero-Software.
Schützt die Gemeinschaft
xmrwallet.com stiehlt seit 10 Jahren Monero. Die Beweise sind öffentlich zugänglich. Der Betreiber ist identifiziert. Teilen Sie diese Untersuchung. Melden Sie die Domain. Helfen Sie uns, die Seite zu schließen.
Hinweis zur Transparenz. PhishDestroy ist ein nichtkommerzielles, von Freiwilligen getragenes Projekt. Unsere Untersuchungen spiegeln möglicherweise eine gewisse Voreingenommenheit gegenüber Betrugsinfrastrukturen und den Diensten wider, die diese ermöglichen. Wir empfehlen unseren Lesern, alle Informationen kritisch und unabhängig zu bewerten. Lesen Sie unsere vollständige Transparenzerklärung →
