Eingehende forensische Untersuchung einer Monero-Web-Wallet, die Ihren privaten Anzeigeschlüssel mittels Base64 in einen session_key
Token, gibt es über mehr als 40 API-Anfragen pro Sitzung weiter und macht dann
Ihre Transaktion mit
raw_tx = 0
und baut sie neu auf, um Ihr Geld zu stehlen. Seit 2016 aktiv. Betreiber
identifiziert.
~9 Minuten Lesezeit·
Aktualisiert März 2026·
PhishDestroy Intelligence
Aktiv seit 2016Über 40 Schlüssel-Leaks / SitzungDurch DDoS-Guard geschützt
0
Tätigkeitsjahre
40+
Schlüssel-Leaks pro Sitzung
$2M-$15M+
Geschätzter Gesamtwert der gestohlenen Gegenstände
0
GitHub-Updates seit 2018
Die Fassade
xmrwallet.com präsentiert sich als kostenlose,
Open-Source-Monero-Wallet, die auf der Client-Seite läuft. Keine Downloads. Keine
Registrierung. In den Nutzungsbedingungen wird eine ganz konkrete Aussage getroffen:
„Alle kryptografischen Vorgänge finden in Ihrem Browser statt. Der Server hat
keinerlei Zugriff auf Ihre privaten Schlüssel.“
— Nutzungsbedingungen von xmrwallet.com (nachweislich falsch)
Das ist eine Lüge. Unsere forensische Analyse – Netzwerk-Captures,
JavaScript-Entverschleierung und Vergleich des Produktionscodes –
beweist genau das Gegenteil. Jeder auf xmrwallet.com eingegebene Schlüssel wird
gestohlen. Jede Transaktion kann abgefangen werden.
Produktion vs. GitHub:
Völlige Diskrepanz
Die
öffentliches GitHub-Repository
hat seitdem keinen einzigen Commit mehr erhalten
November 2018. Auf dem Produktionsserver läuft
ein völlig anderer Code mit undokumentierten Parametern, die im
Repo nicht enthalten sind:
session_key — Base64-kodiertes Token zur Exfiltration des View-Schlüssels
verification — sekundärer Exfiltrationskanal
timestamp — Parameter zur Sitzungsverfolgung
data — zusätzlicher Nutzlastcontainer
Domain registriert über NameSilo im Jahr 2016 – im Voraus bezahlt über 2031. Fünfzehn Jahre Anmeldung für ein „freies, unabhängiges Projekt“.
Angriff Nr. 1: Exfiltration von View-Schlüsseln
Wenn Sie sich bei xmrwallet.com anmelden, wird Ihr privater View-Schlüssel Base64-kodiert und in eine session_key Token. Dieses Token wird dann zusammen mit jede einzelne API-Anfrage — mehr als 40 Mal in einer einzigen Sitzung.
// Decoded example: // blob: a3f8c2... (session identifier) // address: 4A1BxN... (your Monero public address) // viewkey: IHR PRIVATER ANZEIGESCHLÜSSEL IM KLARTEXT
Netzwerkaufzeichnungen von Firefox WebExtension bestätigen, dass dieses Token übertragen wird 6 verschiedene API-Endpunkte insgesamt mehr als 40 POST-Anfragen pro Sitzung:
API-Endpunkt
Anfragen / Sitzung
Gibt den session_key preis
/api/getheightsync
12
Ja
/api/gettransactions
10
Ja
/api/getbalance
6
Ja
/api/getsubaddresses
4
Ja
/api/getoutputs
3
Ja
/api/support_login
1
Ja
Über 40 Kopien Ihres privaten Schlüssels
Bei jeder einzelnen Anmeldesitzung wird Ihr privater Ansichtschlüssel an den Server gesendet mindestens 36 Mal. Der Server benötigt für keinen dieser Vorgänge Ihren Schlüssel – Kontostandsabfragen und Höhensynchronisierungen sind öffentliche Blockchain-Abfragen. Es gibt absolut keinen legitimen Grund, Schlüsselmaterial zu übermitteln. Vollständige Netzwerk-Aufzeichnung als Nachweis: xmrwallet.com GitHub-Issue Nr. 36 – Beweise für die Exfiltration von Schlüsseln anzeigen.
Angriff Nr. 2: Transaktionsentführung
Durch den Diebstahl des View-Schlüssels kann der Angreifer anschauen Ihr Wallet. Aber xmrwallet.com geht noch einen Schritt weiter – es stiehlt Ihr Guthaben in Echtzeit. Das entschlüsselte Produktions-JavaScript offenbart eine fünfstufige Angriffsabfolge:
In Ihrer Wallet wird „Transaktion gesendet“ angezeigt. Ihr Guthaben geht bei der Adresse des Angreifers ein. Die Opfer sehen „Unbekannte Transaktions-ID“ wenn sie versuchen, dies über Block-Explorer zu überprüfen. Transaktionen, die intern als swept sind die gestohlenen.
Ihre Transaktion hat nie stattgefunden
raw_tx_and_hash.raw = 0 Das bedeutet, dass die vom Client generierte Transaktion verworfen wird. Der Server erstellt unter Verwendung Ihrer Schlüssel eine völlig neue Transaktion und sendet Ihre XMR an den Angreifer. Die angezeigte „Erfolgsmeldung“ ist eine Täuschung. Detaillierte Code-Analyse: xmrwallet.com GitHub-Issue Nr. 35 – Nachweis gegen Transaktionsentführung.
Versteckter Produktionscode
xmrwallet.com unterhält ein öffentliches GitHub-Repository, um seriös zu wirken. Das Repository ist jedoch nur ein Ablenkungsmanöver. Es wurde seit November 2018. Auf der Produktionsumgebung läuft ein völlig anderer, verschleierter Code.
Öffentliches GitHub (Köder)
Letzter Commit: Nov. 2018
Nein session_key Parameter
Nein verification param
Nein /support_login.html
Kein Google Tag Manager
Sauberer, überprüfbarer Code
Produktionsstandort (Real)
Wird aktiv aktualisiert: 2024–2026
session_key mit Base64-Viewkey
verification Exfil-Kanal
/support_login.html Hintertür
GTM-Remote-JS-Injektion
Verschleierter, nicht überprüfbarer Code
Die Hintertür und die Remote-Code-Injektion
Der Produktionsstandort umfasst /support_login.html — ein versteckter Verwaltungsendpunkt, der im GitHub-Repository überhaupt nicht enthalten ist. In Kombination mit Google Tag Manager (GTM-Container) Durch diese Integration kann der Angreifer jederzeit aus der Ferne JavaScript in die Live-Website einschleusen und dort ändern – ohne die öffentliche Codebasis zu aktualisieren. Dabei handelt es sich um einen als Analysetool getarnten Vektor zur Remote-Codeausführung.
Eine absolut sichere Infrastruktur
xmrwallet.com nutzt kein billiges Shared Hosting. Die Website läuft auf einer erstklassigen, absolut sicheren Infrastruktur, die speziell darauf ausgelegt ist, Anfragen zur Abschaltung und Maßnahmen der Strafverfolgungsbehörden standzuhalten.
Hosting und Netzwerk-IOCs
Indikator
Wert
Domäne
xmrwallet.com
Registrar
NameSilo (2016 – 2031, 15-jährige Registrierung)
Webhosting-Anbieter
IQWEB FZ-LLC (ab 550 $/Monat)
IP-Adresse
186.2.165.49
ASN
AS59692
CDN / DDoS-Schutz
DDoS-Guard
Webserver
Apache 2.4.58 (Ubuntu)
Backend
PHP 8.2.29
SSL-Zertifikat
Let's Encrypt (automatisch verlängert)
Tor-Mirror
xmrwalletdatuxms.onion
Jährliche Infrastrukturkosten
$8,000 – $15,000+
IOCs für Tracking und Analytik
Tracker
Anfragen / Sitzung
Bezeichner
Google Tag Manager
12
GTM-Container
Google Analytics (UA)
12
UA-116766241-1
Google Analytics 4
5
GA4-Stream
DoubleClick
1
Pixel zur Anzeigenverfolgung
DDoS-Guard-Cookies
—
__ddg8_, __ddg9_, __ddg10_, __ddg1_
$8K-$15K/Year for a "Free Volunteer Wallet"
Eine seriöse kostenlose Wallet gibt nicht mehr als 550 $ pro Monat für das „Bulletproof“-Hosting von IQWEB FZ-LLC hinter DDoS-Guard aus – eine Infrastruktur, die speziell darauf ausgelegt ist, Missbrauchsbeschwerden und Vorladungen von Strafverfolgungsbehörden zu widerstehen. Sie registriert keine Domain für 15 Jahre. Es führt kein Google-Analytics-Tracking auf einer „datenschutzorientierten“ Monero-Wallet durch. Diese Infrastruktur wurde für einen einzigen Zweck geschaffen: anhaltender Diebstahl in großem Umfang.
Identifizierte Mitarbeiterin: Nathalie Roy
Open-Source-Recherchen lassen den Schluss zu, dass die Infrastruktur von xmrwallet.com direkt auf eine einzige Person zurückzuführen ist.
Nathalie Roy wurde von der offiziellen Subreddit „r/Monero“ im Jahr 2018 zur Werbung für xmrwallet.com. Der letzte GitHub-Commit erfolgte im selben Jahr. Seit mehr als sechs Jahren ist der öffentlich zugängliche Code eingefroren, während die Produktionswebsite mit völlig anderem Code aktiv Gelder stiehlt. Die Domain ist bis 2031 bezahlt – der Betreiber wird so schnell nicht verschwinden.
Dokumentierte Opfer
Zumindest 15 öffentlich gemeldete Fälle über Gelddiebstahl auf Trustpilot, Sitejabber, Reddit und GitHub Issues. Echte Menschen. Echtes Geld. Weg.
15+
Öffentliche Berichte
590 XMR
Größter Einzelbetrag (177.000 $)
0
Jahrelanger Diebstahl
$2M-$15M+
Geschätzter Gesamtbetrag
590 XMR (~177.000 $) — einzelner Diebstahl, größter dokumentierter Fall
17,44 XMR — in der Blockchain mit der Transaktions-ID dokumentiert
Über Nacht wurden 20 XMR gestohlen — Das Wallet wurde leergeräumt, während der Nutzer schlief
Mehrere Meldungen über „Unbekannte Transaktions-ID“ — das swept Tag-Signatur
GitHub-Issues Nr. 13 und höher wurden gelöscht — Der Betreiber löscht Opferberichte aus dem Repo
Gelöschte Beweise, keine Spenden-Wallet
Der Betreiber löscht aktiv Meldungen von Betroffenen aus den GitHub-Issues (alle Issues vor Nr. 13 sind verschwunden). Die Website gibt an, Spenden anzunehmen, aber Es wurde noch nie eine Adresse für eine Spenden-Wallet veröffentlicht.. Warum sollte ein „unabhängiges Projekt“, das jährlich 8.000 bis 15.000 Dollar ausgibt, Spenden ablehnen? Weil die Einnahmen aus Diebstahl stammen.
Chronologie der Ereignisse
Zeitleiste 2014–2024: xmrwallet.com – über 10.000 gestohlene Schlüssel – vom Start der Website über die ersten Opfer bis zur Identifizierung des Betreibers
2016
Domain registriert — xmrwallet.com
Registriert über NameSilo mit einer 15-jährige Registrierungsdauer (2016–2031). Wird als kostenlose Open-Source-Monero-Web-Wallet angeboten.
Mai 2018
GitHub-Organisation erstellt
Die GitHub-Organisation „xmrwallet“ wurde am 2018-05-10 von nathroy (ID: 39167759). Öffentlicher Code, der als „Transparenz-Theater“ veröffentlicht wurde.
2018
Gesperrt & Code eingefroren
Betreiber u/WiseSolution aus r/Monero gesperrt wegen Werbe-Spam. Letzter GitHub-Commit etwa zu dieser Zeit. Die Issue-Meldungen der Betroffenen werden nach und nach gelöscht (Issues #1–#12 sind verschwunden).
2018 – 2024
6 Jahre Schweigen
Das öffentliche Repository wurde eingefroren. Der Produktionscode weicht vollständig ab und enthält verschleiertes JavaScript, undokumentierte Parameter sowie Endpunkte mit Hintertüren. Auf Trustpilot und Reddit häufen sich die Berichte von Betroffenen.
2025 – 2026
Untersuchung im Fall „PhishDestroy“
Die Analyse des Netzwerkverkehrs zeigt, dass session_key Exfiltration. Die Entschleierung des JavaScript-Codes bestätigt dies. raw_tx = 0 Transaktionsentführung. Auf GitHub Issues veröffentlichte Belege #35 & #36.
Februar 2026
Bericht veröffentlicht – Domain weiterhin aktiv
Der vollständige technische Bericht wurde veröffentlicht. xmrwallet.com ist weiterhin online. Die Domain wurde bezahlt über 2031. DDoS-Guard sorgt für Resistenz bei Abschaltungen.
Vollständige Belege und Quellenmaterialien
Jede Aussage in diesem Artikel wird durch öffentlich überprüfbare Belege gestützt. Laden Sie die Berichte herunter. Überprüfen Sie den Code. Sehen Sie sich die Netzwerkaufzeichnungen selbst an.
Geben Sie niemals private Schlüssel in einer Web-Wallet ein. Punkt. Verwenden Sie geprüfte und auditierte Software, die lokal auf Ihrem Gerät läuft.
Desktop-Wallets
Monero-GUI — Offizielle Wallet, mit vollem Funktionsumfang, Open Source, geprüft Feder-Geldbörse — Eine leichte, schnelle und datenschutzorientierte Desktop-Wallet
Mobile Geldbörsen
Monerujo (Android) — Open Source mit Tor-Unterstützung Cake Wallet (iOS/Android) — Unterstützt mehrere Währungen, gut gepflegt
Die goldene Regel der Kryptowährungen
Geben Sie niemals Ihre Seed-Phrase, Ihre privaten Schlüssel oder Ihre View-Schlüssel auf jede Website. Seriöse Wallets laufen lokal – sie müssen Ihre Schlüssel niemals an einen Server senden. Wenn ein Web-Wallet nach Ihren privaten Schlüsseln fragt, handelt es sich um einen Betrug. Verwenden Sie für maximale Sicherheit ein Hardware-Wallet (Ledger, Trezor) mit offizieller Monero-Software.
Schützt die Gemeinschaft
xmrwallet stiehlt seit 10 Jahren Monero. Die Beweise sind öffentlich zugänglich. Der Betreiber ist identifiziert. Teilen Sie diese Untersuchung. Melden Sie die Domain. Helfen Sie uns, die Seite zu schließen.
Hinweis zur Transparenz. PhishDestroy ist ein nichtkommerzielles, unabhängiges Projekt. Unsere Recherchen spiegeln möglicherweise eine gewisse Voreingenommenheit gegenüber Betrugsinfrastrukturen und den Diensten wider, die diese ermöglichen. Wir empfehlen den Lesern, alle Inhalte kritisch und eigenständig zu bewerten. Lesen Sie unsere vollständige Transparenzerklärung →