Zum Hauptinhalt springen
Zurück zu den Nachrichten

Ermittlungen wegen Diebstahls einer Monero-Wallet

xmrwallet entlarvt: 10 Jahre gestohlene Schlüssel und manipulierte Transaktionen

Eingehende forensische Untersuchung einer Monero-Web-Wallet, die Ihren privaten Anzeigeschlüssel mittels Base64 in einen session_key Token, gibt es über mehr als 40 API-Anfragen pro Sitzung weiter und macht dann Ihre Transaktion mit raw_tx = 0 und baut sie neu auf, um Ihr Geld zu stehlen. Seit 2016 aktiv. Betreiber identifiziert.

Aktiv seit 2016 Über 40 Schlüssel-Leaks / Sitzung Durch DDoS-Guard geschützt
xmrwallet entlarvt
0
Tätigkeitsjahre
40+
Schlüssel-Leaks pro Sitzung
$2M-$15M+
Geschätzter Gesamtwert der gestohlenen Gegenstände
0
GitHub-Updates seit 2018

Die Fassade

xmrwallet.com präsentiert sich als kostenlose, Open-Source-Monero-Wallet, die auf der Client-Seite läuft. Keine Downloads. Keine Registrierung. In den Nutzungsbedingungen wird eine ganz konkrete Aussage getroffen:

„Alle kryptografischen Vorgänge finden in Ihrem Browser statt. Der Server hat keinerlei Zugriff auf Ihre privaten Schlüssel.“

— Nutzungsbedingungen von xmrwallet.com (nachweislich falsch)

Das ist eine Lüge. Unsere forensische Analyse – Netzwerk-Captures, JavaScript-Entverschleierung und Vergleich des Produktionscodes – beweist genau das Gegenteil. Jeder auf xmrwallet.com eingegebene Schlüssel wird gestohlen. Jede Transaktion kann abgefangen werden.

Produktion vs. GitHub: Völlige Diskrepanz

Die öffentliches GitHub-Repository hat seitdem keinen einzigen Commit mehr erhalten November 2018. Auf dem Produktionsserver läuft ein völlig anderer Code mit undokumentierten Parametern, die im Repo nicht enthalten sind:

  • session_key — Base64-kodiertes Token zur Exfiltration des View-Schlüssels
  • verification — sekundärer Exfiltrationskanal
  • timestamp — Parameter zur Sitzungsverfolgung
  • data — zusätzlicher Nutzlastcontainer

Domain registriert über NameSilo im Jahr 2016 – im Voraus bezahlt über 2031. Fünfzehn Jahre Anmeldung für ein „freies, unabhängiges Projekt“.

Angriff Nr. 1: Exfiltration von View-Schlüsseln

Wenn Sie sich bei xmrwallet.com anmelden, wird Ihr privater View-Schlüssel Base64-kodiert und in eine session_key Token. Dieses Token wird dann zusammen mit jede einzelne API-Anfrage — mehr als 40 Mal in einer einzigen Sitzung.

Die Struktur „session_key“

session_key = [encrypted_blob]:[base64_address]:[base64_private_viewkey]

// Decoded example:
// blob: a3f8c2... (session identifier)
// address: 4A1BxN... (your Monero public address)
// viewkey: IHR PRIVATER ANZEIGESCHLÜSSEL IM KLARTEXT

Netzwerkaufzeichnungen von Firefox WebExtension bestätigen, dass dieses Token übertragen wird 6 verschiedene API-Endpunkte insgesamt mehr als 40 POST-Anfragen pro Sitzung:

API-EndpunktAnfragen / SitzungGibt den session_key preis
/api/getheightsync12 Ja
/api/gettransactions10 Ja
/api/getbalance6 Ja
/api/getsubaddresses4 Ja
/api/getoutputs3 Ja
/api/support_login1 Ja

Über 40 Kopien Ihres privaten Schlüssels

Bei jeder einzelnen Anmeldesitzung wird Ihr privater Ansichtschlüssel an den Server gesendet mindestens 36 Mal. Der Server benötigt für keinen dieser Vorgänge Ihren Schlüssel – Kontostandsabfragen und Höhensynchronisierungen sind öffentliche Blockchain-Abfragen. Es gibt absolut keinen legitimen Grund, Schlüsselmaterial zu übermitteln. Vollständige Netzwerk-Aufzeichnung als Nachweis: xmrwallet.com GitHub-Issue Nr. 36 – Beweise für die Exfiltration von Schlüsseln anzeigen.

Angriff Nr. 2: Transaktionsentführung

Durch den Diebstahl des View-Schlüssels kann der Angreifer anschauen Ihr Wallet. Aber xmrwallet.com geht noch einen Schritt weiter – es stiehlt Ihr Guthaben in Echtzeit. Das entschlüsselte Produktions-JavaScript offenbart eine fünfstufige Angriffsabfolge:

// Step 1: Client builds a legitimate transaction
cnUtil.create_transaction() → raw_tx_and_hash

// Step 2: Client transaction is NULLIFIED
raw_tx_and_hash.raw = 0;

// Step 3: Only metadata sent to server (no real tx)
BEITRAG /api/submit_raw_tx { raw: 0, Metadaten: {...} }

// Step 4: Server rebuilds its OWN transaction
// using your keys + its destination address

// Step 5: Stolen transactions tagged internally
falls(Typ == „gefegt“) → vom Angreifer umgeleitete Transaktion

In Ihrer Wallet wird „Transaktion gesendet“ angezeigt. Ihr Guthaben geht bei der Adresse des Angreifers ein. Die Opfer sehen „Unbekannte Transaktions-ID“ wenn sie versuchen, dies über Block-Explorer zu überprüfen. Transaktionen, die intern als swept sind die gestohlenen.

Ihre Transaktion hat nie stattgefunden

raw_tx_and_hash.raw = 0 Das bedeutet, dass die vom Client generierte Transaktion verworfen wird. Der Server erstellt unter Verwendung Ihrer Schlüssel eine völlig neue Transaktion und sendet Ihre XMR an den Angreifer. Die angezeigte „Erfolgsmeldung“ ist eine Täuschung. Detaillierte Code-Analyse: xmrwallet.com GitHub-Issue Nr. 35 – Nachweis gegen Transaktionsentführung.

Versteckter Produktionscode

xmrwallet.com unterhält ein öffentliches GitHub-Repository, um seriös zu wirken. Das Repository ist jedoch nur ein Ablenkungsmanöver. Es wurde seit November 2018. Auf der Produktionsumgebung läuft ein völlig anderer, verschleierter Code.

Öffentliches GitHub (Köder)

  • Letzter Commit: Nov. 2018
  • Nein session_key Parameter
  • Nein verification param
  • Nein /support_login.html
  • Kein Google Tag Manager
  • Sauberer, überprüfbarer Code

Produktionsstandort (Real)

  • Wird aktiv aktualisiert: 2024–2026
  • session_key mit Base64-Viewkey
  • verification Exfil-Kanal
  • /support_login.html Hintertür
  • GTM-Remote-JS-Injektion
  • Verschleierter, nicht überprüfbarer Code

Die Hintertür und die Remote-Code-Injektion

Der Produktionsstandort umfasst /support_login.html — ein versteckter Verwaltungsendpunkt, der im GitHub-Repository überhaupt nicht enthalten ist. In Kombination mit Google Tag Manager (GTM-Container) Durch diese Integration kann der Angreifer jederzeit aus der Ferne JavaScript in die Live-Website einschleusen und dort ändern – ohne die öffentliche Codebasis zu aktualisieren. Dabei handelt es sich um einen als Analysetool getarnten Vektor zur Remote-Codeausführung.

Eine absolut sichere Infrastruktur

xmrwallet.com nutzt kein billiges Shared Hosting. Die Website läuft auf einer erstklassigen, absolut sicheren Infrastruktur, die speziell darauf ausgelegt ist, Anfragen zur Abschaltung und Maßnahmen der Strafverfolgungsbehörden standzuhalten.

Hosting und Netzwerk-IOCs

IndikatorWert
Domänexmrwallet.com
RegistrarNameSilo (2016 – 2031, 15-jährige Registrierung)
Webhosting-AnbieterIQWEB FZ-LLC (ab 550 $/Monat)
IP-Adresse186.2.165.49
ASNAS59692
CDN / DDoS-SchutzDDoS-Guard
WebserverApache 2.4.58 (Ubuntu)
BackendPHP 8.2.29
SSL-ZertifikatLet's Encrypt (automatisch verlängert)
Tor-Mirrorxmrwalletdatuxms.onion
Jährliche Infrastrukturkosten$8,000 – $15,000+

IOCs für Tracking und Analytik

TrackerAnfragen / SitzungBezeichner
Google Tag Manager12GTM-Container
Google Analytics (UA)12UA-116766241-1
Google Analytics 45GA4-Stream
DoubleClick1Pixel zur Anzeigenverfolgung
DDoS-Guard-Cookies __ddg8_, __ddg9_, __ddg10_, __ddg1_

$8K-$15K/Year for a "Free Volunteer Wallet"

Eine seriöse kostenlose Wallet gibt nicht mehr als 550 $ pro Monat für das „Bulletproof“-Hosting von IQWEB FZ-LLC hinter DDoS-Guard aus – eine Infrastruktur, die speziell darauf ausgelegt ist, Missbrauchsbeschwerden und Vorladungen von Strafverfolgungsbehörden zu widerstehen. Sie registriert keine Domain für 15 Jahre. Es führt kein Google-Analytics-Tracking auf einer „datenschutzorientierten“ Monero-Wallet durch. Diese Infrastruktur wurde für einen einzigen Zweck geschaffen: anhaltender Diebstahl in großem Umfang.

Identifizierte Mitarbeiterin: Nathalie Roy

Open-Source-Recherchen lassen den Schluss zu, dass die Infrastruktur von xmrwallet.com direkt auf eine einzige Person zurückzuführen ist.

FeldDetail
NameNathalie Roy
StandortKanada
GitHub-Benutzernamenathroy (ID: 39167759)
GitHub-Organisationxmrwallet (erstellt am 10.05.2018)
E-Mail (Admin)admin@xmrwallet.com
E-Mail (privat)royn5094@protonmail.com
Redditu/WiseSolution (aus r/Monero gesperrt)
Twitter@xmrwalletcom
Mailserver (MX)mail.privateemail.com

Gesperrt, entlarvt, aber immer noch aktiv

Nathalie Roy wurde von der offiziellen Subreddit „r/Monero“ im Jahr 2018 zur Werbung für xmrwallet.com. Der letzte GitHub-Commit erfolgte im selben Jahr. Seit mehr als sechs Jahren ist der öffentlich zugängliche Code eingefroren, während die Produktionswebsite mit völlig anderem Code aktiv Gelder stiehlt. Die Domain ist bis 2031 bezahlt – der Betreiber wird so schnell nicht verschwinden.

Dokumentierte Opfer

Zumindest 15 öffentlich gemeldete Fälle über Gelddiebstahl auf Trustpilot, Sitejabber, Reddit und GitHub Issues. Echte Menschen. Echtes Geld. Weg.

15+
Öffentliche Berichte
590 XMR
Größter Einzelbetrag (177.000 $)
0
Jahrelanger Diebstahl
$2M-$15M+
Geschätzter Gesamtbetrag
  • 590 XMR (~177.000 $) — einzelner Diebstahl, größter dokumentierter Fall
  • 17,44 XMR — in der Blockchain mit der Transaktions-ID dokumentiert
  • Über Nacht wurden 20 XMR gestohlen — Das Wallet wurde leergeräumt, während der Nutzer schlief
  • Mehrere Meldungen über „Unbekannte Transaktions-ID“ — das swept Tag-Signatur
  • GitHub-Issues Nr. 13 und höher wurden gelöscht — Der Betreiber löscht Opferberichte aus dem Repo

Gelöschte Beweise, keine Spenden-Wallet

Der Betreiber löscht aktiv Meldungen von Betroffenen aus den GitHub-Issues (alle Issues vor Nr. 13 sind verschwunden). Die Website gibt an, Spenden anzunehmen, aber Es wurde noch nie eine Adresse für eine Spenden-Wallet veröffentlicht.. Warum sollte ein „unabhängiges Projekt“, das jährlich 8.000 bis 15.000 Dollar ausgibt, Spenden ablehnen? Weil die Einnahmen aus Diebstahl stammen.

Chronologie der Ereignisse

Zeitleiste 2014–2024: xmrwallet.com – über 10.000 gestohlene Schlüssel – vom Start der Website über die ersten Opfer bis zur Identifizierung des Betreibers
Zeitleiste 2014–2024: xmrwallet.com – über 10.000 gestohlene Schlüssel – vom Start der Website über die ersten Opfer bis zur Identifizierung des Betreibers
2016

Domain registriert — xmrwallet.com

Registriert über NameSilo mit einer 15-jährige Registrierungsdauer (2016–2031). Wird als kostenlose Open-Source-Monero-Web-Wallet angeboten.

Mai 2018

GitHub-Organisation erstellt

Die GitHub-Organisation „xmrwallet“ wurde am 2018-05-10 von nathroy (ID: 39167759). Öffentlicher Code, der als „Transparenz-Theater“ veröffentlicht wurde.

2018

Gesperrt & Code eingefroren

Betreiber u/WiseSolution aus r/Monero gesperrt wegen Werbe-Spam. Letzter GitHub-Commit etwa zu dieser Zeit. Die Issue-Meldungen der Betroffenen werden nach und nach gelöscht (Issues #1–#12 sind verschwunden).

2018 – 2024

6 Jahre Schweigen

Das öffentliche Repository wurde eingefroren. Der Produktionscode weicht vollständig ab und enthält verschleiertes JavaScript, undokumentierte Parameter sowie Endpunkte mit Hintertüren. Auf Trustpilot und Reddit häufen sich die Berichte von Betroffenen.

2025 – 2026

Untersuchung im Fall „PhishDestroy“

Die Analyse des Netzwerkverkehrs zeigt, dass session_key Exfiltration. Die Entschleierung des JavaScript-Codes bestätigt dies. raw_tx = 0 Transaktionsentführung. Auf GitHub Issues veröffentlichte Belege #35 & #36.

Februar 2026

Bericht veröffentlicht – Domain weiterhin aktiv

Der vollständige technische Bericht wurde veröffentlicht. xmrwallet.com ist weiterhin online. Die Domain wurde bezahlt über 2031. DDoS-Guard sorgt für Resistenz bei Abschaltungen.

Vollständige Belege und Quellenmaterialien

Jede Aussage in diesem Artikel wird durch öffentlich überprüfbare Belege gestützt. Laden Sie die Berichte herunter. Überprüfen Sie den Code. Sehen Sie sich die Netzwerkaufzeichnungen selbst an.

Sichere Alternativen

Geben Sie niemals private Schlüssel in einer Web-Wallet ein. Punkt. Verwenden Sie geprüfte und auditierte Software, die lokal auf Ihrem Gerät läuft.

Desktop-Wallets

Monero-GUI — Offizielle Wallet, mit vollem Funktionsumfang, Open Source, geprüft
Feder-Geldbörse — Eine leichte, schnelle und datenschutzorientierte Desktop-Wallet

Mobile Geldbörsen

Monerujo (Android) — Open Source mit Tor-Unterstützung
Cake Wallet (iOS/Android) — Unterstützt mehrere Währungen, gut gepflegt

Die goldene Regel der Kryptowährungen

Geben Sie niemals Ihre Seed-Phrase, Ihre privaten Schlüssel oder Ihre View-Schlüssel auf jede Website. Seriöse Wallets laufen lokal – sie müssen Ihre Schlüssel niemals an einen Server senden. Wenn ein Web-Wallet nach Ihren privaten Schlüsseln fragt, handelt es sich um einen Betrug. Verwenden Sie für maximale Sicherheit ein Hardware-Wallet (Ledger, Trezor) mit offizieller Monero-Software.

Schützt die Gemeinschaft

xmrwallet stiehlt seit 10 Jahren Monero. Die Beweise sind öffentlich zugänglich. Der Betreiber ist identifiziert. Teilen Sie diese Untersuchung. Melden Sie die Domain. Helfen Sie uns, die Seite zu schließen.

Verwandte Ermittlungen

Das Ende von xmrwallet.com: NameSilo hat gelogen, um einen Krypto-Dieb zu schützen, der 2 Millionen Dollar erbeutet hatte
UNTERSUCHUNG
Das Ende von xmrwallet.com: NameSilo hat gelogen, um einen Krypto-Dieb zu schützen, der 2 Millionen Dollar erbeutet hatte
Trust Wallet-Phishing-Panel: 239.000 Dollar gestohlen, 6 Betreiber
GRÜNDLICHE UNTERSUCHUNG
Trust Wallet-Phishing-Panel: 239.000 Dollar gestohlen, 6 Betreiber
Crypto Drainer Toolkit: Wiederverkäufer von „Angel Drainer“ entlarvt
GRÜNDLICHE UNTERSUCHUNG
Crypto Drainer Toolkit: Wiederverkäufer von „Angel Drainer“ entlarvt

Diesen Artikel teilen

X Telegram Reddit
Hinweis zur Transparenz. PhishDestroy ist ein nichtkommerzielles, unabhängiges Projekt. Unsere Recherchen spiegeln möglicherweise eine gewisse Voreingenommenheit gegenüber Betrugsinfrastrukturen und den Diensten wider, die diese ermöglichen. Wir empfehlen den Lesern, alle Inhalte kritisch und eigenständig zu bewerten. Lesen Sie unsere vollständige Transparenzerklärung →