Is xmrwallet.com safe to use?

No. xmrwallet.com has been found to secretly exfiltrate private view keys via Base64-encoded session tokens across 40+ API requests per session, and hijack transactions by setting raw_tx_and_hash.raw = 0. Estimated losses: $2M-$15M+ since 2016.

How does xmrwallet.com steal funds?

Two attack vectors: (1) Private view keys are Base64-encoded into session_key tokens and leaked across 6 API endpoints (getheightsync, gettransactions, getbalance, getsubaddresses, getoutputs, support_login) 40+ times per session. (2) Client transactions are nullified (raw_tx = 0) and the server rebuilds transactions redirecting funds to attacker wallets.

What are safe alternatives to xmrwallet.com?

Safe Monero wallet alternatives include: Monero GUI (official desktop wallet), Feather Wallet (lightweight desktop), Monerujo (Android), Cake Wallet (iOS/Android), and hardware wallets like Ledger or Trezor with official Monero software. Never enter private keys on any web wallet.

Who operates xmrwallet.com?

OSINT links xmrwallet.com to Nathalie Roy, a Canada-based developer operating under GitHub username nathroy (ID: 39167759). The XMRWallet GitHub organization was created 2018-05-10. Associated accounts include Reddit u/WiseSolution (banned from r/Monero) and Twitter @xmrwalletcom.

Volver a las noticias

Investigación sobre el robo de una cartera de Monero

xmrwallet.com al descubierto: 10 años de claves robadas y transacciones secuestradas

Investigación forense en profundidad de un monedero web de Monero que codifica en Base64 tu clave privada de visualización en un session_key token, lo filtra a través de más de 40 solicitudes API por sesión y, a continuación, anula tu transacción con raw_tx = 0 y lo reconstruye para robarte el dinero. Activo desde 2016. Se ha identificado al operador.

~9 min de lectura· Actualizado Marzo de 2026· PhishDestroy Intelligence

Activo desde 2016 Más de 40 filtraciones de claves por sesión Protegido por DDoS-Guard

Años en activo

Más de 40

Fugas de claves por sesión

Entre 2 y más de 15 millones de dólares

Total estimado de objetos robados

Novedades de GitHub desde 2018

La fachada

xmrwallet.com Se presenta como un monedero de Monero gratuito, de código abierto y que funciona en el navegador. Sin descargas. Sin registro. Sus condiciones de uso incluyen una afirmación muy concreta:

«Todas las operaciones criptográficas se realizan en tu navegador. El servidor no tiene capacidad para acceder a tus claves privadas».

— Condiciones de uso de xmrwallet.com (demostrablemente falsas)

Eso es mentira. Nuestro análisis forense —capturas de red, desofuscación de JavaScript y comparación del código de producción— demuestra exactamente lo contrario. Todas las claves introducidas en xmrwallet.com son robadas. Todas las transacciones pueden ser secuestradas.

Producción frente a GitHub: divergencia total

El repositorio público de GitHub no ha recibido ni una sola actualización desde Noviembre de 2018. El entorno de producción ejecuta un código totalmente diferente, con parámetros no documentados que no figuran en el repositorio:

session_key — Token de exfiltración de la clave de vista codificado en Base64
verification — canal de exfiltración secundario
timestamp — parámetro de seguimiento de sesión
data — contenedor de carga útil adicional

Dominio registrado a través de NameSilo en 2016 — pagado por adelantado a través de 2031. Quince años de inscripción en un «proyecto de voluntariado gratuito».

Ataque n.º 1: Sustracción de claves de visualización

Cuando inicias sesión en xmrwallet.com, tu clave privada se codifica en Base64 y se integra en un session_key token. A continuación, este token se transmite al servidor con cada una de las solicitudes de API — Más de 40 veces en una sola sesión.

La estructura `session_key`

Clave de sesión = [blob_cifrado]:[base64_address]:[base64_private_viewkey]

// Ejemplo descodificado:
// blob: a3f8c2... (identificador de sesión)
// dirección: 4A1BxN... (tu dirección pública de Monero)
// clave de vista: TU CLAVE DE VISUALIZACIÓN PRIVADA EN TEXTO SIN CODIFICAR

Las capturas de red de Firefox WebExtension confirman que este token se transmite 6 puntos de conexión de la API distintos con un total de más de 40 solicitudes POST por sesión:

Punto final de la API	Solicitudes / Sesión	Filtración de la clave de sesión
`/api/getheightsync`	12	Sí
`/api/gettransactions`	10	Sí
`/api/getbalance`	6	Sí
`/api/getsubaddresses`	4	Sí
`/api/getoutputs`	3	Sí
`/api/support_login`	1	Sí

Más de 40 copias de tu clave privada

Una sola sesión de inicio de sesión envía tu clave privada de visualización al servidor al menos 36 veces. El servidor no necesita tu clave para ninguna de estas operaciones: las comprobaciones de saldo y las sincronizaciones de altura son consultas públicas en la cadena de bloques. No hay ningún motivo legítimo para transmitir material de clave. Pruebas de captura completa de la red: xmrwallet.com Incidencia de GitHub n.º 36 — Ver pruebas de la filtración de claves.

Ataque n.º 2: secuestro de transacciones

El robo de claves de View permite al atacante ver tu monedero. Pero xmrwallet.com va más allá: te roba tus fondos en tiempo real. El código JavaScript de producción desofuscado revela una secuencia de ataque en cinco pasos:

// Paso 1: El cliente crea una transacción válida
cnUtil.crear_transacción() → transacción sin procesar y hash

// Paso 2: La transacción del cliente se anula
transacción sin procesar y hash.El valor sin procesar es cero;

// Paso 3: Solo se envían metadatos al servidor (sin transacción real)
Publicar Envía la transacción sin procesar. Sin procesar: 0, metadatos: {...} }

// Paso 4: El servidor vuelve a crear su PROPIA transacción
// utilizando tus claves y la dirección de destino

// Paso 5: Transacciones robadas etiquetadas internamente
if(tipo == «barrido») → transacción redirigida por el atacante

Tu monedero indica «transacción enviada». Tus fondos llegan a la dirección del atacante. Las víctimas ven «ID de transacción desconocido» cuando intentan verificarlas en los exploradores de bloques. Las transacciones etiquetadas internamente como swept son los que han sido robados.

Tu transacción nunca existió

raw_tx_and_hash.raw = 0 significa que la transacción generada por el cliente se descarta. El servidor crea una transacción completamente nueva utilizando tus claves y envía tus XMR al atacante. El mensaje de «éxito» que ves es falso. Análisis detallado del código: xmrwallet.com Incidencia de GitHub n.º 35 — Prueba de secuestro de transacciones.

Código de producción oculto

xmrwallet.com mantiene un repositorio público en GitHub para parecer legítimo. El repositorio es un señuelo. No se ha actualizado desde Noviembre de 2018. El entorno de producción ejecuta un código totalmente diferente y ofuscado.

GitHub público (señuelo)

Última actualización: Noviembre de 2018
No session_key parámetros
No verification param
No /support_login.html
No hay Google Tag Manager
Código limpio y auditable

Centro de producción (real)

Actualizado periódicamente entre 2024 y 2026
session_key con clave de visualización Base64
verification canal de exfiltración
/support_login.html puerta trasera
Inyección remota de JavaScript en GTM
Código ofuscado e imposible de auditar

La puerta trasera y la inyección remota de código

La planta de producción cuenta con /support_login.html — un punto de acceso administrativo oculto que no aparece en absoluto en el repositorio de GitHub. En combinación con Google Tag Manager (contenedor de GTM) Gracias a esta integración, el operador puede inyectar y modificar código JavaScript de forma remota en el sitio web en funcionamiento en cualquier momento, sin necesidad de actualizar el código fuente público. Se trata de un vector de ejecución remota de código camuflado como herramienta de análisis.

Infraestructura a prueba de balas

xmrwallet.com no utiliza un alojamiento compartido de baja calidad. Funciona sobre una infraestructura premium a prueba de fallos, seleccionada específicamente para resistir las solicitudes de cierre y las medidas de las fuerzas del orden.

Indicadores clave de rendimiento (KPI) de alojamiento y redes

Indicador	Valor
Dominio	xmrwallet.com
Registrar	NameSilo (2016-2031, registro de 15 años)
Proveedor de alojamiento web	IQWEB FZ-LLC (550 $ o más al mes)
Dirección IP	`186.2.165.49`
Burro	AS59692
CDN / Protección contra DDoS	DDoS-Guard
Servidor web	Apache 2.4.58 (Ubuntu)
Backend	PHP 8.2.29
Certificado SSL	Let's Encrypt (renovación automática)
Servidor espejo de Tor	`xmrwalletdatuxms.onion`
Coste anual de infraestructura	Entre 8 000 y 15 000 dólares o más

Indicadores clave de rendimiento (KPI) de seguimiento y análisis

Rastreador	Solicitudes / Sesión	Identificar
Google Tag Manager	12	Contenedor GTM
Google Analytics (UA)	12	`UA-116766241-1`
Google Analytics 4	5	Canal de GA4
DoubleClick	1	Píxel de seguimiento de anuncios
Cookies de DDoS-Guard	—	`__ddg8_`, `__ddg9_`, `__ddg10_`, `__ddg1_`

Entre 8 000 y 15 000 dólares al año por una «billetera gratuita para voluntarios»

Una cartera gratuita legítima no gasta más de 550 dólares al mes en el alojamiento a prueba de balas de IQWEB FZ-LLC, protegido por DDoS-Guard —una infraestructura diseñada específicamente para resistir las denuncias por abuso y las citaciones judiciales—. No registra un dominio por 15 años. No utiliza el seguimiento de Google Analytics en una cartera de Monero «centrada en la privacidad». Se trata de una infraestructura creada con un único propósito: robos continuos a gran escala.

Operadora identificada: Nathalie Roy

La inteligencia de fuentes abiertas remonta la infraestructura de xmrwallet.com directamente a una sola persona.

Campo	Detalle
Nombre	Nathalie Roy
Ubicación	Canadá
Nombre de usuario de GitHub	nathroy (ID: 39167759)
Organización de GitHub	Monero (creado el 10 de mayo de 2018)
Correo electrónico (Admin)	`admin@xmrwallet.com`
Correo electrónico (personal)	`royn5094@protonmail.com`
Reddit	u/WiseSolution (expulsado de r/Monero)
Twitter	@xmrwalletcom
Servidor de correo (MX)	`mail.privateemail.com`

Expulsado, desenmascarado, pero sigue en activo

A Nathalie Roy se le prohibió el acceso a la página web oficial subreddit r/Monero en 2018 para promocionar xmrwallet.com. La última actualización en GitHub se realizó ese mismo año. Durante más de seis años, el código público ha permanecido inactivo, mientras que el sitio web en producción sigue robando fondos de forma activa con un código completamente diferente. El dominio está pagado hasta 2031, por lo que el operador no tiene intención de desaparecer.

Víctimas registradas

Como mínimo 15 casos notificados públicamente de robos de fondos en Trustpilot, Sitejabber, Reddit y GitHub Issues. Personas reales. Dinero real. Desaparecido.

15+

Informes públicos

590 XMR

La mayor cantidad individual (177 000 dólares)

Años de robos

Entre 2 y más de 15 millones de dólares

Total estimado

590 XMR (aprox. 177 000 $) — un solo robo, el caso más grave del que se tiene constancia
17,44 XMR — documentado con el ID de la transacción en la cadena de bloques
Robaron 20 XMR durante la noche — Se vació el monedero mientras el usuario dormía
Varios mensajes de «ID de transacción desconocida» — el swept etiqueta de firma
Se han eliminado las incidencias de GitHub n.º 13 y siguientes — El operador elimina los informes de las víctimas del registro

Pruebas eliminadas, sin monedero para donaciones

El administrador elimina de forma activa los informes de las víctimas de GitHub Issues (todas las incidencias anteriores a la n.º 13 han desaparecido). El sitio afirma aceptar donaciones, pero Nunca se ha publicado ninguna dirección de monedero para donaciones. ¿Por qué un «proyecto de voluntariado» que gasta entre 8 000 y 15 000 dólares al año rechazaría donaciones? Porque sus ingresos provienen del robo.

Cronología de los acontecimientos

Timeline 2014-2024: xmrwallet.com 10,000+ stolen keys - from site launch through first victims to operator identified — Cronología 2014-2024: xmrwallet.com —más de 10 000 claves robadas—: desde el lanzamiento del sitio web hasta las primeras víctimas y la identificación del operador

2016

Dominio registrado — xmrwallet.com

Registrado a través de NameSilo con un Período de registro de 15 años (2016-2031). Se presenta como un monedero web gratuito y de código abierto para Monero.

Mayo de 2018

Se ha creado una organización de GitHub

La organización XMRWallet en GitHub se creó el 2018-05-10 por nathroy (ID: 39167759). Código público publicado como una mera fachada de transparencia.

2018

Prohibido y código congelado

Operador de WiseSolution expulsado de r/Monero por spam promocional. Última actualización en GitHub por esas fechas. Empiezan a borrarse los informes de incidencias de las víctimas (las incidencias n.º 1 a n.º 12 han desaparecido).

2018-2024

Seis años de silencio

El repositorio público está congelado. El código de producción difiere por completo, con JavaScript ofuscado, parámetros no documentados y puntos de acceso con puertas traseras. Las denuncias de las víctimas se acumulan en Trustpilot y Reddit.

2025-2026

Investigación sobre PhishDestroy

El análisis del tráfico de red revela session_key filtración. La desofuscación de JavaScript lo confirma raw_tx = 0 Secuestro de transacciones. Pruebas publicadas en GitHub Issues #35 & #36.

Febrero de 2026

Informe publicado — El dominio sigue activo

Se ha publicado el informe técnico completo. xmrwallet.com sigue en línea. El dominio se ha pagado a través de 2031. DDoS-Guard ofrece resistencia ante los ataques de desactivación.

Pruebas completas y material de referencia

Todas las afirmaciones de este artículo están respaldadas por pruebas verificables públicamente. Descarga los informes. Verifica el código. Comprueba tú mismo las capturas de red.

Informe técnico completo

Investigación completa con todos los análisis de código, capturas de red y hallazgos de OSINT en GitHub Pages

N.º 35: Secuestro de transacciones

raw_tx = 0 pruebas • Reconstrucción de transacciones del lado del servidor • Evidencia de la etiqueta «swept»

N.º 36: Exfiltración de claves de visualización

Más de 40 capturas de red • Decodificación Base64 de session_key • 6 puntos finales con fugas

Repositorio de investigación de PhishDestroy

Todos los materiales de origen, el código desofuscado y los artefactos de análisis

Alternativas seguras

Nunca introduzcas claves privadas en ningún monedero web. Y punto. Utiliza software verificado y auditado que se ejecute localmente en tu dispositivo.

Carteras de escritorio

Interfaz gráfica de usuario de Coin — Cartera oficial, con todas las funciones, de código abierto y auditada
Cartera Feather — Cartera de escritorio ligera, rápida y centrada en la privacidad

Monederos móviles

Cartera (Android) — Código abierto con compatibilidad con Tor
Cartera Cake (iOS/Android) — Compatible con múltiples monedas, bien mantenido

La regla de oro de las criptomonedas

Nunca introduzcas tu frase de recuperación, tus claves privadas ni tus claves de visualización en cualquier sitio web. Las carteras legítimas funcionan de forma local: nunca necesitan enviar tus claves a un servidor. Si una cartera web te pide tus claves privadas, se trata de una estafa. Para garantizar la máxima seguridad, utiliza una cartera de hardware (Ledger, Trezor) con el software oficial de Monero.

Proteger a la comunidad

xmrwallet.com lleva 10 años robando Monero. Las pruebas son públicas. Se ha identificado al operador. Comparte esta investigación. Denuncia el dominio. Ayúdanos a cerrarlo.

Informe técnico completo Repositorio de investigaciones Denunciar amenazas