Is xmrwallet.com safe to use?

No. xmrwallet.com has been found to secretly exfiltrate private view keys via Base64-encoded session tokens across 40+ API requests per session, and hijack transactions by setting raw_tx_and_hash.raw = 0. Estimated losses: $2M-$15M+ since 2016.

How does xmrwallet.com steal funds?

Two attack vectors: (1) Private view keys are Base64-encoded into session_key tokens and leaked across 6 API endpoints (getheightsync, gettransactions, getbalance, getsubaddresses, getoutputs, support_login) 40+ times per session. (2) Client transactions are nullified (raw_tx = 0) and the server rebuilds transactions redirecting funds to attacker wallets.

What are safe alternatives to xmrwallet.com?

Safe Monero wallet alternatives include: Monero GUI (official desktop wallet), Feather Wallet (lightweight desktop), Monerujo (Android), Cake Wallet (iOS/Android), and hardware wallets like Ledger or Trezor with official Monero software. Never enter private keys on any web wallet.

Who operates xmrwallet.com?

OSINT links xmrwallet.com to Nathalie Roy, a Canada-based developer operating under GitHub username nathroy (ID: 39167759). The XMRWallet GitHub organization was created 2018-05-10. Associated accounts include Reddit u/WiseSolution (banned from r/Monero) and Twitter @xmrwalletcom.

Retour aux actualités

Enquête sur le vol d'un portefeuille Monero

xmrwallet.com démasqué : 10 ans de clés volées et de transactions détournées

Enquête technique approfondie sur un portefeuille Web Monero qui encode votre clé privée en Base64 sous la forme d'un session_key jette le jeton, le divulgue dans plus de 40 requêtes API par session, puis annule votre transaction avec raw_tx = 0 et le modifie pour détourner vos fonds. Actif depuis 2016. L'opérateur a été identifié.

~9 min de lecture· Mise à jour Mars 2026· PhishDestroy Intelligence

En activité depuis 2016 Plus de 40 fuites de clés par session Protégé par DDoS-Guard

Années d'activité

40 ans et plus

Nombre de fuites de clés par session

2 à 15 millions de dollars et plus

Montant total estimé des biens volés

Mises à jour de GitHub depuis 2018

La façade

xmrwallet.com se présente comme un portefeuille Monero gratuit, open source et fonctionnant côté client. Aucun téléchargement. Aucune inscription. Leurs conditions d'utilisation contiennent une mention très précise :

« Toutes les opérations cryptographiques s'effectuent dans votre navigateur. Le serveur n'a aucun moyen d'accéder à vos clés privées. »

— Conditions d'utilisation de xmrwallet.com (manifestement fausses)

C'est un mensonge. Notre analyse technique — captures réseau, désobfuscation du JavaScript et comparaison du code de production — démontre exactement le contraire. Chaque clé saisie sur xmrwallet.com est volée. Chaque transaction peut être détournée.

Production vs. GitHub: Total Divergence

Le dépôt GitHub public n'a pas reçu le moindre commit depuis Novembre 2018. Le site de production utilise un code totalement différent, avec des paramètres non documentés qui ne figurent pas dans le dépôt :

session_key — Jeton d'exfiltration de la clé de vue encodé en Base64
verification — canal d'exfiltration secondaire
timestamp — paramètre de suivi de session
data — conteneur de charge utile supplémentaire

Domaine enregistré via NameSilo en 2016 — prépayé via 2031. Quinze ans d'inscription à un « projet bénévole gratuit ».

Attaque n° 1 : Exfiltration de clés de vue

Lorsque vous vous connectez à xmrwallet.com, votre clé de visualisation privée est encodée en Base64 et intégrée dans un session_key jeton. Ce jeton est ensuite transmis au serveur avec chaque requête API — Plus de 40 fois en une seule séance.

La structure session_key

Clé de session = [blob_crypté]:[adresse_base64]:[base64_private_viewkey]

// Exemple décodé :
// blob: a3f8c2... (session identifier)
// adresse : 4A1BxN... (votre adresse publique Monero)
// viewkey : VOTRE CLÉ DE VISUALISATION PRIVÉE EN TEXTE CLAIR

Les captures réseau de Firefox WebExtension confirment que ce jeton est transmis 6 points de terminaison API distincts soit plus de 40 requêtes POST par session :

Point de terminaison API	Requêtes / Session	Fuite de la clé de session
`/api/getheightsync`	12	Oui
`/api/gettransactions`	10	Oui
`/api/getbalance`	6	Oui
`/api/getsubaddresses`	4	Oui
`/api/getoutputs`	3	Oui
`/api/support_login`	1	Oui

Plus de 40 copies de votre clé privée

Une seule session de connexion transmet votre clé privée de lecture au serveur au moins 36 fois. Le serveur n'a besoin de votre clé pour aucune de ces opérations : les vérifications de solde et les synchronisations de hauteur sont des requêtes publiques sur la blockchain. Il n'y a absolument aucune raison légitime de transmettre des données de clé. Preuve complète de la capture du réseau : xmrwallet.com - Problème GitHub n° 36 — Afficher les preuves d'exfiltration de clés.

Attaque n° 2 : détournement de transaction

Le vol de la clé permet à l'attaquant regarder votre portefeuille. Mais xmrwallet.com va plus loin : il vole vos fonds en temps réel. Le code JavaScript de production désobfusqué révèle une séquence d'attaque en cinq étapes :

// Étape 1 : le client crée une transaction valide
cnUtil.create_transaction() → transaction brute et hachage

// Étape 2 : la transaction du client est annulée
transaction brute et hachage.La valeur brute est égale à zéro;

// Étape 3 : seules les métadonnées sont envoyées au serveur (pas de transaction réelle)
Message Envoyer la transaction brute. Brut : 0, métadonnées : {...} }

// Étape 4 : le serveur reconstruit sa PROPRE transaction
// en utilisant vos clés et l'adresse de destination

// Étape 5 : Transactions piratées marquées en interne
if(type == « balayé ») → transaction redirigée par l'attaquant

Votre portefeuille indique « transaction envoyée ». Vos fonds parviennent à l'adresse du pirate. Les victimes voient « Identifiant de transaction inconnu » lorsqu'ils tentent de vérifier sur des explorateurs de blocs. Les transactions marquées en interne comme swept sont celles qui ont été volées.

Votre transaction n'a jamais eu lieu

raw_tx_and_hash.raw = 0 cela signifie que la transaction générée par le client est ignorée. Le serveur crée une toute nouvelle transaction à l'aide de vos clés et envoie vos XMR à l'attaquant. Le message « succès » qui s'affiche est mensonger. Analyse détaillée du code : xmrwallet.com - Problème GitHub n° 35 — Preuve de détournement de transaction.

Code de production caché

xmrwallet.com gère un dépôt GitHub public pour donner une apparence de légitimité. Ce dépôt n'est qu'un leurre. Il n'a pas été mis à jour depuis Novembre 2018. Le site de production utilise un code entièrement différent et obscurci.

GitHub public (leurre)

Dernière modification : Novembre 2018
No session_key paramètres
No verification param
No /support_login.html
Pas de Google Tag Manager
Un code clair et vérifiable

Site de production (réel)

Mise à jour régulière pour la période 2024-2026
session_key avec la clé de visualisation Base64
verification canal d'exfiltration
/support_login.html porte dérobée
Injection de code JavaScript à distance via GTM
Code obscurci et non vérifiable

La porte dérobée et l'injection de code à distance

Le site de production comprend /support_login.html — un point de terminaison administratif caché qui n'apparaît absolument pas dans le dépôt GitHub. Associé à Google Tag Manager (conteneur GTM) Grâce à cette intégration, l'opérateur peut à tout moment injecter et modifier du code JavaScript à distance sur le site en ligne, sans avoir à mettre à jour le code source public. Il s'agit d'un vecteur d'exécution de code à distance déguisé en outil d'analyse.

Une infrastructure à toute épreuve

xmrwallet.com n'utilise pas d'hébergement mutualisé bon marché. Le site fonctionne sur une infrastructure haut de gamme et à toute épreuve, spécialement choisie pour résister aux demandes de fermeture et aux autorités judiciaires.

Indicateurs clés de performance (KPI) en matière d'hébergement et de réseau

Indicateur	Valeur
Domaine	xmrwallet.com
S'inscrire	NomSilo (2016 – 2031, enregistrement pour 15 ans)
Fournisseur d'hébergement	IQWEB FZ-LLC (à partir de 550 $ par mois)
Adresse IP	`186.2.165.49`
Âne	AS59692
CDN / Protection contre les attaques DDoS	DDoS-Guard
Serveur web	Apache 2.4.58 (Ubuntu)
Back-end	PHP 8.2.29
Certificat SSL	Let's Encrypt (renouvellement automatique)
Miroir Tor	`xmrwalletdatuxms.onion`
Coût annuel des infrastructures	8 000 $ – 15 000 $ et plus

Indicateurs clés de performance (KPI) en matière de suivi et d'analyse

Suivi	Requêtes / Session	Identifier
Google Tag Manager	12	Conteneur GTM
Google Analytics (UA)	12	`UA-116766241-1`
Google Analytics 4	5	Flux GA4
DoubleClick	1	Pixel de suivi publicitaire
Cookies DDoS-Guard	—	`__ddg8_`, `__ddg9_`, `__ddg10_`, `__ddg1_`

Entre 8 000 et 15 000 dollars par an pour un « portefeuille de bénévolat gratuit »

Un portefeuille gratuit légitime ne dépense pas plus de 550 $ par mois pour l'hébergement sécurisé IQWEB FZ-LLC protégé par DDoS-Guard — une infrastructure spécialement conçue pour résister aux plaintes pour abus et aux assignations des autorités judiciaires. Il n'enregistre pas de nom de domaine pour une durée de 15 ans. Il n'utilise pas le suivi Google Analytics sur un portefeuille Monero « axé sur la confidentialité ». Il s'agit d'une infrastructure conçue dans un seul but : des vols répétés à grande échelle.

Opératrice identifiée : Nathalie Roy

Les données issues du renseignement open source permettent de remonter directement jusqu'à une seule et même personne en ce qui concerne l'infrastructure de xmrwallet.com.

Champ	Détails
Nom	Nathalie Roy
Lieu	Canada
Nom d'utilisateur GitHub	nathroy (ID : 39167759)
Organisation GitHub	Monero (créé le 10 mai 2018)
E-mail (Admin)	`admin@xmrwallet.com`
E-mail (personnel)	`royn5094@protonmail.com`
Reddit	u/WiseSolution (banni de r/Monero)
Twitter	@xmrwalletcom
Serveur de messagerie (MX)	`mail.privateemail.com`

Banni, démasqué, mais toujours actif

Nathalie Roy a été exclue du site officiel subreddit r/Monero en 2018 pour la promotion de xmrwallet.com. La dernière modification sur GitHub remonte à la même année. Depuis plus de six ans, le code public est figé, tandis que le site en production détourne activement des fonds à l'aide d'un code totalement différent. Le nom de domaine est payé jusqu'en 2031 — l'exploitant n'est pas près de disparaître.

Victimes recensées

Au moins 15 cas signalés publiquement des cas de détournement de fonds signalés sur Trustpilot, Sitejabber, Reddit et GitHub Issues. De vraies personnes. De l'argent réel. Disparu.

15 ans et plus

Rapports publics

590 XMR

Le plus gros montant (177 000 $)

Des années de vols

2 à 15 millions de dollars et plus

Total estimé

590 XMR (environ 177 000 $) — un seul vol, le plus important cas recensé
17,44 XMR — enregistré sur la blockchain avec un identifiant de transaction
20 XMR ont été volés pendant la nuit — le portefeuille a été vidé pendant que l'utilisateur dormait
Plusieurs messages signalant un « identifiant de transaction inconnu » — le swept tag signature
Suppression des tickets GitHub n° 13 et suivants — L'opérateur supprime les signalements de victimes de la base de données

Preuves supprimées, pas de portefeuille de dons

L'administrateur supprime systématiquement les signalements des victimes sur GitHub Issues (toutes les tickets antérieures à la n° 13 ont disparu). Le site prétend accepter les dons, mais Aucune adresse de portefeuille destinée aux dons n'a jamais été publiéePourquoi un « projet bénévole » qui dépense entre 8 000 et 15 000 dollars par an refuserait-il des dons ? Parce que ses revenus proviennent du vol.

Chronologie des événements

Timeline 2014-2024: xmrwallet.com 10,000+ stolen keys - from site launch through first victims to operator identified — Chronologie 2014-2024 : xmrwallet.com – plus de 10 000 clés volées – du lancement du site jusqu’à l’identification de l’opérateur, en passant par les premières victimes

2016

Domaine enregistré — xmrwallet.com

Enregistré via NameSilo avec un Période d'enregistrement de 15 ans (2016-2031). Se présente comme un portefeuille web Monero gratuit et open source.

Mai 2018

Organisation GitHub créée

L'organisation GitHub XMRWallet a été créée le 2018-05-10 par nathroy (ID : 39167759). Code public publié dans le cadre d'une opération de façade visant à donner une image de transparence.

2018

Banni et code gelé

Opérateur pour WiseSolution banni de r/Monero pour du spam promotionnel. Dernière modification sur GitHub à cette période. Les rapports d'incident des victimes commencent à être supprimés (les tickets n° 1 à n° 12 ont disparu).

2018 – 2024

Six ans de silence

Le dépôt public a été gelé. Le code de production s'écarte complètement de la version originale, avec du code JavaScript obfusqué, des paramètres non documentés et des points de terminaison contenant des portes dérobées. Les témoignages des victimes s'accumulent sur Trustpilot et Reddit.

2025 – 2026

Enquête PhishDestroy

L'analyse du trafic réseau révèle session_key exfiltration. La désobfuscation du code JavaScript le confirme raw_tx = 0 détournement de transaction. Preuves publiées sur GitHub Issues #35 & #36.

Février 2026

Rapport publié — Domaine toujours actif

Le rapport technique complet a été publié. xmrwallet.com reste en ligne. Le nom de domaine a été payé via 2031. DDoS-Guard offre une protection contre les déconnexions forcées.

Ensemble des éléments de preuve et des documents sources

Toutes les affirmations contenues dans cet article s'appuient sur des preuves vérifiables par tout un chacun. Téléchargez les rapports. Vérifiez le code. Examinez vous-même les captures réseau.

Rapport technique complet

Enquête complète comprenant toutes les analyses de code, les captures réseau et les résultats de l'OSINT sur GitHub Pages

Numéro 35 : Détournement de transactions

raw_tx = 0 preuve • Reconstitution de la transaction côté serveur • Preuve de la balise « swept »

Numéro 36 : Exfiltration des clés de vue

Plus de 40 captures réseau • Décodage Base64 de la clé de session • 6 points de terminaison présentant des failles de sécurité

Référentiel de recherche PhishDestroy

Tous les documents sources, le code décompilé et les artefacts d'analyse

Alternatives sûres

Ne saisissez jamais vos clés privées sur un portefeuille en ligne. Point final. Utilisez des logiciels certifiés et contrôlés qui s'exécutent localement sur votre appareil.

Portefeuilles de bureau

Interface graphique de Coin — Portefeuille officiel, complet, open source et audité
Portefeuille Feather — Un portefeuille de bureau léger, rapide et axé sur la confidentialité

Portefeuilles électroniques

Portefeuille (Android) — Logiciel libre compatible avec Tor
Portefeuille Cake (iOS/Android) — Prise en charge de plusieurs cryptomonnaies, bien entretenu

La règle d'or de la cryptomonnaie

Ne saisissez jamais votre phrase de récupération, vos clés privées ou vos clés de consultation sur n'importe quel site web. Les portefeuilles fiables fonctionnent en local : ils n'ont jamais besoin d'envoyer vos clés à un serveur. Si un portefeuille en ligne vous demande vos clés privées, il s'agit d'une arnaque. Pour une sécurité maximale, utilisez un portefeuille matériel (Ledger, Trezor) avec le logiciel officiel de Monero.

Protéger la communauté

xmrwallet.com vole du Monero depuis 10 ans. Les preuves sont accessibles à tous. L'exploitant a été identifié. Partagez cette enquête. Signalez le domaine. Aidez-nous à le faire fermer.

Rapport technique complet Répertoire de recherche Signaler des menaces