एक मोनेरो वेब वॉलेट में गहन फोरेंसिक जांच जो आपकी निजी व्यू की को Base64 में एन्कोड करती है। session_key
टोकन, इसे प्रति सत्र 40+ API अनुरोधों में लीक करता है, फिर आपके लेनदेन को रद्द कर देता है
raw_tx = 0
और आपके फंड चुराने के लिए इसे फिर से बनाता है। 2016 से सक्रिय। ऑपरेटर की पहचान हो गई है।
~9 मिनट में पढ़ें·
अद्यतन किया गया मार्च २०२६·
फिश को नष्ट करो खुफिया जानकारी
2016 से सक्रिय40+ मुख्य लीक / सत्रडीडीओएस-गार्ड सुरक्षित
0
सक्रिय वर्षों
40+
प्रति सत्र प्रमुख रिसाव
$2M-$15M+
अनुमानित कुल चोरी
0
2018 से गिटहब अपडेट्स
मुखौटा
एक्सएमआरवॉलेट डॉट कॉम अपने आप को एक मुफ्त, ओपन-सोर्स, क्लाइंट-साइड मोनेरो वॉलेट के रूप में प्रस्तुत करता है। कोई डाउनलोड नहीं। कोई पंजीकरण नहीं। उनकी सेवा की शर्तें एक बहुत ही विशिष्ट दावा करती हैं:
सभी क्रिप्टोग्राफ़िक संचालन आपके ब्राउज़र में ही होते हैं। सर्वर के पास आपकी निजी कुंजियों तक पहुँचने की कोई क्षमता नहीं है।
— xmrwallet.com सेवा की शर्तें (स्पष्ट रूप से झूठी)
यह झूठ है। हमारा फोरेंसिक विश्लेषण — नेटवर्क कैप्चर, जावास्क्रिप्ट डीऑब्फस्केशन, और प्रोडक्शन कोड की तुलना — इसके ठीक विपरीत साबित करता है। xmrwallet.com पर दर्ज की गई हर कुंजी चोरी हो जाती है। हर लेनदेन को हाईजैक किया जा सकता है।
प्रोडक्शन बनाम गिटहब:
पूर्ण विचलन
द
सार्वजनिक गिटहब रिपॉजिटरी
तब से एक भी कमिट प्राप्त नहीं हुआ है
नवंबर 2018. उत्पादन साइट पूरी तरह से अलग कोड चलाती है, जिसमें रेपो में मौजूद नहीं
अनुपालित पैरामीटर शामिल हैं:
session_key — Base64-एन्कोडेड व्यू की एक्सफिल्ट्रेशन टोकन
verification — द्वितीयक निकासी मार्ग
timestamp — सत्र ट्रैकिंग पैरामीटर
data — अतिरिक्त पेलोड कंटेनर
द्वारा पंजीकृत डोमेन नेमसाइलो 2016 में — प्री-पेड के माध्यम से 2031. एक "मुक्त स्वतंत्र परियोजना" के लिए पंद्रह वर्षों का पंजीकरण।
हमला #1: व्यू की एक्सफिल्ट्रेशन
जब आप xmrwallet.com में लॉग इन करते हैं, तो आपकी निजी व्यू कुंजी Base64-एनकोड की जाती है और एक में एम्बेड की जाती है। session_key टोकन। यह टोकन फिर सर्वर को के साथ प्रेषित किया जाता है। प्रत्येक एपीआई अनुरोध — एक ही सत्र में 40+ बार।
session_key संरचना
सत्र कुंजी = [एन्क्रिप्टेड ब्लॉब]:[बेस64_पता]:[बेस64_निजी_व्यूकी]
// Decoded example: // blob: a3f8c2... (session identifier) // address: 4A1BxN... (your Monero public address) // viewkey: आपकी निजी दृश्य कुंजी सादा पाठ में
Firefox वेबएक्सटेंशन नेटवर्क कैप्चर से यह पुष्टि होती है कि यह टोकन भेजा गया है। 6 विशिष्ट एपीआई एंडपॉइंट्स प्रति सत्र कुल 40+ POST अनुरोध:
एपीआई एंडपॉइंट
अनुरोध / सत्र
लीक session_key
/api/getheightsync
12
हाँ
/api/gettransactions
10
हाँ
/api/getbalance
6
हाँ
/api/getsubaddresses
4
हाँ
/api/getoutputs
3
हाँ
/api/support_login
1
हाँ
आपकी निजी कुंजी की 40+ प्रतियाँ
एक ही लॉगिन सत्र आपकी निजी दृश्य कुंजी को सर्वर पर भेजता है। कम से कम 36 बार. सर्वर को इन सभी ऑपरेशनों के लिए आपकी कुंजी की आवश्यकता नहीं है — बैलेंस चेक और हाइट सिंक सार्वजनिक ब्लॉकचेन क्वेरीज़ हैं। कुंजी सामग्री प्रसारित करने का कोई वैध कारण नहीं है। पूर्ण नेटवर्क कैप्चर साक्ष्य: xmrwallet.com गिटहब इश्यू #36 — कुंजी चोरी के सबूत देखें.
हमला #2: लेनदेन अपहरण
मुख्य चोरी हमलावर को अनुमति देती है देखो आपकी जेब। लेकिन xmrwallet.com इससे भी आगे जाता है — यह वास्तविक समय में आपके फंड चुरा लेता है। डीऑब्फस्क्ड प्रोडक्शन जावास्क्रिप्ट एक 5-चरणीय हमले की श्रृंखला प्रकट करती है:
आपका वॉलेट "लेनदेन भेजा गया" दिखाता है। आपके फंड हमलावर के पते पर पहुँच जाते हैं। पीड़ित देखते हैं अज्ञात लेनदेन आईडी जब वे ब्लॉक एक्सप्लोरर्स पर सत्यापित करने की कोशिश करते हैं। लेनदेन आंतरिक रूप से टैग किए गए हैं swept चोरी किए हुए हैं।
आपका लेनदेन कभी हुआ ही नहीं
raw_tx_and_hash.raw = 0 इसका मतलब है कि क्लाइंट द्वारा उत्पन्न लेनदेन को रद्द कर दिया जाता है। सर्वर आपकी कुंजियों का उपयोग करके एक पूरी तरह से नया लेनदेन बनाता है और आपका XMR हमलावर को भेज देता है। जो "success" संदेश आप देखते हैं वह झूठ है। विस्तृत कोड विश्लेषण: xmrwallet.com गिटहब इश्यू #35 — ट्रांजैक्शन हाईजैकिंग का प्रमाण.
छिपा हुआ उत्पादन कोड
xmrwallet.com वैध दिखने के लिए एक सार्वजनिक GitHub रिपॉजिटरी बनाए रखता है। यह रिपॉजिटरी एक झांसा है। तब से इसमें कोई छेड़छाड़ नहीं की गई है। नवंबर 2018उत्पादन साइट पूरी तरह से अलग, अस्पष्ट कोड चलाती है।
सार्वजनिक गिटहब (डिकॉय)
अंतिम कमिट: नवम्बर 2018
नहीं session_key परिमाण
नहीं verification पैरामीटर
नहीं /support_login.html
कोई गूगल टैग मैनेजर नहीं
स्वच्छ, लेखा-परीक्षण योग्य कोड
उत्पादन स्थल (वास्तविक)
सक्रिय रूप से अद्यतन 2024-2026
session_key बेस64 व्यूकी के साथ
verification निकास चैनल
/support_login.html पछवाड़ा
जीटीएम रिमोट जेएस इंजेक्शन
अस्पष्ट, अडिट न हो सकने वाला कोड
बैकडोर और रिमोट कोड इंजेक्शन
उत्पादन स्थल में शामिल हैं /support_login.html — एक छिपा हुआ प्रशासनिक एंडपॉइंट जो GitHub रिपॉजिटरी में पूरी तरह से अनुपस्थित है। के साथ संयुक्त गूगल टैग मैनेजर (जीटीएम-कंटेनर) एकीकरण के दौरान, ऑपरेटर सार्वजनिक कोडबेस को अपडेट किए बिना किसी भी समय लाइव साइट पर दूरस्थ रूप से जावास्क्रिप्ट इंजेक्ट और संशोधित कर सकता है। यह एनालिटिक्स के भेष में एक दूरस्थ कोड निष्पादन वेक्टर है।
गोलीबारी-रोधी बुनियादी ढांचा
xmrwallet.com सस्ती साझा होस्टिंग का उपयोग नहीं करता है। यह प्रीमियम बुलेटप्रूफ इन्फ्रास्ट्रक्चर पर चलता है, जिसे विशेष रूप से टकडाउन अनुरोधों और कानून प्रवर्तन का सामना करने के लिए चुना गया है।
होस्टिंग और नेटवर्क IOCs
सूचक
मूल्य
डोमेन
एक्सएमआरवॉलेट डॉट कॉम
पंजीयक
नेमसाइलो (2016 – 2031, 15-वर्षीय पंजीकरण)
होस्टिंग प्रदाता
आईक्यूवेब एफजेड-एलएलसी ($550+/माह)
आईपी पता
186.2.165.49
एएसएन
एएस59692
सीडीएन / डीडीओएस सुरक्षा
डीडीओएस-गार्ड
वेब सर्वर
अपाचे 2.4.58 (उबंटू)
बैकएंड
PHP 8.2.29
एसएसएल प्रमाणपत्र
लेट्स एन्क्रिप्ट (स्वचालित नवीनीकृत)
टोर मिरर
xmrwalletdatuxms.onion
वार्षिक अवसंरचना लागत
$8,000 – $15,000+
ट्रैकिंग एवं विश्लेषण IOCs
ट्रैकर
अनुरोध / सत्र
पहचानकर्ता
गूगल टैग मैनेजर
12
जीटीएम कंटेनर
गूगल एनालिटिक्स (यूए)
12
UA-116766241-1
गूगल एनालिटिक्स 4
5
जीए4 स्ट्रीम
डबलक्लिक
1
विज्ञापन ट्रैकिंग पिक्सेल
डीडीओएस-गार्ड कुकीज़
—
__ddg8_, __ddg9_, __ddg10_, __ddg1_
$8K-$15K/Year for a "Free Volunteer Wallet"
एक वैध मुफ्त वॉलेट DDoS-Guard के पीछे IQWEB FZ-LLC की बुलेटप्रूफ होस्टिंग पर प्रति माह $550+ खर्च नहीं करता — यह वह अवसंरचना है जिसे विशेष रूप से दुरुपयोग की शिकायतों और कानून प्रवर्तन के समन का सामना करने के लिए डिज़ाइन किया गया है। यह 15 वर्षों के लिए कोई डोमेन पंजीकृत नहीं करता। यह "गोपनीयता-केंद्रित" मोनेरो वॉलेट पर Google Analytics ट्रैकिंग नहीं चलाता। यह एक ही उद्देश्य के लिए निर्मित अवसंरचना है: बड़े पैमाने पर लगातार चोरी.
ऑपरेटर की पहचान: नताली रॉय
ओपन-सोर्स खुफिया जानकारी xmrwallet.com के बुनियादी ढांचे को सीधे एक ही व्यक्ति से जोड़ती है।
नताली रॉय को आधिकारिक से प्रतिबंधित कर दिया गया था आर/मोनेरो सबरेडिट 2018 में xmrwallet.com को बढ़ावा देने के लिए। आखिरी GitHub कमिट उसी साल हुई थी। छह से अधिक वर्षों से सार्वजनिक कोड स्थिर पड़ा है, जबकि प्रोडक्शन साइट पूरी तरह से अलग कोड के साथ सक्रिय रूप से धन चुरा रही है। डोमेन का भुगतान 2031 तक किया गया है — ऑपरेटर कहीं नहीं जा रहा है।
दर्ज किए गए पीड़ित
कम से कम सार्वजनिक रूप से रिपोर्ट किए गए 15 मामले ट्रस्टपायलट, साइटजैबर, रेडिट और गिटहब इश्यूज़ पर फंड चोरी। असली लोग। असली पैसा। गायब।
15+
सार्वजनिक रिपोर्टें
590 एक्सएमआर
सबसे बड़ा एकल ($177K)
0
चोरी के साल
$2M-$15M+
अनुमानित कुल
590 XMR (~$177,000) — एकल चोरी, सबसे बड़ा प्रलेखित मामला
१७.४४ एक्सएमआर — ऑन-चेन लेनदेन आईडी के साथ प्रलेखित
रातों-रात 20 XMR चोरी हुए — उपयोगकर्ता के सोते समय वॉलेट खाली हुआ
"अज्ञात ट्रांज़ैक्शन आईडी" की कई रिपोर्टें — का swept टैग हस्ताक्षर
GitHub Issues #13+ हटाए गए — ऑपरेटर रिपो से पीड़ितों की रिपोर्टें हटाता है
मिटाए गए सबूत, कोई दान वॉलेट नहीं
ऑपरेटर सक्रिय रूप से GitHub Issues से पीड़ितों की रिपोर्टें हटाता है (#13 से पहले की सभी रिपोर्टें गायब हैं)। साइट दान स्वीकार करने का दावा करती है लेकिन कोई दान वॉलेट पता कभी प्रकाशित नहीं किया गया है।एक "स्वतंत्र परियोजना" जो सालाना $8K-$15K खर्च करती है, दान क्यों अस्वीकार करेगी? क्योंकि राजस्व चोरी से आता है।
घटनाओं की समयरेखा
समयरेखा 2014-2024: xmrwallet.com 10,000+ चोरी की गई कुंजियाँ - साइट लॉन्च से लेकर पहले पीड़ितों तक और ऑपरेटर की पहचान तक
2016
डोमेन पंजीकृत — xmrwallet.com
NameSilo के साथ एक के माध्यम से पंजीकृत 15-वर्षीय पंजीकरण अवधि (2016-2031). एक मुफ्त ओपन-सोर्स मोनेरो वेब वॉलेट के रूप में प्रस्तुत करता है।
मई २०१८
GitHub संगठन बनाया गया
XMRWallet GitHub संगठन बनाया गया 2018-05-10 नाथरॉय द्वारा (आईडी: 39167759)। पारदर्शिता थिएटर के रूप में सार्वजनिक कोड पुश किया गया।
2018
प्रतिबंधित और कोड स्थिर
ऑपरेटर यू/वाइजसॉल्यूशन r/Monero से प्रतिबंधित प्रचार संबंधी स्पैम के लिए। इस समय के आसपास आखिरी GitHub कमिट। पीड़ित के मुद्दे की रिपोर्टें हटाई जाने लगती हैं (मुद्दे #1–#12 गायब)।
२०१८ – २०२४
6 साल की खामोशी
सार्वजनिक रिपॉजिटरी फ्रीज़ हो गई है। प्रोडक्शन कोड पूरी तरह से obfuscated JS, बिना दस्तावेज़ित पैरामीटर और बैकडोर एंडपॉइंट्स के साथ अलग हो गया है। Trustpilot और Reddit पर पीड़ितों की रिपोर्टें जमा हो रही हैं।
२०२५ – २०२६
फिशडिस्ट्रॉय जांच
नेटवर्क ट्रैफ़िक विश्लेषण से पता चलता है session_key निष्कासन। जावास्क्रिप्ट डीऑब्फस्केशन पुष्टि करता है। raw_tx = 0 लेनदेन हाईजैकिंग। GitHub Issues पर प्रकाशित साक्ष्य। #35 & #36.
फरवरी २०२६
रिपोर्ट प्रकाशित — डोमेन अभी भी सक्रिय है
पूर्ण तकनीकी रिपोर्ट प्रकाशित। xmrwallet.com ऑनलाइन बना हुआ है। डोमेन का भुगतान किया गया है। 2031. DDoS-गार्ड टेकडाउन प्रतिरोध प्रदान करता है।
पूर्ण साक्ष्य और स्रोत सामग्री
इस लेख में हर दावे के लिए सार्वजनिक रूप से सत्यापनीय साक्ष्य उपलब्ध हैं। रिपोर्टें डाउनलोड करें। कोड सत्यापित करें। नेटवर्क कैप्चर स्वयं जांचें।
कभी भी किसी वेब वॉलेट पर निजी कुंजी न डालें। बिंदु। सत्यापित, ऑडिट किया गया सॉफ़्टवेयर उपयोग करें जो आपके डिवाइस पर स्थानीय रूप से चलता हो।
डेस्कटॉप वॉलेट्स
मोनेरो जीयूआई — आधिकारिक वॉलेट, पूर्ण-विशेषताओं वाला, ओपन-सोर्स, ऑडिट किया हुआ पंख बटुआ — हल्का, तेज़, गोपनीयता-केंद्रित डेस्कटॉप वॉलेट
मोबाइल वॉलेट
मोनेरुजो (एंड्रॉइड) — टोर समर्थन के साथ ओपन-सोर्स केक वॉलेट (iOS/Android) — मल्टी-कॉइन, अच्छी तरह से रख-रखाव किया गया
क्रिप्टो का स्वर्णिम नियम
कभी भी अपना सीड फ्रेज़, प्राइवेट कीज़, या व्यू कीज़ पर दर्ज न करें। कोई भी वेबसाइटवैध वॉलेट्स स्थानीय रूप से चलते हैं — उन्हें कभी भी आपकी कीज़ सर्वर पर भेजने की ज़रूरत नहीं होती। अगर कोई वेब वॉलेट आपकी निजी कीज़ मांगता है, तो यह एक घोटाला है। अधिकतम सुरक्षा के लिए, आधिकारिक मोनेरो सॉफ़्टवेयर के साथ हार्डवेयर वॉलेट (लेजर, ट्रेज़ोर) का उपयोग करें।
समुदाय की रक्षा करें
xmrwallet.com पिछले 10 वर्षों से मोनेरो चोरी कर रहा है। साक्ष्य सार्वजनिक हैं। ऑपरेटर की पहचान हो चुकी है। इस जांच को साझा करें। डोमेन की रिपोर्ट करें। इसे बंद कराने में हमारी मदद करें।
पारदर्शिता सूचना। PhishDestroy एक गैर-व्यावसायिक, स्वतंत्र परियोजना है। हमारा शोध घोटाले के बुनियादी ढांचे और इसे सक्षम करने वाली सेवाओं के प्रति अंतर्निहित पक्षपात को दर्शा सकता है। हम पाठकों को सभी सामग्री का आलोचनात्मक और स्वतंत्र मूल्यांकन करने के लिए प्रोत्साहित करते हैं। हमारा पूरा पारदर्शिता विवरण पढ़ें →