मुख्य सामग्री पर जाएँ
समाचार पर वापस

मोनेरो वॉलेट चोरी की जांच

xmrwallet.com बेनकाब: चोरी की कुंजियों और हाईजैक किए गए लेन-देन के 10 साल

एक मोनेरो वेब वॉलेट में गहन फोरेंसिक जांच जो आपकी निजी व्यू की को Base64 में एन्कोड करती है। session_key टोकन, इसे प्रति सत्र 40+ API अनुरोधों में लीक करता है, फिर आपके लेनदेन को रद्द कर देता है raw_tx = 0 और आपके फंड चुराने के लिए इसे फिर से बनाता है। 2016 से सक्रिय। ऑपरेटर की पहचान हो गई है।

2016 से सक्रिय 40+ मुख्य लीक / सत्र डीडीओएस-गार्ड सुरक्षित
एक्सएमआरवॉलेट बेनकाब
0
सक्रिय वर्षों
40+
प्रति सत्र प्रमुख रिसाव
$2M-$15M+
अनुमानित कुल चोरी
0
2018 से गिटहब अपडेट्स

मुखौटा

एक्सएमआरवॉलेट डॉट कॉम अपने आप को एक मुफ्त, ओपन-सोर्स, क्लाइंट-साइड मोनेरो वॉलेट के रूप में प्रस्तुत करता है। कोई डाउनलोड नहीं। कोई पंजीकरण नहीं। उनकी सेवा की शर्तें एक बहुत ही विशिष्ट दावा करती हैं:

सभी क्रिप्टोग्राफ़िक संचालन आपके ब्राउज़र में ही होते हैं। सर्वर के पास आपकी निजी कुंजियों तक पहुँचने की कोई क्षमता नहीं है।

— xmrwallet.com सेवा की शर्तें (स्पष्ट रूप से झूठी)

यह झूठ है। हमारा फोरेंसिक विश्लेषण — नेटवर्क कैप्चर, जावास्क्रिप्ट डीऑब्फस्केशन, और प्रोडक्शन कोड की तुलना — इसके ठीक विपरीत साबित करता है। xmrwallet.com पर दर्ज की गई हर कुंजी चोरी हो जाती है। हर लेनदेन को हाईजैक किया जा सकता है।

प्रोडक्शन बनाम गिटहब: पूर्ण विचलन

सार्वजनिक गिटहब रिपॉजिटरी तब से एक भी कमिट प्राप्त नहीं हुआ है नवंबर 2018. उत्पादन साइट पूरी तरह से अलग कोड चलाती है, जिसमें रेपो में मौजूद नहीं अनुपालित पैरामीटर शामिल हैं:

  • session_key — Base64-एन्कोडेड व्यू की एक्सफिल्ट्रेशन टोकन
  • verification — द्वितीयक निकासी मार्ग
  • timestamp — सत्र ट्रैकिंग पैरामीटर
  • data — अतिरिक्त पेलोड कंटेनर

द्वारा पंजीकृत डोमेन नेमसाइलो 2016 में — प्री-पेड के माध्यम से 2031. एक "मुक्त स्वतंत्र परियोजना" के लिए पंद्रह वर्षों का पंजीकरण।

हमला #1: व्यू की एक्सफिल्ट्रेशन

जब आप xmrwallet.com में लॉग इन करते हैं, तो आपकी निजी व्यू कुंजी Base64-एनकोड की जाती है और एक में एम्बेड की जाती है। session_key टोकन। यह टोकन फिर सर्वर को के साथ प्रेषित किया जाता है। प्रत्येक एपीआई अनुरोध — एक ही सत्र में 40+ बार।

session_key संरचना

सत्र कुंजी = [एन्क्रिप्टेड ब्लॉब]:[बेस64_पता]:[बेस64_निजी_व्यूकी]

// Decoded example:
// blob: a3f8c2... (session identifier)
// address: 4A1BxN... (your Monero public address)
// viewkey: आपकी निजी दृश्य कुंजी सादा पाठ में

Firefox वेबएक्सटेंशन नेटवर्क कैप्चर से यह पुष्टि होती है कि यह टोकन भेजा गया है। 6 विशिष्ट एपीआई एंडपॉइंट्स प्रति सत्र कुल 40+ POST अनुरोध:

एपीआई एंडपॉइंटअनुरोध / सत्रलीक session_key
/api/getheightsync12 हाँ
/api/gettransactions10 हाँ
/api/getbalance6 हाँ
/api/getsubaddresses4 हाँ
/api/getoutputs3 हाँ
/api/support_login1 हाँ

आपकी निजी कुंजी की 40+ प्रतियाँ

एक ही लॉगिन सत्र आपकी निजी दृश्य कुंजी को सर्वर पर भेजता है। कम से कम 36 बार. सर्वर को इन सभी ऑपरेशनों के लिए आपकी कुंजी की आवश्यकता नहीं है — बैलेंस चेक और हाइट सिंक सार्वजनिक ब्लॉकचेन क्वेरीज़ हैं। कुंजी सामग्री प्रसारित करने का कोई वैध कारण नहीं है। पूर्ण नेटवर्क कैप्चर साक्ष्य: xmrwallet.com गिटहब इश्यू #36 — कुंजी चोरी के सबूत देखें.

हमला #2: लेनदेन अपहरण

मुख्य चोरी हमलावर को अनुमति देती है देखो आपकी जेब। लेकिन xmrwallet.com इससे भी आगे जाता है — यह वास्तविक समय में आपके फंड चुरा लेता है। डीऑब्फस्क्ड प्रोडक्शन जावास्क्रिप्ट एक 5-चरणीय हमले की श्रृंखला प्रकट करती है:

// Step 1: Client builds a legitimate transaction
सीएनयूटीआईएल.लेनदेन बनाएँ() → कच्चा_ट्रांज़ैक्शन_और_हैश

// Step 2: Client transaction is NULLIFIED
कच्चा_ट्रांज़ैक्शन_और_हैश.कच्चा = 0;

// Step 3: Only metadata sent to server (no real tx)
पोस्ट /api/submit_raw_tx { कच्चा: 0, मेटाडेटा: {...} }

// Step 4: Server rebuilds its OWN transaction
// using your keys + its destination address

// Step 5: Stolen transactions tagged internally
यदि(प्रकार == पोंछा गया) → हमलावर-पुनर्निर्देशित लेनदेन

आपका वॉलेट "लेनदेन भेजा गया" दिखाता है। आपके फंड हमलावर के पते पर पहुँच जाते हैं। पीड़ित देखते हैं अज्ञात लेनदेन आईडी जब वे ब्लॉक एक्सप्लोरर्स पर सत्यापित करने की कोशिश करते हैं। लेनदेन आंतरिक रूप से टैग किए गए हैं swept चोरी किए हुए हैं।

आपका लेनदेन कभी हुआ ही नहीं

raw_tx_and_hash.raw = 0 इसका मतलब है कि क्लाइंट द्वारा उत्पन्न लेनदेन को रद्द कर दिया जाता है। सर्वर आपकी कुंजियों का उपयोग करके एक पूरी तरह से नया लेनदेन बनाता है और आपका XMR हमलावर को भेज देता है। जो "success" संदेश आप देखते हैं वह झूठ है। विस्तृत कोड विश्लेषण: xmrwallet.com गिटहब इश्यू #35 — ट्रांजैक्शन हाईजैकिंग का प्रमाण.

छिपा हुआ उत्पादन कोड

xmrwallet.com वैध दिखने के लिए एक सार्वजनिक GitHub रिपॉजिटरी बनाए रखता है। यह रिपॉजिटरी एक झांसा है। तब से इसमें कोई छेड़छाड़ नहीं की गई है। नवंबर 2018उत्पादन साइट पूरी तरह से अलग, अस्पष्ट कोड चलाती है।

सार्वजनिक गिटहब (डिकॉय)

  • अंतिम कमिट: नवम्बर 2018
  • नहीं session_key परिमाण
  • नहीं verification पैरामीटर
  • नहीं /support_login.html
  • कोई गूगल टैग मैनेजर नहीं
  • स्वच्छ, लेखा-परीक्षण योग्य कोड

उत्पादन स्थल (वास्तविक)

  • सक्रिय रूप से अद्यतन 2024-2026
  • session_key बेस64 व्यूकी के साथ
  • verification निकास चैनल
  • /support_login.html पछवाड़ा
  • जीटीएम रिमोट जेएस इंजेक्शन
  • अस्पष्ट, अडिट न हो सकने वाला कोड

बैकडोर और रिमोट कोड इंजेक्शन

उत्पादन स्थल में शामिल हैं /support_login.html — एक छिपा हुआ प्रशासनिक एंडपॉइंट जो GitHub रिपॉजिटरी में पूरी तरह से अनुपस्थित है। के साथ संयुक्त गूगल टैग मैनेजर (जीटीएम-कंटेनर) एकीकरण के दौरान, ऑपरेटर सार्वजनिक कोडबेस को अपडेट किए बिना किसी भी समय लाइव साइट पर दूरस्थ रूप से जावास्क्रिप्ट इंजेक्ट और संशोधित कर सकता है। यह एनालिटिक्स के भेष में एक दूरस्थ कोड निष्पादन वेक्टर है।

गोलीबारी-रोधी बुनियादी ढांचा

xmrwallet.com सस्ती साझा होस्टिंग का उपयोग नहीं करता है। यह प्रीमियम बुलेटप्रूफ इन्फ्रास्ट्रक्चर पर चलता है, जिसे विशेष रूप से टकडाउन अनुरोधों और कानून प्रवर्तन का सामना करने के लिए चुना गया है।

होस्टिंग और नेटवर्क IOCs

सूचकमूल्य
डोमेनएक्सएमआरवॉलेट डॉट कॉम
पंजीयकनेमसाइलो (2016 – 2031, 15-वर्षीय पंजीकरण)
होस्टिंग प्रदाताआईक्यूवेब एफजेड-एलएलसी ($550+/माह)
आईपी पता186.2.165.49
एएसएनएएस59692
सीडीएन / डीडीओएस सुरक्षाडीडीओएस-गार्ड
वेब सर्वरअपाचे 2.4.58 (उबंटू)
बैकएंडPHP 8.2.29
एसएसएल प्रमाणपत्रलेट्स एन्क्रिप्ट (स्वचालित नवीनीकृत)
टोर मिररxmrwalletdatuxms.onion
वार्षिक अवसंरचना लागत$8,000 – $15,000+

ट्रैकिंग एवं विश्लेषण IOCs

ट्रैकरअनुरोध / सत्रपहचानकर्ता
गूगल टैग मैनेजर12जीटीएम कंटेनर
गूगल एनालिटिक्स (यूए)12UA-116766241-1
गूगल एनालिटिक्स 45जीए4 स्ट्रीम
डबलक्लिक1विज्ञापन ट्रैकिंग पिक्सेल
डीडीओएस-गार्ड कुकीज़ __ddg8_, __ddg9_, __ddg10_, __ddg1_

$8K-$15K/Year for a "Free Volunteer Wallet"

एक वैध मुफ्त वॉलेट DDoS-Guard के पीछे IQWEB FZ-LLC की बुलेटप्रूफ होस्टिंग पर प्रति माह $550+ खर्च नहीं करता — यह वह अवसंरचना है जिसे विशेष रूप से दुरुपयोग की शिकायतों और कानून प्रवर्तन के समन का सामना करने के लिए डिज़ाइन किया गया है। यह 15 वर्षों के लिए कोई डोमेन पंजीकृत नहीं करता। यह "गोपनीयता-केंद्रित" मोनेरो वॉलेट पर Google Analytics ट्रैकिंग नहीं चलाता। यह एक ही उद्देश्य के लिए निर्मित अवसंरचना है: बड़े पैमाने पर लगातार चोरी.

ऑपरेटर की पहचान: नताली रॉय

ओपन-सोर्स खुफिया जानकारी xmrwallet.com के बुनियादी ढांचे को सीधे एक ही व्यक्ति से जोड़ती है।

क्षेत्रविवरण
नामनाथाली रॉय
स्थानकनाडा
GitHub उपयोगकर्ता नामनाथरॉय (आईडी: 39167759)
GitHub संगठनएक्सएमआरवॉलेट (निर्मित 2018-05-10)
ईमेल (प्रशासक)admin@xmrwallet.com
ईमेल (व्यक्तिगत)royn5094@protonmail.com
रेडिटयू/वाइज़सॉल्यूशन (r/Monero से प्रतिबंधित)
ट्विटर@xmrwalletcom
मेल सर्वर (MX)mail.privateemail.com

प्रतिबंधित, बेनकाब, फिर भी सक्रिय

नताली रॉय को आधिकारिक से प्रतिबंधित कर दिया गया था आर/मोनेरो सबरेडिट 2018 में xmrwallet.com को बढ़ावा देने के लिए। आखिरी GitHub कमिट उसी साल हुई थी। छह से अधिक वर्षों से सार्वजनिक कोड स्थिर पड़ा है, जबकि प्रोडक्शन साइट पूरी तरह से अलग कोड के साथ सक्रिय रूप से धन चुरा रही है। डोमेन का भुगतान 2031 तक किया गया है — ऑपरेटर कहीं नहीं जा रहा है।

दर्ज किए गए पीड़ित

कम से कम सार्वजनिक रूप से रिपोर्ट किए गए 15 मामले ट्रस्टपायलट, साइटजैबर, रेडिट और गिटहब इश्यूज़ पर फंड चोरी। असली लोग। असली पैसा। गायब।

15+
सार्वजनिक रिपोर्टें
590 एक्सएमआर
सबसे बड़ा एकल ($177K)
0
चोरी के साल
$2M-$15M+
अनुमानित कुल
  • 590 XMR (~$177,000) — एकल चोरी, सबसे बड़ा प्रलेखित मामला
  • १७.४४ एक्सएमआर — ऑन-चेन लेनदेन आईडी के साथ प्रलेखित
  • रातों-रात 20 XMR चोरी हुए — उपयोगकर्ता के सोते समय वॉलेट खाली हुआ
  • "अज्ञात ट्रांज़ैक्शन आईडी" की कई रिपोर्टें — का swept टैग हस्ताक्षर
  • GitHub Issues #13+ हटाए गए — ऑपरेटर रिपो से पीड़ितों की रिपोर्टें हटाता है

मिटाए गए सबूत, कोई दान वॉलेट नहीं

ऑपरेटर सक्रिय रूप से GitHub Issues से पीड़ितों की रिपोर्टें हटाता है (#13 से पहले की सभी रिपोर्टें गायब हैं)। साइट दान स्वीकार करने का दावा करती है लेकिन कोई दान वॉलेट पता कभी प्रकाशित नहीं किया गया है।एक "स्वतंत्र परियोजना" जो सालाना $8K-$15K खर्च करती है, दान क्यों अस्वीकार करेगी? क्योंकि राजस्व चोरी से आता है।

घटनाओं की समयरेखा

समयरेखा 2014-2024: xmrwallet.com 10,000+ चोरी की गई कुंजियाँ - साइट लॉन्च से लेकर पहले पीड़ितों तक और ऑपरेटर की पहचान तक
समयरेखा 2014-2024: xmrwallet.com 10,000+ चोरी की गई कुंजियाँ - साइट लॉन्च से लेकर पहले पीड़ितों तक और ऑपरेटर की पहचान तक
2016

डोमेन पंजीकृत — xmrwallet.com

NameSilo के साथ एक के माध्यम से पंजीकृत 15-वर्षीय पंजीकरण अवधि (2016-2031). एक मुफ्त ओपन-सोर्स मोनेरो वेब वॉलेट के रूप में प्रस्तुत करता है।

मई २०१८

GitHub संगठन बनाया गया

XMRWallet GitHub संगठन बनाया गया 2018-05-10 नाथरॉय द्वारा (आईडी: 39167759)। पारदर्शिता थिएटर के रूप में सार्वजनिक कोड पुश किया गया।

2018

प्रतिबंधित और कोड स्थिर

ऑपरेटर यू/वाइजसॉल्यूशन r/Monero से प्रतिबंधित प्रचार संबंधी स्पैम के लिए। इस समय के आसपास आखिरी GitHub कमिट। पीड़ित के मुद्दे की रिपोर्टें हटाई जाने लगती हैं (मुद्दे #1–#12 गायब)।

२०१८ – २०२४

6 साल की खामोशी

सार्वजनिक रिपॉजिटरी फ्रीज़ हो गई है। प्रोडक्शन कोड पूरी तरह से obfuscated JS, बिना दस्तावेज़ित पैरामीटर और बैकडोर एंडपॉइंट्स के साथ अलग हो गया है। Trustpilot और Reddit पर पीड़ितों की रिपोर्टें जमा हो रही हैं।

२०२५ – २०२६

फिशडिस्ट्रॉय जांच

नेटवर्क ट्रैफ़िक विश्लेषण से पता चलता है session_key निष्कासन। जावास्क्रिप्ट डीऑब्फस्केशन पुष्टि करता है। raw_tx = 0 लेनदेन हाईजैकिंग। GitHub Issues पर प्रकाशित साक्ष्य। #35 & #36.

फरवरी २०२६

रिपोर्ट प्रकाशित — डोमेन अभी भी सक्रिय है

पूर्ण तकनीकी रिपोर्ट प्रकाशित। xmrwallet.com ऑनलाइन बना हुआ है। डोमेन का भुगतान किया गया है। 2031. DDoS-गार्ड टेकडाउन प्रतिरोध प्रदान करता है।

पूर्ण साक्ष्य और स्रोत सामग्री

इस लेख में हर दावे के लिए सार्वजनिक रूप से सत्यापनीय साक्ष्य उपलब्ध हैं। रिपोर्टें डाउनलोड करें। कोड सत्यापित करें। नेटवर्क कैप्चर स्वयं जांचें।

सुरक्षित विकल्प

कभी भी किसी वेब वॉलेट पर निजी कुंजी न डालें। बिंदु। सत्यापित, ऑडिट किया गया सॉफ़्टवेयर उपयोग करें जो आपके डिवाइस पर स्थानीय रूप से चलता हो।

डेस्कटॉप वॉलेट्स

मोनेरो जीयूआई — आधिकारिक वॉलेट, पूर्ण-विशेषताओं वाला, ओपन-सोर्स, ऑडिट किया हुआ
पंख बटुआ — हल्का, तेज़, गोपनीयता-केंद्रित डेस्कटॉप वॉलेट

मोबाइल वॉलेट

मोनेरुजो (एंड्रॉइड) — टोर समर्थन के साथ ओपन-सोर्स
केक वॉलेट (iOS/Android) — मल्टी-कॉइन, अच्छी तरह से रख-रखाव किया गया

क्रिप्टो का स्वर्णिम नियम

कभी भी अपना सीड फ्रेज़, प्राइवेट कीज़, या व्यू कीज़ पर दर्ज न करें। कोई भी वेबसाइटवैध वॉलेट्स स्थानीय रूप से चलते हैं — उन्हें कभी भी आपकी कीज़ सर्वर पर भेजने की ज़रूरत नहीं होती। अगर कोई वेब वॉलेट आपकी निजी कीज़ मांगता है, तो यह एक घोटाला है। अधिकतम सुरक्षा के लिए, आधिकारिक मोनेरो सॉफ़्टवेयर के साथ हार्डवेयर वॉलेट (लेजर, ट्रेज़ोर) का उपयोग करें।

समुदाय की रक्षा करें

xmrwallet.com पिछले 10 वर्षों से मोनेरो चोरी कर रहा है। साक्ष्य सार्वजनिक हैं। ऑपरेटर की पहचान हो चुकी है। इस जांच को साझा करें। डोमेन की रिपोर्ट करें। इसे बंद कराने में हमारी मदद करें।

संबंधित जांचें

xmrwallet.com का अंत: $2M क्रिप्टो चोर की रक्षा के लिए NameSilo ने झूठ बोला
जांच
xmrwallet.com का अंत: $2M क्रिप्टो चोर की रक्षा के लिए NameSilo ने झूठ बोला
ट्रस्ट वॉलेट फ़िशिंग पैनल: $239K चोरी, 6 ऑपरेटर
गहन जांच
ट्रस्ट वॉलेट फ़िशिंग पैनल: $239K चोरी, 6 ऑपरेटर
क्रिप्टो ड्रेनर टूलकिट: एंजेल ड्रेनर पुनर्विक्रेता बेनकाब
गहन जांच
क्रिप्टो ड्रेनर टूलकिट: एंजेल ड्रेनर पुनर्विक्रेता बेनकाब

इस लेख को साझा करें

X टेलीग्राम रेडिट
पारदर्शिता सूचना। PhishDestroy एक गैर-व्यावसायिक, स्वतंत्र परियोजना है। हमारा शोध घोटाले के बुनियादी ढांचे और इसे सक्षम करने वाली सेवाओं के प्रति अंतर्निहित पक्षपात को दर्शा सकता है। हम पाठकों को सभी सामग्री का आलोचनात्मक और स्वतंत्र मूल्यांकन करने के लिए प्रोत्साहित करते हैं। हमारा पूरा पारदर्शिता विवरण पढ़ें →