Langsung ke konten utama
Kembali ke Berita

Penyelidikan Pencurian Dompet Monero

xmrwallet.com Terbongkar: 10 Tahun Kunci yang Dicuri & Transaksi yang Dibajak

Penyelidikan forensik mendalam terhadap dompet web Monero yang mengenkode kunci pribadi Anda menggunakan Base64 menjadi sebuah session_key token, membocorkannya melalui lebih dari 40 permintaan API per sesi, lalu membatalkan transaksi Anda dengan raw_tx = 0 dan memodifikasinya untuk mencuri dana Anda. Aktif sejak 2016. Operatornya telah teridentifikasi.

Aktif Sejak 2016 40+ Kebocoran Kunci / Sesi Dilindungi oleh DDoS-Guard
xmrwallet Terungkap
0
Tahun Aktif
40+
Jumlah Kebocoran Kunci per Sesi
$2M-$15M+
Perkiraan Total Barang yang Dicuri
0
Pembaruan GitHub Sejak 2018

Fasad

xmrwallet.com menyajikan diri sebagai dompet Monero sisi klien yang gratis, berbasis sumber terbuka. Tanpa perlu mengunduh. Tanpa pendaftaran. Ketentuan Layanan mereka mencantumkan pernyataan yang sangat spesifik:

"Semua operasi kriptografi dilakukan di peramban Anda. Server tidak memiliki kemampuan untuk mengakses kunci pribadi Anda."

— Ketentuan Layanan xmrwallet.com (terbukti salah)

Ini bohong. Analisis forensik kami — penangkapan data jaringan, penguraian kode JavaScript, dan perbandingan kode produksi — membuktikan hal yang justru sebaliknya. Setiap kunci yang dimasukkan di xmrwallet.com dicuri. Setiap transaksi dapat disusupi.

Produksi vs. GitHub: Perbedaan Total

Yang repositori GitHub publik belum menerima satu pun commit sejak November 2018. Situs produksi menjalankan kode yang sama sekali berbeda dengan parameter yang tidak terdokumentasi dan tidak terdapat di repositori:

  • session_key — Token eksfiltrasi kunci tampilan yang dikodekan dengan Base64
  • verification — saluran eksfiltrasi sekunder
  • timestamp — parameter pelacakan sesi
  • data — kontainer muatan tambahan

Domain yang didaftarkan melalui NameSilo pada tahun 2016 — dibayar di muka melalui 2031. Lima belas tahun pendaftaran untuk sebuah "proyek mandiri bebas."

Serangan #1: Pengambilan Data Kunci Tampilan

Saat Anda masuk ke xmrwallet.com, kunci tampilan pribadi Anda dienkripsi menggunakan Base64 dan disematkan ke dalam sebuah session_key token. Token ini kemudian dikirimkan ke server bersama dengan setiap permintaan API — Lebih dari 40 kali dalam satu sesi.

Struktur session_key

session_key = [blob terenkripsi]:[base64_address]:[base64_private_viewkey]

// Decoded example:
// blob: a3f8c2... (session identifier)
// address: 4A1BxN... (your Monero public address)
// viewkey: KUNCI TAYANGAN PRIBADI ANDA DALAM TEKS BIASA

Data penangkapan jaringan Firefox WebExtension menegaskan bahwa token ini dikirimkan 6 titik akhir API yang berbeda dengan total lebih dari 40 permintaan POST per sesi:

Titik Akhir APIPermintaan / SesiKebocoran session_key
/api/getheightsync12 Ya
/api/gettransactions10 Ya
/api/getbalance6 Ya
/api/getsubaddresses4 Ya
/api/getoutputs3 Ya
/api/support_login1 Ya

Lebih dari 40 Salinan Kunci Pribadi Anda

Satu sesi login akan mengirimkan kunci tampilan pribadi Anda ke server setidaknya 36 kali. Server tidak memerlukan kunci Anda untuk operasi-operasi ini — pemeriksaan saldo dan sinkronisasi ketinggian merupakan kueri blockchain publik. Tidak ada alasan yang sah sama sekali untuk mengirimkan materi kunci. Bukti rekaman jaringan lengkap: xmrwallet.com GitHub Issue #36 — Lihat Bukti Pembocoran Kunci.

Serangan #2: Pembajakan Transaksi

Pencurian kunci tampilan memungkinkan penyerang tonton dompet Anda. Namun, xmrwallet.com melangkah lebih jauh — situs ini mencuri dana Anda secara real time. Kode JavaScript versi produksi yang telah di-deobfuscate tersebut mengungkap urutan serangan dalam 5 langkah:

// Step 1: Client builds a legitimate transaction
cnUtil.buat_transaksi() → raw_tx_dan_hash

// Step 2: Client transaction is NULLIFIED
raw_tx_dan_hash.raw = 0;

// Step 3: Only metadata sent to server (no real tx)
POSTING /api/submit_raw_tx { raw: 0, metadata: {...} }

// Step 4: Server rebuilds its OWN transaction
// using your keys + its destination address

// Step 5: Stolen transactions tagged internally
jika(jenis == 'dibersihkan') → transaksi yang dialihkan oleh penyerang

Dompet Anda menampilkan pesan "transaksi telah dikirim." Dana Anda masuk ke alamat penyerang. Para korban melihat "ID transaksi tidak dikenal" ketika mereka mencoba memverifikasinya di penjelajah blok. Transaksi yang secara internal diberi tag sebagai swept adalah yang dicuri.

Transaksi Anda Tidak Pernah Ada

raw_tx_and_hash.raw = 0 artinya transaksi yang dibuat oleh klien akan diabaikan. Server membuat transaksi yang sepenuhnya baru menggunakan kunci Anda dan mengirimkan XMR Anda kepada penyerang. Pesan "berhasil" yang Anda lihat itu bohong. Analisis kode secara terperinci: xmrwallet.com Masalah GitHub #35 — Bukti Pembajakan Transaksi.

Kode Produksi Tersembunyi

xmrwallet.com mengelola repositori GitHub publik agar tampak sah. Repositori tersebut hanyalah umpan. Repositori itu belum pernah diutak-atik sejak November 2018. Lokasi produksi tersebut menjalankan kode yang sama sekali berbeda dan telah diobfuskasi.

GitHub Publik (Umpan)

  • Komitmen terakhir: November 2018
  • Tidak session_key parameter
  • Tidak verification param
  • Tidak /support_login.html
  • Tidak ada Google Tag Manager
  • Kode yang rapi dan dapat diaudit

Lokasi Produksi (Asli)

  • Diperbarui secara berkala pada periode 2024–2026
  • session_key dengan kunci tampilan Base64
  • verification saluran eksfil
  • /support_login.html pintu belakang
  • Injeksi JS jarak jauh GTM
  • Kode yang disamarkan dan tidak dapat diaudit

Backdoor & Injeksi Kode Jarak Jauh

Lokasi produksi mencakup /support_login.html — sebuah titik akhir administratif tersembunyi yang sama sekali tidak tercantum dalam repositori GitHub. Ditambah dengan Google Tag Manager (kontainer GTM) Melalui integrasi ini, operator dapat menyisipkan dan mengubah kode JavaScript pada situs yang sedang aktif dari jarak jauh kapan saja — tanpa perlu memperbarui basis kode publik. Ini merupakan vektor eksekusi kode jarak jauh yang menyamar sebagai fitur analitik.

Infrastruktur yang Tahan Serangan

xmrwallet.com tidak menggunakan layanan hosting bersama yang murah. Situs ini beroperasi di atas infrastruktur premium yang sangat tangguh, yang secara khusus dipilih untuk menahan permintaan Penghapusan situs dan tindakan penegak hukum.

IOC Hosting & Jaringan

IndikatorNilai
Domainxmrwallet.com
Petugas PendaftaranNameSilo (2016 – 2031, masa pendaftaran 15 tahun)
Penyedia Layanan HostingIQWEB FZ-LLC (550+ dolar AS per bulan)
Alamat IP186.2.165.49
ASNAS59692
CDN / Perlindungan DDoSDDoS-Guard
Server WebApache 2.4.58 (Ubuntu)
BackendPHP 8.2.29
Sertifikat SSLLet's Encrypt (diperpanjang secara otomatis)
Cermin Torxmrwalletdatuxms.onion
Biaya Infrastruktur Tahunan$8,000 – $15,000+

Indikator Operasional Utama (IOC) Pelacakan & Analisis

PelacakPermintaan / SesiPengidentifikasi
Google Tag Manager12Kontainer GTM
Google Analytics (UA)12UA-116766241-1
Google Analytics 45Aliran GA4
DoubleClick1Piksel pelacakan iklan
Cookie DDoS-Guard __ddg8_, __ddg9_, __ddg10_, __ddg1_

$8K-$15K/Year for a "Free Volunteer Wallet"

Dompet gratis yang sah tidak akan menghabiskan $550+/bulan untuk layanan hosting anti-serangan IQWEB FZ-LLC yang dilindungi DDoS-Guard — infrastruktur yang dirancang khusus untuk menangkis keluhan penyalahgunaan dan panggilan pengadilan dari penegak hukum. Dompet tersebut juga tidak mendaftarkan domain untuk jangka waktu 15 tahun. Dompet tersebut juga tidak menjalankan pelacakan Google Analytics pada dompet Monero yang "berfokus pada privasi". Infrastruktur ini dibangun untuk satu tujuan: pencurian yang terus-menerus dan terjadi dalam skala besar.

Operator yang Teridentifikasi: Nathalie Roy

Informasi dari sumber terbuka menunjukkan bahwa infrastruktur xmrwallet.com dapat dilacak langsung ke satu orang.

LapanganDetail
NamaNathalie Roy
LokasiKanada
Nama Pengguna GitHubnathroy (ID: 39167759)
Organisasi GitHubxmrwallet (dibuat pada 10 Mei 2018)
Email (Admin)admin@xmrwallet.com
Email (Pribadi)royn5094@protonmail.com
Redditu/WiseSolution (diblokir dari r/Monero)
Twitter@xmrwalletcom
Server Surat (MX)mail.privateemail.com

Diblokir, Terungkap, Tetap Aktif

Nathalie Roy dilarang mengikuti ajang resmi subreddit r/Monero pada tahun 2018 untuk mempromosikan xmrwallet.com. Komit GitHub terakhir dilakukan pada tahun yang sama. Selama lebih dari 6 tahun, kode sumber yang terbuka untuk umum telah dibekukan, sementara situs produksi secara aktif mencuri dana menggunakan kode yang sama sekali berbeda. Domain tersebut telah dibayar hingga tahun 2031 — pengelolanya tidak akan kemana-mana.

Korban yang Tercatat

Setidaknya 15 kasus yang dilaporkan ke publik tentang kasus pencurian dana di Trustpilot, Sitejabber, Reddit, dan GitHub Issues. Orang sungguhan. Uang sungguhan. Hilang.

15+
Laporan Publik
590 XMR
Yang Terbesar Tunggal ($177K)
0
Pencurian Selama Bertahun-tahun
$2M-$15M+
Perkiraan Total
  • 590 XMR (~$177.000) — satu kasus pencurian, kasus terbesar yang tercatat
  • 17,44 XMR — tercatat dengan ID transaksi di blockchain
  • 20 XMR dicuri semalam — dompet digitalnya habis saat pengguna sedang tidur
  • Terdapat beberapa laporan mengenai "ID transaksi tidak dikenal" — yang swept tanda tangan tag
  • Masalah GitHub #13 ke atas telah dihapus — operator menghapus laporan korban dari repositori

Bukti yang Dihapus, Tidak Ada Dompet Donasi

Operator secara aktif menghapus laporan korban dari GitHub Issues (semua laporan sebelum #13 sudah hilang). Situs tersebut mengklaim menerima sumbangan, tetapi Alamat dompet untuk donasi belum pernah dipublikasikan. Mengapa sebuah "proyek independen" yang menghabiskan $8K-$15K per tahun menolak sumbangan? Karena pendapatannya berasal dari pencurian.

Kronologi Peristiwa

Garis Waktu 2014–2024: xmrwallet.com—lebih dari 10.000 kunci dicuri—mulai dari peluncuran situs hingga munculnya korban pertama hingga teridentifikasinya operator
Garis Waktu 2014–2024: xmrwallet.com—lebih dari 10.000 kunci dicuri—mulai dari peluncuran situs hingga munculnya korban pertama hingga teridentifikasinya operator
2016

Domain Telah Didaftarkan — xmrwallet.com

Didaftarkan melalui NameSilo dengan sebuah Masa pendaftaran selama 15 tahun (2016–2031). Hadir sebagai dompet web Monero yang gratis dan bersumber terbuka.

Mei 2018

Organisasi GitHub Telah Dibuat

Organisasi GitHub xmrwallet dibuat pada 2018-05-10 oleh nathroy (ID: 39167759). Kode publik yang diunggah sebagai sandiwara transparansi.

2018

Diblokir & Kode Dibekukan

Operator untuk WiseSolution diblokir dari r/Monero karena spam promosi. Komit GitHub terakhir sekitar waktu itu. Laporan masalah dari para korban mulai dihapus (Masalah #1–#12 sudah hilang).

2018 – 2024

6 Tahun Keheningan

Repositori publik telah dibekukan. Kode produksi menyimpang sepenuhnya dengan JavaScript yang dikaburkan, parameter yang tidak terdokumentasi, dan titik akhir yang mengandung backdoor. Laporan korban terus bermunculan di Trustpilot dan Reddit.

2025 – 2026

Penyelidikan PhishDestroy

Analisis lalu lintas jaringan menunjukkan session_key pengambilan data. Proses deobfuscation JavaScript membuktikan hal tersebut raw_tx = 0 pembajakan transaksi. Bukti yang dipublikasikan di GitHub Issues #35 & #36.

Februari 2026

Laporan Telah Diterbitkan — Domain Masih Aktif

Laporan teknis lengkap telah diterbitkan. xmrwallet.com tetap online. Pembayaran domain telah dilakukan melalui 2031. DDoS-Guard memberikan ketahanan terhadap penghapusan situs.

Bukti Lengkap & Sumber-sumber

Setiap pernyataan dalam artikel ini didukung oleh bukti yang dapat diverifikasi secara publik. Unduh laporannya. Verifikasi kodenya. Periksa sendiri rekaman jaringan tersebut.

Alternatif yang Aman

Jangan pernah memasukkan kunci pribadi di dompet web mana pun. Titik. Gunakan perangkat lunak yang telah diverifikasi dan diaudit, yang berjalan secara lokal di perangkat Anda.

Dompet Desktop

Antarmuka Pengguna Monero — Dompet resmi, dilengkapi fitur lengkap, sumber terbuka, dan telah diaudit
Dompet Bulu — Dompet desktop yang ringan, cepat, dan mengutamakan privasi

Dompet Seluler

Monerujo (Android) — Perangkat lunak sumber terbuka dengan dukungan Tor
Dompet Cake (iOS/Android) — Mendukung berbagai koin, terawat dengan baik

Aturan Emas dalam Dunia Kripto

Jangan pernah memasukkan frasa benih, kunci pribadi, atau kunci tampilan Anda di situs web mana pun. Dompet yang sah dijalankan secara lokal — dompet tersebut tidak pernah perlu mengirimkan kunci Anda ke server. Jika sebuah dompet web meminta kunci pribadi Anda, itu adalah penipuan. Untuk keamanan maksimal, gunakan dompet perangkat keras (Ledger, Trezor) dengan perangkat lunak Monero resmi.

Lindungi Masyarakat

xmrwallet telah mencuri Monero selama 10 tahun. Buktinya sudah dipublikasikan. Identitas pengelolanya telah terungkap. Sebarkan hasil investigasi ini. Laporkan domain tersebut. Bantu kami menutup situs tersebut.

Penyelidikan Terkait

Akhir dari xmrwallet.com: NameSilo Berbohong untuk Melindungi Seorang Pencuri Kripto Senilai $2 Juta
PENYELIDIKAN
Akhir dari xmrwallet.com: NameSilo Berbohong untuk Melindungi Seorang Pencuri Kripto Senilai $2 Juta
Panel Phishing Trust Wallet: $239K Dicuri, 6 Pelaku
PENELITIAN MENDALAM
Panel Phishing Trust Wallet: $239K Dicuri, 6 Pelaku
Crypto Drainer Toolkit: Para Penjual Kembali Angel Drainer Terbongkar
PENELITIAN MENDALAM
Crypto Drainer Toolkit: Para Penjual Kembali Angel Drainer Terbongkar

Bagikan artikel ini

X Telegram Reddit
Pemberitahuan mengenai transparansi. PhishDestroy adalah proyek independen yang bersifat non-komersial. Penelitian kami mungkin mencerminkan bias bawaan terhadap infrastruktur penipuan dan layanan yang mendukungnya. Kami mendorong para pembaca untuk mengevaluasi semua materi secara kritis dan mandiri. Baca pernyataan transparansi lengkap kami →