Penyelidikan forensik mendalam terhadap dompet web Monero yang mengenkode kunci pribadi Anda menggunakan Base64 menjadi sebuah session_key
token, membocorkannya melalui lebih dari 40 permintaan API per sesi, lalu membatalkan
transaksi Anda dengan
raw_tx = 0
dan memodifikasinya untuk mencuri dana Anda. Aktif sejak 2016. Operatornya
telah teridentifikasi.
~9 menit waktu baca·
Diperbarui Maret 2026·
PhishDestroy Intelligence
Aktif Sejak 201640+ Kebocoran Kunci / SesiDilindungi oleh DDoS-Guard
0
Tahun Aktif
40+
Jumlah Kebocoran Kunci per Sesi
$2M-$15M+
Perkiraan Total Barang yang Dicuri
0
Pembaruan GitHub Sejak 2018
Fasad
xmrwallet.com menyajikan diri sebagai dompet Monero sisi klien yang gratis,
berbasis sumber terbuka. Tanpa perlu mengunduh. Tanpa
pendaftaran. Ketentuan Layanan mereka mencantumkan pernyataan yang sangat spesifik:
"Semua operasi kriptografi dilakukan di peramban Anda. Server
tidak memiliki kemampuan untuk mengakses kunci pribadi Anda."
— Ketentuan Layanan xmrwallet.com (terbukti salah)
Ini bohong. Analisis forensik kami — penangkapan data jaringan,
penguraian kode JavaScript, dan perbandingan kode produksi —
membuktikan hal yang justru sebaliknya. Setiap kunci yang dimasukkan di xmrwallet.com
dicuri. Setiap transaksi dapat disusupi.
Produksi vs. GitHub:
Perbedaan Total
Yang
repositori GitHub publik
belum menerima satu pun commit sejak
November 2018. Situs produksi menjalankan
kode yang sama sekali berbeda dengan parameter yang tidak terdokumentasi dan tidak terdapat di
repositori:
session_key — Token eksfiltrasi kunci tampilan yang dikodekan dengan Base64
verification — saluran eksfiltrasi sekunder
timestamp — parameter pelacakan sesi
data — kontainer muatan tambahan
Domain yang didaftarkan melalui NameSilo pada tahun 2016 — dibayar di muka melalui 2031. Lima belas tahun pendaftaran untuk sebuah "proyek mandiri bebas."
Serangan #1: Pengambilan Data Kunci Tampilan
Saat Anda masuk ke xmrwallet.com, kunci tampilan pribadi Anda dienkripsi menggunakan Base64 dan disematkan ke dalam sebuah session_key token. Token ini kemudian dikirimkan ke server bersama dengan setiap permintaan API — Lebih dari 40 kali dalam satu sesi.
// Decoded example: // blob: a3f8c2... (session identifier) // address: 4A1BxN... (your Monero public address) // viewkey: KUNCI TAYANGAN PRIBADI ANDA DALAM TEKS BIASA
Data penangkapan jaringan Firefox WebExtension menegaskan bahwa token ini dikirimkan 6 titik akhir API yang berbeda dengan total lebih dari 40 permintaan POST per sesi:
Titik Akhir API
Permintaan / Sesi
Kebocoran session_key
/api/getheightsync
12
Ya
/api/gettransactions
10
Ya
/api/getbalance
6
Ya
/api/getsubaddresses
4
Ya
/api/getoutputs
3
Ya
/api/support_login
1
Ya
Lebih dari 40 Salinan Kunci Pribadi Anda
Satu sesi login akan mengirimkan kunci tampilan pribadi Anda ke server setidaknya 36 kali. Server tidak memerlukan kunci Anda untuk operasi-operasi ini — pemeriksaan saldo dan sinkronisasi ketinggian merupakan kueri blockchain publik. Tidak ada alasan yang sah sama sekali untuk mengirimkan materi kunci. Bukti rekaman jaringan lengkap: xmrwallet.com GitHub Issue #36 — Lihat Bukti Pembocoran Kunci.
Serangan #2: Pembajakan Transaksi
Pencurian kunci tampilan memungkinkan penyerang tonton dompet Anda. Namun, xmrwallet.com melangkah lebih jauh — situs ini mencuri dana Anda secara real time. Kode JavaScript versi produksi yang telah di-deobfuscate tersebut mengungkap urutan serangan dalam 5 langkah:
// Step 2: Client transaction is NULLIFIED raw_tx_dan_hash.raw = 0;
// Step 3: Only metadata sent to server (no real tx) POSTING /api/submit_raw_tx { raw: 0, metadata: {...} }
// Step 4: Server rebuilds its OWN transaction // using your keys + its destination address
// Step 5: Stolen transactions tagged internally jika(jenis == 'dibersihkan') → transaksi yang dialihkan oleh penyerang
Dompet Anda menampilkan pesan "transaksi telah dikirim." Dana Anda masuk ke alamat penyerang. Para korban melihat "ID transaksi tidak dikenal" ketika mereka mencoba memverifikasinya di penjelajah blok. Transaksi yang secara internal diberi tag sebagai swept adalah yang dicuri.
Transaksi Anda Tidak Pernah Ada
raw_tx_and_hash.raw = 0 artinya transaksi yang dibuat oleh klien akan diabaikan. Server membuat transaksi yang sepenuhnya baru menggunakan kunci Anda dan mengirimkan XMR Anda kepada penyerang. Pesan "berhasil" yang Anda lihat itu bohong. Analisis kode secara terperinci: xmrwallet.com Masalah GitHub #35 — Bukti Pembajakan Transaksi.
Kode Produksi Tersembunyi
xmrwallet.com mengelola repositori GitHub publik agar tampak sah. Repositori tersebut hanyalah umpan. Repositori itu belum pernah diutak-atik sejak November 2018. Lokasi produksi tersebut menjalankan kode yang sama sekali berbeda dan telah diobfuskasi.
GitHub Publik (Umpan)
Komitmen terakhir: November 2018
Tidak session_key parameter
Tidak verification param
Tidak /support_login.html
Tidak ada Google Tag Manager
Kode yang rapi dan dapat diaudit
Lokasi Produksi (Asli)
Diperbarui secara berkala pada periode 2024–2026
session_key dengan kunci tampilan Base64
verification saluran eksfil
/support_login.html pintu belakang
Injeksi JS jarak jauh GTM
Kode yang disamarkan dan tidak dapat diaudit
Backdoor & Injeksi Kode Jarak Jauh
Lokasi produksi mencakup /support_login.html — sebuah titik akhir administratif tersembunyi yang sama sekali tidak tercantum dalam repositori GitHub. Ditambah dengan Google Tag Manager (kontainer GTM) Melalui integrasi ini, operator dapat menyisipkan dan mengubah kode JavaScript pada situs yang sedang aktif dari jarak jauh kapan saja — tanpa perlu memperbarui basis kode publik. Ini merupakan vektor eksekusi kode jarak jauh yang menyamar sebagai fitur analitik.
Infrastruktur yang Tahan Serangan
xmrwallet.com tidak menggunakan layanan hosting bersama yang murah. Situs ini beroperasi di atas infrastruktur premium yang sangat tangguh, yang secara khusus dipilih untuk menahan permintaan Penghapusan situs dan tindakan penegak hukum.
IOC Hosting & Jaringan
Indikator
Nilai
Domain
xmrwallet.com
Petugas Pendaftaran
NameSilo (2016 – 2031, masa pendaftaran 15 tahun)
Penyedia Layanan Hosting
IQWEB FZ-LLC (550+ dolar AS per bulan)
Alamat IP
186.2.165.49
ASN
AS59692
CDN / Perlindungan DDoS
DDoS-Guard
Server Web
Apache 2.4.58 (Ubuntu)
Backend
PHP 8.2.29
Sertifikat SSL
Let's Encrypt (diperpanjang secara otomatis)
Cermin Tor
xmrwalletdatuxms.onion
Biaya Infrastruktur Tahunan
$8,000 – $15,000+
Indikator Operasional Utama (IOC) Pelacakan & Analisis
Pelacak
Permintaan / Sesi
Pengidentifikasi
Google Tag Manager
12
Kontainer GTM
Google Analytics (UA)
12
UA-116766241-1
Google Analytics 4
5
Aliran GA4
DoubleClick
1
Piksel pelacakan iklan
Cookie DDoS-Guard
—
__ddg8_, __ddg9_, __ddg10_, __ddg1_
$8K-$15K/Year for a "Free Volunteer Wallet"
Dompet gratis yang sah tidak akan menghabiskan $550+/bulan untuk layanan hosting anti-serangan IQWEB FZ-LLC yang dilindungi DDoS-Guard — infrastruktur yang dirancang khusus untuk menangkis keluhan penyalahgunaan dan panggilan pengadilan dari penegak hukum. Dompet tersebut juga tidak mendaftarkan domain untuk jangka waktu 15 tahun. Dompet tersebut juga tidak menjalankan pelacakan Google Analytics pada dompet Monero yang "berfokus pada privasi". Infrastruktur ini dibangun untuk satu tujuan: pencurian yang terus-menerus dan terjadi dalam skala besar.
Operator yang Teridentifikasi: Nathalie Roy
Informasi dari sumber terbuka menunjukkan bahwa infrastruktur xmrwallet.com dapat dilacak langsung ke satu orang.
Nathalie Roy dilarang mengikuti ajang resmi subreddit r/Monero pada tahun 2018 untuk mempromosikan xmrwallet.com. Komit GitHub terakhir dilakukan pada tahun yang sama. Selama lebih dari 6 tahun, kode sumber yang terbuka untuk umum telah dibekukan, sementara situs produksi secara aktif mencuri dana menggunakan kode yang sama sekali berbeda. Domain tersebut telah dibayar hingga tahun 2031 — pengelolanya tidak akan kemana-mana.
Korban yang Tercatat
Setidaknya 15 kasus yang dilaporkan ke publik tentang kasus pencurian dana di Trustpilot, Sitejabber, Reddit, dan GitHub Issues. Orang sungguhan. Uang sungguhan. Hilang.
15+
Laporan Publik
590 XMR
Yang Terbesar Tunggal ($177K)
0
Pencurian Selama Bertahun-tahun
$2M-$15M+
Perkiraan Total
590 XMR (~$177.000) — satu kasus pencurian, kasus terbesar yang tercatat
17,44 XMR — tercatat dengan ID transaksi di blockchain
20 XMR dicuri semalam — dompet digitalnya habis saat pengguna sedang tidur
Terdapat beberapa laporan mengenai "ID transaksi tidak dikenal" — yang swept tanda tangan tag
Masalah GitHub #13 ke atas telah dihapus — operator menghapus laporan korban dari repositori
Bukti yang Dihapus, Tidak Ada Dompet Donasi
Operator secara aktif menghapus laporan korban dari GitHub Issues (semua laporan sebelum #13 sudah hilang). Situs tersebut mengklaim menerima sumbangan, tetapi Alamat dompet untuk donasi belum pernah dipublikasikan. Mengapa sebuah "proyek independen" yang menghabiskan $8K-$15K per tahun menolak sumbangan? Karena pendapatannya berasal dari pencurian.
Kronologi Peristiwa
Garis Waktu 2014–2024: xmrwallet.com—lebih dari 10.000 kunci dicuri—mulai dari peluncuran situs hingga munculnya korban pertama hingga teridentifikasinya operator
2016
Domain Telah Didaftarkan — xmrwallet.com
Didaftarkan melalui NameSilo dengan sebuah Masa pendaftaran selama 15 tahun (2016–2031). Hadir sebagai dompet web Monero yang gratis dan bersumber terbuka.
Mei 2018
Organisasi GitHub Telah Dibuat
Organisasi GitHub xmrwallet dibuat pada 2018-05-10 oleh nathroy (ID: 39167759). Kode publik yang diunggah sebagai sandiwara transparansi.
2018
Diblokir & Kode Dibekukan
Operator untuk WiseSolution diblokir dari r/Monero karena spam promosi. Komit GitHub terakhir sekitar waktu itu. Laporan masalah dari para korban mulai dihapus (Masalah #1–#12 sudah hilang).
2018 – 2024
6 Tahun Keheningan
Repositori publik telah dibekukan. Kode produksi menyimpang sepenuhnya dengan JavaScript yang dikaburkan, parameter yang tidak terdokumentasi, dan titik akhir yang mengandung backdoor. Laporan korban terus bermunculan di Trustpilot dan Reddit.
2025 – 2026
Penyelidikan PhishDestroy
Analisis lalu lintas jaringan menunjukkan session_key pengambilan data. Proses deobfuscation JavaScript membuktikan hal tersebut raw_tx = 0 pembajakan transaksi. Bukti yang dipublikasikan di GitHub Issues #35 & #36.
Februari 2026
Laporan Telah Diterbitkan — Domain Masih Aktif
Laporan teknis lengkap telah diterbitkan. xmrwallet.com tetap online. Pembayaran domain telah dilakukan melalui 2031. DDoS-Guard memberikan ketahanan terhadap penghapusan situs.
Bukti Lengkap & Sumber-sumber
Setiap pernyataan dalam artikel ini didukung oleh bukti yang dapat diverifikasi secara publik. Unduh laporannya. Verifikasi kodenya. Periksa sendiri rekaman jaringan tersebut.
Jangan pernah memasukkan kunci pribadi di dompet web mana pun. Titik. Gunakan perangkat lunak yang telah diverifikasi dan diaudit, yang berjalan secara lokal di perangkat Anda.
Dompet Desktop
Antarmuka Pengguna Monero — Dompet resmi, dilengkapi fitur lengkap, sumber terbuka, dan telah diaudit Dompet Bulu — Dompet desktop yang ringan, cepat, dan mengutamakan privasi
Dompet Seluler
Monerujo (Android) — Perangkat lunak sumber terbuka dengan dukungan Tor Dompet Cake (iOS/Android) — Mendukung berbagai koin, terawat dengan baik
Aturan Emas dalam Dunia Kripto
Jangan pernah memasukkan frasa benih, kunci pribadi, atau kunci tampilan Anda di situs web mana pun. Dompet yang sah dijalankan secara lokal — dompet tersebut tidak pernah perlu mengirimkan kunci Anda ke server. Jika sebuah dompet web meminta kunci pribadi Anda, itu adalah penipuan. Untuk keamanan maksimal, gunakan dompet perangkat keras (Ledger, Trezor) dengan perangkat lunak Monero resmi.
Lindungi Masyarakat
xmrwallet telah mencuri Monero selama 10 tahun. Buktinya sudah dipublikasikan. Identitas pengelolanya telah terungkap. Sebarkan hasil investigasi ini. Laporkan domain tersebut. Bantu kami menutup situs tersebut.
Pemberitahuan mengenai transparansi. PhishDestroy adalah proyek independen yang bersifat non-komersial. Penelitian kami mungkin mencerminkan bias bawaan terhadap infrastruktur penipuan dan layanan yang mendukungnya. Kami mendorong para pembaca untuk mengevaluasi semua materi secara kritis dan mandiri. Baca pernyataan transparansi lengkap kami →