Vai al contenuto principale
Torna alle notizie

Indagine sul furto di un portafoglio Monero

xmrwallet.com smascherato: 10 anni di chiavi rubate e transazioni dirottate

Approfondita indagine forense su un portafoglio web Monero che codifica in Base64 la tua chiave privata di visualizzazione in un session_key token, lo divulga in oltre 40 richieste API per sessione, quindi annulla la tua transazione con raw_tx = 0 e lo ricostruisce per sottrarti i fondi. Attivo dal 2016. Operatore identificato.

Attivo dal 2016 Oltre 40 fughe di chiavi / sessione Protetto da DDoS-Guard
XMRWallet smascherato
0
Anni di attività
40+
Fughe chiave per sessione
$2M-$15M+
Totale stimato dei beni rubati
0
Aggiornamenti di GitHub dal 2018

La facciata

xmrwallet.com si presenta come un portafoglio Monero gratuito, open source e lato client. Nessun download. Nessuna registrazione. I loro Termini di servizio contengono un’affermazione molto specifica:

"Tutte le operazioni crittografiche avvengono nel tuo browser. Il server non ha alcuna possibilità di accedere alle tue chiavi private."

— Termini di servizio di xmrwallet.com (palesemente falsi)

Questa è una bugia. La nostra analisi forense — acquisizioni di rete, deobfuscazione del codice JavaScript e confronto del codice di produzione — dimostra esattamente il contrario. Ogni chiave inserita su xmrwallet.com viene rubata. Ogni transazione può essere dirottata.

Produzione vs. GitHub: Divergenza totale

Il repository GitHub pubblico non ha ricevuto nemmeno un commit da allora Novembre 2018. Il sito di produzione utilizza un codice completamente diverso, con parametri non documentati che non sono presenti nel repository:

  • session_key — Token di esfiltrazione della chiave di visualizzazione codificato in Base64
  • verification — canale secondario di esfiltrazione
  • timestamp — parametro di tracciamento della sessione
  • data — contenitore aggiuntivo per il carico utile

Dominio registrato tramite NameSilo nel 2016 — pagato in anticipo tramite 2031. Quindici anni di iscrizione a un “progetto libero e indipendente”.

Attacco n. 1: Esfiltrazione delle chiavi di visualizzazione

Quando accedi a xmrwallet.com, la tua chiave privata di visualizzazione viene codificata in Base64 e incorporata in un session_key token. Questo token viene quindi trasmesso al server con ogni singola richiesta API — Più di 40 volte in una sola sessione.

La struttura session_key

chiave_di_sessione = [blob_crittografato]:[base64_address]:[base64_private_viewkey]

// Decoded example:
// blob: a3f8c2... (session identifier)
// address: 4A1BxN... (your Monero public address)
// viewkey: LA TUA CHIAVE DI VISUALIZZAZIONE PRIVATA IN TESTO IN CHIARO

Le registrazioni della rete di Firefox WebExtension confermano che questo token viene trasmesso 6 endpoint API distinti per un totale di oltre 40 richieste POST per sessione:

Endpoint APIRichieste / SessioneDivulgazione della chiave di sessione (session_key)
/api/getheightsync12
/api/gettransactions10
/api/getbalance6
/api/getsubaddresses4
/api/getoutputs3
/api/support_login1

Oltre 40 copie della tua chiave privata

Una singola sessione di accesso invia la tua chiave privata di visualizzazione al server almeno 36 volte. Il server non ha bisogno della tua chiave per nessuna di queste operazioni: i controlli del saldo e le sincronizzazioni dell'altezza sono query pubbliche sulla blockchain. Non c'è alcun motivo legittimo per trasmettere il materiale della chiave. Prova completa della cattura della rete: xmrwallet.com GitHub Issue n. 36 — Visualizza le prove relative all'esfiltrazione delle chiavi.

Attacco n. 2: dirottamento delle transazioni

Il furto delle chiavi di visualizzazione consente all'autore dell'attacco di guarda il tuo portafoglio. Ma xmrwallet.com va oltre: ti ruba i fondi in tempo reale. Il codice JavaScript di produzione deobfuscato rivela una sequenza di attacco in 5 fasi:

// Step 1: Client builds a legitimate transaction
cnUtil.crea_transazione() → raw_tx_and_hash

// Step 2: Client transaction is NULLIFIED
raw_tx_and_hash.raw = 0;

// Step 3: Only metadata sent to server (no real tx)
POST /api/submit_raw_tx { raw: 0, metadati: {...} }

// Step 4: Server rebuilds its OWN transaction
// using your keys + its destination address

// Step 5: Stolen transactions tagged internally
se(tipo == "spazzato via") → transazione reindirizzata dall'autore dell'attacco

Il tuo portafoglio mostra il messaggio "transazione inviata". I tuoi fondi arrivano all'indirizzo dell'autore dell'attacco. Le vittime vedono "ID transazione sconosciuto" quando cercano di verificarle sui block explorer. Le transazioni contrassegnate internamente come swept sono quelli rubati.

La tua transazione non è mai esistita

raw_tx_and_hash.raw = 0 significa che la transazione generata dal client viene scartata. Il server crea una transazione completamente nuova utilizzando le tue chiavi e invia i tuoi XMR all'autore dell'attacco. Il messaggio di "successo" che vedi è falso. Analisi dettagliata del codice: xmrwallet.com GitHub Issue n. 35 — Protezione contro il dirottamento delle transazioni.

Codice di produzione nascosto

xmrwallet.com gestisce un repository GitHub pubblico per sembrare attendibile. Il repository è un diversivo. Non viene aggiornato da Novembre 2018. Il sito di produzione utilizza un codice completamente diverso e offuscato.

GitHub pubblico (esca)

  • Ultimo commit: Novembre 2018
  • No session_key parametro
  • No verification param
  • No /support_login.html
  • Nessun Google Tag Manager
  • Codice pulito e verificabile

Sito produttivo (reale)

  • Aggiornato regolarmente nel periodo 2024-2026
  • session_key con viewkey Base64
  • verification canale di esfiltrazione
  • /support_login.html backdoor
  • Iniezione di codice JavaScript da remoto in GTM
  • Codice offuscato e non verificabile

Backdoor e iniezione di codice da remoto

Il sito di produzione comprende /support_login.html — un endpoint amministrativo nascosto, del tutto assente dal repository GitHub. In combinazione con Google Tag Manager (contenitore GTM) Grazie a questa integrazione, l'operatore può inserire e modificare da remoto il codice JavaScript sul sito attivo in qualsiasi momento, senza aggiornare il codice pubblico. Si tratta di un vettore di esecuzione di codice remoto mascherato da strumento di analisi.

Infrastruttura a prova di tutto

xmrwallet.com non utilizza hosting condiviso di bassa qualità. Il sito opera su un'infrastruttura premium a prova di tutto, scelta appositamente per resistere alle richieste di rimozione e alle autorità giudiziarie.

IOC relativi a hosting e rete

IndicatoreValore
Dominioxmrwallet.com
SegreteriaNameSilo (2016 – 2031, registrazione di 15 anni)
Provider di hostingIQWEB FZ-LLC (550 dollari e oltre al mese)
Indirizzo IP186.2.165.49
ASNAS59692
CDN / Protezione DDoSDDoS-Guard
Server webApache 2.4.58 (Ubuntu)
BackendPHP 8.2.29
Certificato SSLLet's Encrypt (rinnovo automatico)
Mirror di Torxmrwalletdatuxms.onion
Costo annuale delle infrastrutture$8,000 – $15,000+

Indicatori chiave di monitoraggio e analisi (IOC)

TrackerRichieste / SessioneIdentificatore
Google Tag Manager12Contenitore GTM
Google Analytics (UA)12UA-116766241-1
Google Analytics 45Flusso GA4
DoubleClick1Pixel di tracciamento degli annunci
Cookie di DDoS-Guard __ddg8_, __ddg9_, __ddg10_, __ddg1_

$8K-$15K/Year for a "Free Volunteer Wallet"

Un wallet gratuito legittimo non spende più di 550 dollari al mese per l’hosting “bulletproof” di IQWEB FZ-LLC protetto da DDoS-Guard — un’infrastruttura progettata specificatamente per resistere alle segnalazioni di abuso e alle richieste delle forze dell’ordine. Non registra un dominio per 15 anni. Non utilizza il tracciamento di Google Analytics su un portafoglio Monero «orientato alla privacy». Si tratta di un’infrastruttura costruita con un unico scopo: furti persistenti su larga scala.

Operatore identificato: Nathalie Roy

Le informazioni di intelligence open source riconducono l'infrastruttura di xmrwallet.com direttamente a un singolo individuo.

CampoDettagli
NomeNathalie Roy
UbicazioneCanada
Nome utente GitHubnathroy (ID: 39167759)
Organizzazione GitHubxmrwallet (creato il 10 maggio 2018)
E-mail (Amministratore)admin@xmrwallet.com
E-mail (personale)royn5094@protonmail.com
Redditu/WiseSolution (bannato da r/Monero)
Twitter@xmrwalletcom
Server di posta (MX)mail.privateemail.com

Bandito, smascherato, ancora attivo

A Nathalie Roy è stato vietato l'accesso al sito ufficiale subreddit r/Monero nel 2018 per promuovere xmrwallet.com. L'ultimo commit su GitHub risale allo stesso anno. Da oltre 6 anni il codice pubblico è rimasto immutato, mentre il sito di produzione continua a sottrarre fondi utilizzando un codice completamente diverso. Il dominio è pagato fino al 2031: l'operatore non ha alcuna intenzione di andarsene.

Vittime documentate

Almeno 15 casi segnalati pubblicamente di furti di fondi su Trustpilot, Sitejabber, Reddit e GitHub Issues. Persone vere. Soldi veri. Spariti.

15+
Rapporti pubblici
590 XMR
Il più grande singolo importo (177.000 dollari)
0
Anni di furti
$2M-$15M+
Totale stimato
  • 590 XMR (~177.000 $) — un singolo furto, il caso più grave mai documentato
  • 17,44 XMR — documentato con l'ID della transazione sulla blockchain
  • 20 XMR rubati durante la notte — il portafoglio è stato svuotato mentre l'utente dormiva
  • Segnalazioni ripetute relative a "ID transazione sconosciuto" — il swept tag firma
  • Issue GitHub n. 13 e successivi eliminati — l'operatore elimina le segnalazioni delle vittime dal registro

Prove cancellate, nessun portafoglio per le donazioni

L'operatore cancella attivamente le segnalazioni delle vittime da GitHub Issues (tutte le segnalazioni precedenti alla n. 13 sono state eliminate). Il sito dichiara di accettare donazioni, ma Non è mai stato pubblicato alcun indirizzo di portafoglio per le donazioni. Perché mai un “progetto indipendente” che spende tra gli 8.000 e i 15.000 dollari all’anno dovrebbe rifiutare le donazioni? Perché le entrate provengono da furti.

Cronologia degli eventi

Cronologia 2014-2024: xmrwallet.com – oltre 10.000 chiavi rubate – dal lancio del sito alle prime vittime fino all’identificazione del gestore
Cronologia 2014-2024: xmrwallet.com – oltre 10.000 chiavi rubate – dal lancio del sito alle prime vittime fino all’identificazione del gestore
2016

Dominio registrato — xmrwallet.com

Registrato tramite NameSilo con un Periodo di registrazione di 15 anni (2016-2031). Si presenta come un portafoglio web gratuito e open source per Monero.

Maggio 2018

Organizzazione GitHub creata

L'organizzazione GitHub xmrwallet è stata creata il 2018-05-10 di nathroy (ID: 39167759). Codice pubblico pubblicato come mera messinscena di trasparenza.

2018

Sospeso e codice bloccato

Operatore per WiseSolution bannato da r/Monero per spam promozionale. L'ultimo commit su GitHub risale a questo periodo. Le segnalazioni delle vittime iniziano a essere cancellate (le segnalazioni da #1 a #12 sono sparite).

2018 – 2024

6 anni di silenzio

Repository pubblico bloccato. Il codice di produzione presenta divergenze totali, con codice JavaScript offuscato, parametri non documentati ed endpoint backdoor. Le segnalazioni delle vittime si moltiplicano su Trustpilot e Reddit.

2025 – 2026

Inchiesta PhishDestroy

L'analisi del traffico di rete rivela che session_key esfiltrazione. La deoffuscazione del codice JavaScript lo conferma raw_tx = 0 dirottamento delle transazioni. Prove pubblicate su GitHub Issues #35 & #36.

febbraio 2026

Pubblicato il rapporto — Il dominio è ancora attivo

Pubblicato il rapporto tecnico completo. xmrwallet.com rimane online. Il dominio è stato pagato tramite 2031. DDoS-Guard garantisce resistenza ai tentativi di rimozione.

Prove complete e materiali di riferimento

Ogni affermazione contenuta in questo articolo è supportata da prove verificabili pubblicamente. Scaricate i rapporti. Verificate il codice. Controllate voi stessi le registrazioni di rete.

Alternative sicure

Non inserire mai le chiavi private in nessun portafoglio online. Punto. Utilizza software verificato e sottoposto a revisione che venga eseguito localmente sul tuo dispositivo.

Portafogli da desktop

Interfaccia grafica di Monero — Portafoglio ufficiale, completo di tutte le funzionalità, open source, sottoposto a revisione
Portafoglio Feather — Portafoglio desktop leggero, veloce e incentrato sulla privacy

Portafogli mobili

Monerujo (Android) — Open source con supporto per Tor
Portafoglio Cake (iOS/Android) — Supporta più valute, ben curato

La regola d'oro delle criptovalute

Non inserire mai la tua frase di seed, le chiavi private o le chiavi di visualizzazione su qualsiasi sito web. I portafogli affidabili funzionano in locale: non devono mai inviare le tue chiavi a un server. Se un portafoglio web ti chiede le tue chiavi private, si tratta di una truffa. Per la massima sicurezza, utilizza un portafoglio hardware (Ledger, Trezor) con il software ufficiale di Monero.

Proteggiamo la comunità

xmrwallet ruba Monero da 10 anni. Le prove sono di dominio pubblico. L'operatore è stato identificato. Condividi questa indagine. Segnala il dominio. Aiutaci a chiuderlo.

Indagini correlate

La fine di xmrwallet.com: NameSilo ha mentito per proteggere un ladro di criptovalute da 2 milioni di dollari
INDAGINE
La fine di xmrwallet.com: NameSilo ha mentito per proteggere un ladro di criptovalute da 2 milioni di dollari
Panel sul phishing di Trust Wallet: 239.000 dollari rubati, 6 operatori
INDAGINE APPROFONDITA
Panel sul phishing di Trust Wallet: 239.000 dollari rubati, 6 operatori
Crypto Drainer Toolkit: smascherati i rivenditori di Angel Drainer
INDAGINE APPROFONDITA
Crypto Drainer Toolkit: smascherati i rivenditori di Angel Drainer

Condividi questo articolo

X Telegram Reddit
Avviso sulla trasparenza. PhishDestroy è un progetto indipendente e senza fini di lucro. La nostra ricerca potrebbe riflettere un pregiudizio intrinseco nei confronti delle infrastrutture utilizzate per le truffe e dei servizi che le rendono possibili. Invitiamo i lettori a valutare tutto il materiale in modo critico e autonomo. Leggi la nostra dichiarazione completa sulla trasparenza →