Approfondita indagine forense su un portafoglio web Monero che codifica in Base64 la tua chiave privata di visualizzazione in un session_key
token, lo divulga in oltre 40 richieste API per sessione, quindi annulla
la tua transazione con
raw_tx = 0
e lo ricostruisce per sottrarti i fondi. Attivo dal 2016. Operatore
identificato.
~9 min di lettura·
Aggiornato Marzo 2026·
PhishDestroy Intelligence
Attivo dal 2016Oltre 40 fughe di chiavi / sessioneProtetto da DDoS-Guard
0
Anni di attività
40+
Fughe chiave per sessione
$2M-$15M+
Totale stimato dei beni rubati
0
Aggiornamenti di GitHub dal 2018
La facciata
xmrwallet.com si presenta come un portafoglio Monero gratuito,
open source e lato client. Nessun download. Nessuna
registrazione. I loro Termini di servizio contengono un’affermazione molto specifica:
"Tutte le operazioni crittografiche avvengono nel tuo browser. Il server
non ha alcuna possibilità di accedere alle tue chiavi private."
— Termini di servizio di xmrwallet.com (palesemente falsi)
Questa è una bugia. La nostra analisi forense — acquisizioni di rete,
deobfuscazione del codice JavaScript e confronto del codice di produzione —
dimostra esattamente il contrario. Ogni chiave inserita su xmrwallet.com viene
rubata. Ogni transazione può essere dirottata.
Produzione vs. GitHub:
Divergenza totale
Il
repository GitHub pubblico
non ha ricevuto nemmeno un commit da allora
Novembre 2018. Il sito di produzione utilizza
un codice completamente diverso, con parametri non documentati che non sono presenti nel
repository:
session_key — Token di esfiltrazione della chiave di visualizzazione codificato in Base64
verification — canale secondario di esfiltrazione
timestamp — parametro di tracciamento della sessione
data — contenitore aggiuntivo per il carico utile
Dominio registrato tramite NameSilo nel 2016 — pagato in anticipo tramite 2031. Quindici anni di iscrizione a un “progetto libero e indipendente”.
Attacco n. 1: Esfiltrazione delle chiavi di visualizzazione
Quando accedi a xmrwallet.com, la tua chiave privata di visualizzazione viene codificata in Base64 e incorporata in un session_key token. Questo token viene quindi trasmesso al server con ogni singola richiesta API — Più di 40 volte in una sola sessione.
// Decoded example: // blob: a3f8c2... (session identifier) // address: 4A1BxN... (your Monero public address) // viewkey: LA TUA CHIAVE DI VISUALIZZAZIONE PRIVATA IN TESTO IN CHIARO
Le registrazioni della rete di Firefox WebExtension confermano che questo token viene trasmesso 6 endpoint API distinti per un totale di oltre 40 richieste POST per sessione:
Endpoint API
Richieste / Sessione
Divulgazione della chiave di sessione (session_key)
/api/getheightsync
12
Sì
/api/gettransactions
10
Sì
/api/getbalance
6
Sì
/api/getsubaddresses
4
Sì
/api/getoutputs
3
Sì
/api/support_login
1
Sì
Oltre 40 copie della tua chiave privata
Una singola sessione di accesso invia la tua chiave privata di visualizzazione al server almeno 36 volte. Il server non ha bisogno della tua chiave per nessuna di queste operazioni: i controlli del saldo e le sincronizzazioni dell'altezza sono query pubbliche sulla blockchain. Non c'è alcun motivo legittimo per trasmettere il materiale della chiave. Prova completa della cattura della rete: xmrwallet.com GitHub Issue n. 36 — Visualizza le prove relative all'esfiltrazione delle chiavi.
Attacco n. 2: dirottamento delle transazioni
Il furto delle chiavi di visualizzazione consente all'autore dell'attacco di guarda il tuo portafoglio. Ma xmrwallet.com va oltre: ti ruba i fondi in tempo reale. Il codice JavaScript di produzione deobfuscato rivela una sequenza di attacco in 5 fasi:
Il tuo portafoglio mostra il messaggio "transazione inviata". I tuoi fondi arrivano all'indirizzo dell'autore dell'attacco. Le vittime vedono "ID transazione sconosciuto" quando cercano di verificarle sui block explorer. Le transazioni contrassegnate internamente come swept sono quelli rubati.
La tua transazione non è mai esistita
raw_tx_and_hash.raw = 0 significa che la transazione generata dal client viene scartata. Il server crea una transazione completamente nuova utilizzando le tue chiavi e invia i tuoi XMR all'autore dell'attacco. Il messaggio di "successo" che vedi è falso. Analisi dettagliata del codice: xmrwallet.com GitHub Issue n. 35 — Protezione contro il dirottamento delle transazioni.
Codice di produzione nascosto
xmrwallet.com gestisce un repository GitHub pubblico per sembrare attendibile. Il repository è un diversivo. Non viene aggiornato da Novembre 2018. Il sito di produzione utilizza un codice completamente diverso e offuscato.
GitHub pubblico (esca)
Ultimo commit: Novembre 2018
No session_key parametro
No verification param
No /support_login.html
Nessun Google Tag Manager
Codice pulito e verificabile
Sito produttivo (reale)
Aggiornato regolarmente nel periodo 2024-2026
session_key con viewkey Base64
verification canale di esfiltrazione
/support_login.html backdoor
Iniezione di codice JavaScript da remoto in GTM
Codice offuscato e non verificabile
Backdoor e iniezione di codice da remoto
Il sito di produzione comprende /support_login.html — un endpoint amministrativo nascosto, del tutto assente dal repository GitHub. In combinazione con Google Tag Manager (contenitore GTM) Grazie a questa integrazione, l'operatore può inserire e modificare da remoto il codice JavaScript sul sito attivo in qualsiasi momento, senza aggiornare il codice pubblico. Si tratta di un vettore di esecuzione di codice remoto mascherato da strumento di analisi.
Infrastruttura a prova di tutto
xmrwallet.com non utilizza hosting condiviso di bassa qualità. Il sito opera su un'infrastruttura premium a prova di tutto, scelta appositamente per resistere alle richieste di rimozione e alle autorità giudiziarie.
IOC relativi a hosting e rete
Indicatore
Valore
Dominio
xmrwallet.com
Segreteria
NameSilo (2016 – 2031, registrazione di 15 anni)
Provider di hosting
IQWEB FZ-LLC (550 dollari e oltre al mese)
Indirizzo IP
186.2.165.49
ASN
AS59692
CDN / Protezione DDoS
DDoS-Guard
Server web
Apache 2.4.58 (Ubuntu)
Backend
PHP 8.2.29
Certificato SSL
Let's Encrypt (rinnovo automatico)
Mirror di Tor
xmrwalletdatuxms.onion
Costo annuale delle infrastrutture
$8,000 – $15,000+
Indicatori chiave di monitoraggio e analisi (IOC)
Tracker
Richieste / Sessione
Identificatore
Google Tag Manager
12
Contenitore GTM
Google Analytics (UA)
12
UA-116766241-1
Google Analytics 4
5
Flusso GA4
DoubleClick
1
Pixel di tracciamento degli annunci
Cookie di DDoS-Guard
—
__ddg8_, __ddg9_, __ddg10_, __ddg1_
$8K-$15K/Year for a "Free Volunteer Wallet"
Un wallet gratuito legittimo non spende più di 550 dollari al mese per l’hosting “bulletproof” di IQWEB FZ-LLC protetto da DDoS-Guard — un’infrastruttura progettata specificatamente per resistere alle segnalazioni di abuso e alle richieste delle forze dell’ordine. Non registra un dominio per 15 anni. Non utilizza il tracciamento di Google Analytics su un portafoglio Monero «orientato alla privacy». Si tratta di un’infrastruttura costruita con un unico scopo: furti persistenti su larga scala.
Operatore identificato: Nathalie Roy
Le informazioni di intelligence open source riconducono l'infrastruttura di xmrwallet.com direttamente a un singolo individuo.
A Nathalie Roy è stato vietato l'accesso al sito ufficiale subreddit r/Monero nel 2018 per promuovere xmrwallet.com. L'ultimo commit su GitHub risale allo stesso anno. Da oltre 6 anni il codice pubblico è rimasto immutato, mentre il sito di produzione continua a sottrarre fondi utilizzando un codice completamente diverso. Il dominio è pagato fino al 2031: l'operatore non ha alcuna intenzione di andarsene.
Vittime documentate
Almeno 15 casi segnalati pubblicamente di furti di fondi su Trustpilot, Sitejabber, Reddit e GitHub Issues. Persone vere. Soldi veri. Spariti.
15+
Rapporti pubblici
590 XMR
Il più grande singolo importo (177.000 dollari)
0
Anni di furti
$2M-$15M+
Totale stimato
590 XMR (~177.000 $) — un singolo furto, il caso più grave mai documentato
17,44 XMR — documentato con l'ID della transazione sulla blockchain
20 XMR rubati durante la notte — il portafoglio è stato svuotato mentre l'utente dormiva
Segnalazioni ripetute relative a "ID transazione sconosciuto" — il swept tag firma
Issue GitHub n. 13 e successivi eliminati — l'operatore elimina le segnalazioni delle vittime dal registro
Prove cancellate, nessun portafoglio per le donazioni
L'operatore cancella attivamente le segnalazioni delle vittime da GitHub Issues (tutte le segnalazioni precedenti alla n. 13 sono state eliminate). Il sito dichiara di accettare donazioni, ma Non è mai stato pubblicato alcun indirizzo di portafoglio per le donazioni. Perché mai un “progetto indipendente” che spende tra gli 8.000 e i 15.000 dollari all’anno dovrebbe rifiutare le donazioni? Perché le entrate provengono da furti.
Cronologia degli eventi
Cronologia 2014-2024: xmrwallet.com – oltre 10.000 chiavi rubate – dal lancio del sito alle prime vittime fino all’identificazione del gestore
2016
Dominio registrato — xmrwallet.com
Registrato tramite NameSilo con un Periodo di registrazione di 15 anni (2016-2031). Si presenta come un portafoglio web gratuito e open source per Monero.
Maggio 2018
Organizzazione GitHub creata
L'organizzazione GitHub xmrwallet è stata creata il 2018-05-10 di nathroy (ID: 39167759). Codice pubblico pubblicato come mera messinscena di trasparenza.
2018
Sospeso e codice bloccato
Operatore per WiseSolution bannato da r/Monero per spam promozionale. L'ultimo commit su GitHub risale a questo periodo. Le segnalazioni delle vittime iniziano a essere cancellate (le segnalazioni da #1 a #12 sono sparite).
2018 – 2024
6 anni di silenzio
Repository pubblico bloccato. Il codice di produzione presenta divergenze totali, con codice JavaScript offuscato, parametri non documentati ed endpoint backdoor. Le segnalazioni delle vittime si moltiplicano su Trustpilot e Reddit.
2025 – 2026
Inchiesta PhishDestroy
L'analisi del traffico di rete rivela che session_key esfiltrazione. La deoffuscazione del codice JavaScript lo conferma raw_tx = 0 dirottamento delle transazioni. Prove pubblicate su GitHub Issues #35 & #36.
febbraio 2026
Pubblicato il rapporto — Il dominio è ancora attivo
Pubblicato il rapporto tecnico completo. xmrwallet.com rimane online. Il dominio è stato pagato tramite 2031. DDoS-Guard garantisce resistenza ai tentativi di rimozione.
Prove complete e materiali di riferimento
Ogni affermazione contenuta in questo articolo è supportata da prove verificabili pubblicamente. Scaricate i rapporti. Verificate il codice. Controllate voi stessi le registrazioni di rete.
Non inserire mai le chiavi private in nessun portafoglio online. Punto. Utilizza software verificato e sottoposto a revisione che venga eseguito localmente sul tuo dispositivo.
Portafogli da desktop
Interfaccia grafica di Monero — Portafoglio ufficiale, completo di tutte le funzionalità, open source, sottoposto a revisione Portafoglio Feather — Portafoglio desktop leggero, veloce e incentrato sulla privacy
Portafogli mobili
Monerujo (Android) — Open source con supporto per Tor Portafoglio Cake (iOS/Android) — Supporta più valute, ben curato
La regola d'oro delle criptovalute
Non inserire mai la tua frase di seed, le chiavi private o le chiavi di visualizzazione su qualsiasi sito web. I portafogli affidabili funzionano in locale: non devono mai inviare le tue chiavi a un server. Se un portafoglio web ti chiede le tue chiavi private, si tratta di una truffa. Per la massima sicurezza, utilizza un portafoglio hardware (Ledger, Trezor) con il software ufficiale di Monero.
Proteggiamo la comunità
xmrwallet ruba Monero da 10 anni. Le prove sono di dominio pubblico. L'operatore è stato identificato. Condividi questa indagine. Segnala il dominio. Aiutaci a chiuderlo.
Avviso sulla trasparenza. PhishDestroy è un progetto indipendente e senza fini di lucro. La nostra ricerca potrebbe riflettere un pregiudizio intrinseco nei confronti delle infrastrutture utilizzate per le truffe e dei servizi che le rendono possibili. Invitiamo i lettori a valutare tutto il materiale in modo critico e autonomo. Leggi la nostra dichiarazione completa sulla trasparenza →