メインコンテンツへスキップ
ニュースに戻る

モネロ・ウォレット盗難事件の捜査

xmrwallet.comの実態:10年間にわたる秘密鍵の盗難と取引の乗っ取り

ユーザーのプライベートビューキーをBase64エンコードして session_key トークンを、セッションごとに40件以上のAPIリクエストを通じて漏洩させ、その後 あなたのトランザクションを無効化します raw_tx = 0 そして、それを再構築して資金を盗み出します。2016年から活動中。運営者は 特定済みです。

2016年から活動中 1セッションあたり40件以上のキー漏洩 DDoS-Guardによる保護
xmrwalletの実態が明らかに
0
活動期間
40+
セッションごとのキーの漏洩
$2M-$15M+
盗難被害総額の推定額
0
2018年以降のGitHubの更新情報

ファサード

xmrwallet.com は、無料の オープンソースのクライアントサイドMoneroウォレットとして提供されています。ダウンロードも 登録も不要です。同サービスの利用規約には、次のような非常に具体的な記載があります:

「すべての暗号処理はブラウザ内で行われます。サーバーには ユーザーの秘密鍵にアクセスする権限は一切ありません。」

— xmrwallet.com 利用規約(明らかに虚偽)

これは嘘です。私たちのフォレンジック分析――ネットワークキャプチャ、 JavaScriptの難読化解除、および本番コードの比較―― は、まったく逆の事実を証明しています。xmrwallet.comで入力されたすべての鍵は 盗まれています。すべての取引は乗っ取られる可能性があります。

Production 対 GitHub: 完全な乖離

その 公開GitHubリポジトリ それ以来、コミットは1件も行われていない 2018年11月. 本番環境では、 リポジトリには含まれていない、ドキュメント化されていないパラメータを持つ、 まったく異なるコードが実行されています:

  • session_key — Base64エンコードされたビューキーの流出トークン
  • verification — 二次的な情報流出経路
  • timestamp — セッション追跡パラメータ
  • data — 追加のペイロードコンテナ

ドメインは以下を通じて登録されました NameSilo 2016年 — 以下の方法で前払い済み 2031。「自由研究」として15年間登録されている。

攻撃その1:ビューキーの流出

xmrwallet.com にログインすると、秘密鍵は Base64 エンコードされ、 session_key トークン。このトークンは、その後、 すべてのAPIリクエスト — 1回のセッションで40回以上。

session_key 構造体

session_key = [encrypted_blob]:[base64_address]:[base64_private_viewkey]

// Decoded example:
// blob: a3f8c2... (session identifier)
// address: 4A1BxN... (your Monero public address)
// viewkey: プレーンテキスト形式のプライベートビューキー

Firefox WebExtensionのネットワークキャプチャにより、このトークンが送信されていることが確認された 6つの異なるAPIエンドポイント 1セッションあたり合計40件以上のPOSTリクエスト:

APIエンドポイントリクエスト/セッションsession_key が漏洩する
/api/getheightsync12 はい
/api/gettransactions10 はい
/api/getbalance6 はい
/api/getsubaddresses4 はい
/api/getoutputs3 はい
/api/support_login1 はい

秘密鍵のコピーを40以上

1回のログインセッションで、ユーザーのプライベートビューキーがサーバーに送信されます 少なくとも36回. これらの操作のいずれにおいても、サーバーはユーザーの鍵を必要としません。残高の確認や高さの同期は、ブロックチェーンに対する公開クエリです。鍵情報を送信する正当な理由は一切ありません。ネットワーク通信の完全なキャプチャ記録: xmrwallet.com GitHub イシュー #36 — 鍵の流出に関する証拠の確認.

攻撃その2:トランザクションハイジャック

キーの盗み見により、攻撃者は 視聴 あなたのウォレット。しかし、xmrwallet.com はそれにとどまらず、リアルタイムで資金を盗み出します。難読化が解除された本番環境の JavaScript コードからは、5 段階の攻撃手順が明らかになっています:

// Step 1: Client builds a legitimate transaction
cnUtil.create_transaction() → raw_tx_and_hash

// Step 2: Client transaction is NULLIFIED
raw_tx_and_hash.raw = 0;

// Step 3: Only metadata sent to server (no real tx)
投稿 /api/submit_raw_tx { raw: 0, メタデータ: {...} }

// Step 4: Server rebuilds its OWN transaction
// using your keys + its destination address

// Step 5: Stolen transactions tagged internally
もし(タイプ == 「一掃された」) → 攻撃者によるリダイレクトされたトランザクション

ウォレットには「取引が送信されました」と表示されます。資金は攻撃者のアドレスに送金されます。被害者は 「不明なトランザクションID」 ブロックエクスプローラーで確認しようとすると。内部で次のようにタグ付けされたトランザクションは swept これらは盗まれたものです。

その取引は存在しませんでした

raw_tx_and_hash.raw = 0 つまり、クライアント側で生成されたトランザクションは破棄されます。サーバーは、あなたの鍵を使用してまったく新しいトランザクションを構築し、あなたのXMRを攻撃者に送金します。表示される「成功」というメッセージは偽りです。詳細なコード分析: xmrwallet.com GitHub イシュー #35 — トランザクションハイジャックの証明.

隠された制作コード

xmrwallet.com は、正当なサイトであるかのように見せかけるため、GitHub の公開リポジトリを運営しています。このリポジトリは囮です。それ以来、一度も更新されていません。 2018年11月。その生産環境では、まったく異なる、難読化されたコードが実行されています。

公開GitHub(おとり)

  • 最後のコミット: 2018年11月
  • いいえ session_key パラメータ
  • いいえ verification param
  • いいえ /support_login.html
  • Google タグ マネージャーを使用していない
  • クリーンで監査可能なコード

生産拠点(実在)

  • 2024年~2026年に随時更新中
  • session_key Base64形式のviewkey付き
  • verification 情報流出経路
  • /support_login.html バックドア
  • GTMによるリモートJSインジェクション
  • 難読化され、監査不可能なコード

バックドアとリモートコードインジェクション

生産拠点には以下が含まれます /support_login.html — GitHubリポジトリには一切記載されていない、隠された管理用エンドポイント。これと組み合わせて Google タグマネージャー(GTM コンテナ) この統合機能により、オペレーターは、公開されているコードベースを更新することなく、いつでも稼働中のサイトにJavaScriptをリモートで挿入・変更することができます。これは、分析機能に偽装されたリモートコード実行の攻撃経路です。

堅牢なインフラ

xmrwallet.com は、安価な共有ホスティングサービスを利用していません。当サイトは、テイクダウン要請や法執行機関の介入に耐えられるよう特別に選定された、堅牢なプレミアムインフラ上で稼働しています。

ホスティングおよびネットワークのIOC

指標
ドメインxmrwallet.com
登録担当者NameSilo(2016年~2031年、15年間の登録)
ホスティングプロバイダーIQWEB FZ-LLC(月額550ドル以上)
IPアドレス186.2.165.49
ASNAS59692
CDN / DDoS対策DDoS-Guard
WebサーバーApache 2.4.58 (Ubuntu)
バックエンドPHP 8.2.29
SSL証明書Let's Encrypt(自動更新)
Torミラーxmrwalletdatuxms.onion
インフラの年間コスト$8,000 – $15,000+

トラッキングおよび分析に関するIOC

トラッカーリクエスト/セッション識別子
Google タグ マネージャー12GTMコンテナ
Google アナリティクス (UA)12UA-116766241-1
Google アナリティクス 45GA4 ストリーム
ダブルクリック1広告トラッキングピクセル
DDoS-Guardのクッキー __ddg8_, __ddg9_, __ddg10_, __ddg1_

$8K-$15K/Year for a "Free Volunteer Wallet"

正当な無料ウォレットであれば、DDoS-Guardの背後でIQWEB FZ-LLCが提供する「バレットプルーフ」ホスティングに月額550ドル以上を費やすことはありません。これは、不正利用の苦情や法執行機関からの召喚状に対抗するために特別に設計されたインフラです。また、15年間有効なドメインを登録することもありません。 また、「プライバシー重視」を謳うモネロウォレットでGoogleアナリティクスのトラッキングを行うこともありません。このインフラは、ただ一つの目的のために構築されたものです: 大規模かつ継続的な窃盗.

オペレーターの氏名:ナタリー・ロイ

オープンソース情報分析によると、xmrwallet.comのインフラは、ある特定の個人に直接結びついていることが判明した。

フィールド詳細
名前ナタリー・ロイ
場所カナダ
GitHubのユーザー名nathroy (ID: 39167759)
GitHub 組織xmrwallet (作成日:2018年5月10日)
メール(管理者)admin@xmrwallet.com
メールアドレス(個人用)royn5094@protonmail.com
Redditu/WiseSolution (r/Moneroから追放された)
Twitter@xmrwalletcom
メールサーバー (MX)mail.privateemail.com

禁止された、暴露された、それでも活動中

ナタリー・ロイは公式大会への出場を禁止された r/Monero サブレディット 2018年にxmrwallet.comの宣伝を目的として公開されました。GitHubへの最後のコミットも同年に実施されています。6年以上もの間、公開されているコードは更新されていない一方で、本番サイトでは全く異なるコードを用いて積極的に資金を盗み続けています。ドメインの有効期限は2031年まで支払済みであり、運営者は当分ここを離れるつもりはないようです。

記録された犠牲者

少なくとも 公表された症例は15件 Trustpilot、Sitejabber、Reddit、GitHub Issuesなどで報告されている資金盗難の事例。実在する人々。実在のお金。すべて失われてしまった。

15+
公開報告書
590 XMR
単一案件としては最大額(17万7千ドル)
0
長年にわたる窃盗
$2M-$15M+
推定総額
  • 590 XMR(約177,000ドル) — 単一の窃盗事件としては、記録上最大規模の事例
  • 17.44 XMR — オンチェーン上でトランザクションIDとともに記録される
  • 一夜のうちに20 XMRが盗まれた — ユーザーが寝ている間に財布の中身が空になった
  • 「不明なトランザクションID」に関する複数の報告 — その swept タグの署名
  • GitHubのイシュー #13 以上が削除されました — オペレーターがリポジトリから被害者報告を削除する

証拠の削除、寄付用ウォレットなし

運営者はGitHub Issuesから被害報告を積極的に削除しています(#13より前のイシューはすべて削除されています)。このサイトは寄付を受け付けていると謳っていますが、 寄付用のウォレットアドレスはこれまで一度も公開されたことがない. なぜ、年間8,000~15,000ドルを費やす「独立プロジェクト」が寄付を拒否するのだろうか? その収入が窃盗によるものだからだ。

出来事の年表

2014年~2024年の経緯:xmrwallet.comで10,000件以上の秘密鍵が盗まれた件 ― サイト開設から最初の被害者の発生、そして運営者の特定に至るまで
2014年~2024年の経緯:xmrwallet.comで10,000件以上の秘密鍵が盗まれた件 ― サイト開設から最初の被害者の発生、そして運営者の特定に至るまで
2016

ドメイン登録済み — xmrwallet.com

NameSiloを通じて、以下のドメインで登録済みです。 登録期間15年 (2016-2031)。無料のオープンソースのモネロ用ウェブウォレットとして提供されています。

2018年5月

GitHub 組織が作成されました

xmrwallet GitHub 組織の作成日: 2018-05-10 投稿者:nathroy(ID:39167759)。透明性を装った見せかけの措置として公開コードが公開された。

2018

利用停止・コード凍結

オペレーター u/WiseSolution r/Moneroから追放された 宣伝目的のスパムのため。この頃の最後のGitHubコミット。被害者による課題報告が削除され始める(課題#1~#12が消えた)。

2018年 – 2024年

6年間の沈黙

公開リポジトリが凍結された。本番環境のコードは、難読化されたJS、ドキュメントのないパラメータ、バックドアとなるエンドポイントを含み、元のコードとは完全に異なるものとなっている。TrustpilotやRedditには、被害者の報告が相次いでいる。

2025年~2026年

PhishDestroyに関する調査

ネットワークトラフィックの分析によると、 session_key データ流出。JavaScriptの難読化解除により確認された raw_tx = 0 トランザクションハイジャック。GitHub Issues に公開された証拠 #35 & #36.

2026年2月

レポートが公開されました — ドメインは現在も有効です

技術報告書の全文が公開されました。xmrwallet.comは引き続き稼働中です。ドメインの支払いは 2031. DDoS-Guardは、テイクダウンへの耐性を提供します。

証拠資料および出典資料の全容

この記事に記載されているすべての主張は、一般に検証可能な証拠によって裏付けられています。レポートをダウンロードしてください。コードを検証してください。ネットワークのキャプチャを自分で確認してください。

安全な代替案

いかなるウェブウォレットでも、秘密鍵を入力してはいけません。 以上です。お使いのデバイス上でローカルに動作する、検証済みかつ監査済みのソフトウェアを使用してください。

デスクトップウォレット

Monero GUI — 公式ウォレット、フル機能搭載、オープンソース、監査済み
フェザー・ウォレット — 軽量で高速、プライバシー重視のデスクトップウォレット

モバイルウォレット

モネルジョ (Android) — Torに対応したオープンソースアプリ
Cake Wallet (iOS/Android) — 複数の通貨に対応、メンテナンスがしっかりしている

仮想通貨の黄金律

決して、シードフレーズ、秘密鍵、またはビューキーを 任意のウェブサイト. 正規のウォレットはローカルで動作するため、鍵をサーバーに送信する必要は一切ありません。もしウェブウォレットが秘密鍵の入力を求めてきたら、それは詐欺です。セキュリティを最大限に高めるためには、公式のMoneroソフトウェアを搭載したハードウェアウォレット(Ledger、Trezor)を使用してください。

地域社会を守る

xmrwallet は 10 年間にわたりモネロを盗み続けています。その証拠は公開されています。運営者も特定されています。この調査結果をシェアしてください。ドメインを通報してください。このサイトを閉鎖できるよう、ご協力をお願いします。

関連する調査

xmrwallet.comの終焉:NameSiloは200万ドルの仮想通貨窃盗犯を庇うために嘘をついた
調査
xmrwallet.comの終焉:NameSiloは200万ドルの仮想通貨窃盗犯を庇うために嘘をついた
Trust Walletのフィッシング事件:23万9000ドルが盗まれ、6人の運営者が特定される
徹底調査
Trust Walletのフィッシング事件:23万9000ドルが盗まれ、6人の運営者が特定される
「Crypto Drainer」ツールキット:Angel Drainerの販売業者が暴露される
徹底調査
「Crypto Drainer」ツールキット:Angel Drainerの販売業者が暴露される

この記事をシェアする

X Telegram Reddit
透明性に関するお知らせ。 PhishDestroyは、非営利の独立プロジェクトです。私たちの調査には、詐欺インフラやそれを可能にするサービスに対する固有の偏見が反映されている可能性があります。読者の皆様には、すべての情報を批判的かつ独自に評価していただくようお願いいたします。 当社の透明性に関する声明全文はこちら →