ファサード
xmrwallet.com は、無料の
オープンソースのクライアントサイドMoneroウォレットとして提供されています。ダウンロードも
登録も不要です。同サービスの利用規約には、次のような非常に具体的な記載があります:
「すべての暗号処理はブラウザ内で行われます。サーバーには
ユーザーの秘密鍵にアクセスする権限は一切ありません。」
— xmrwallet.com 利用規約(明らかに虚偽)
これは嘘です。私たちのフォレンジック分析――ネットワークキャプチャ、
JavaScriptの難読化解除、および本番コードの比較――
は、まったく逆の事実を証明しています。xmrwallet.comで入力されたすべての鍵は
盗まれています。すべての取引は乗っ取られる可能性があります。
Production 対 GitHub:
完全な乖離
その
公開GitHubリポジトリ
それ以来、コミットは1件も行われていない
2018年11月. 本番環境では、
リポジトリには含まれていない、ドキュメント化されていないパラメータを持つ、
まったく異なるコードが実行されています:
-
session_key — Base64エンコードされたビューキーの流出トークン -
verification — 二次的な情報流出経路 -
timestamp — セッション追跡パラメータ -
data — 追加のペイロードコンテナ
ドメインは以下を通じて登録されました NameSilo 2016年 — 以下の方法で前払い済み 2031。「自由研究」として15年間登録されている。
攻撃その1:ビューキーの流出
xmrwallet.com にログインすると、秘密鍵は Base64 エンコードされ、 session_key トークン。このトークンは、その後、 すべてのAPIリクエスト — 1回のセッションで40回以上。
session_key 構造体
session_key = [encrypted_blob]:[base64_address]:[base64_private_viewkey]
Firefox WebExtensionのネットワークキャプチャにより、このトークンが送信されていることが確認された 6つの異なるAPIエンドポイント 1セッションあたり合計40件以上のPOSTリクエスト:
| APIエンドポイント | リクエスト/セッション | session_key が漏洩する |
|---|
/api/getheightsync | 12 | はい |
/api/gettransactions | 10 | はい |
/api/getbalance | 6 | はい |
/api/getsubaddresses | 4 | はい |
/api/getoutputs | 3 | はい |
/api/support_login | 1 | はい |
攻撃その2:トランザクションハイジャック
キーの盗み見により、攻撃者は 視聴 あなたのウォレット。しかし、xmrwallet.com はそれにとどまらず、リアルタイムで資金を盗み出します。難読化が解除された本番環境の JavaScript コードからは、5 段階の攻撃手順が明らかになっています:
cnUtil.create_transaction() → raw_tx_and_hash
raw_tx_and_hash.raw = 0;
投稿 /api/submit_raw_tx { raw: 0, メタデータ: {...} }
もし(タイプ == 「一掃された」) → 攻撃者によるリダイレクトされたトランザクション
ウォレットには「取引が送信されました」と表示されます。資金は攻撃者のアドレスに送金されます。被害者は 「不明なトランザクションID」 ブロックエクスプローラーで確認しようとすると。内部で次のようにタグ付けされたトランザクションは swept これらは盗まれたものです。
隠された制作コード
xmrwallet.com は、正当なサイトであるかのように見せかけるため、GitHub の公開リポジトリを運営しています。このリポジトリは囮です。それ以来、一度も更新されていません。 2018年11月。その生産環境では、まったく異なる、難読化されたコードが実行されています。
公開GitHub(おとり)
- 最後のコミット: 2018年11月
- いいえ
session_key パラメータ - いいえ
verification param - いいえ
/support_login.html - Google タグ マネージャーを使用していない
- クリーンで監査可能なコード
生産拠点(実在)
- 2024年~2026年に随時更新中
-
session_key Base64形式のviewkey付き -
verification 情報流出経路 -
/support_login.html バックドア - GTMによるリモートJSインジェクション
- 難読化され、監査不可能なコード
バックドアとリモートコードインジェクション
生産拠点には以下が含まれます /support_login.html — GitHubリポジトリには一切記載されていない、隠された管理用エンドポイント。これと組み合わせて Google タグマネージャー(GTM コンテナ) この統合機能により、オペレーターは、公開されているコードベースを更新することなく、いつでも稼働中のサイトにJavaScriptをリモートで挿入・変更することができます。これは、分析機能に偽装されたリモートコード実行の攻撃経路です。
堅牢なインフラ
xmrwallet.com は、安価な共有ホスティングサービスを利用していません。当サイトは、テイクダウン要請や法執行機関の介入に耐えられるよう特別に選定された、堅牢なプレミアムインフラ上で稼働しています。
ホスティングおよびネットワークのIOC
| 指標 | 値 |
|---|
| ドメイン | xmrwallet.com |
| 登録担当者 | NameSilo(2016年~2031年、15年間の登録) |
| ホスティングプロバイダー | IQWEB FZ-LLC(月額550ドル以上) |
| IPアドレス | 186.2.165.49 |
| ASN | AS59692 |
| CDN / DDoS対策 | DDoS-Guard |
| Webサーバー | Apache 2.4.58 (Ubuntu) |
| バックエンド | PHP 8.2.29 |
| SSL証明書 | Let's Encrypt(自動更新) |
| Torミラー | xmrwalletdatuxms.onion |
| インフラの年間コスト | $8,000 – $15,000+ |
トラッキングおよび分析に関するIOC
| トラッカー | リクエスト/セッション | 識別子 |
|---|
| Google タグ マネージャー | 12 | GTMコンテナ |
| Google アナリティクス (UA) | 12 | UA-116766241-1 |
| Google アナリティクス 4 | 5 | GA4 ストリーム |
| ダブルクリック | 1 | 広告トラッキングピクセル |
| DDoS-Guardのクッキー | — | __ddg8_, __ddg9_, __ddg10_, __ddg1_ |
$8K-$15K/Year for a "Free Volunteer Wallet"
正当な無料ウォレットであれば、DDoS-Guardの背後でIQWEB FZ-LLCが提供する「バレットプルーフ」ホスティングに月額550ドル以上を費やすことはありません。これは、不正利用の苦情や法執行機関からの召喚状に対抗するために特別に設計されたインフラです。また、15年間有効なドメインを登録することもありません。 また、「プライバシー重視」を謳うモネロウォレットでGoogleアナリティクスのトラッキングを行うこともありません。このインフラは、ただ一つの目的のために構築されたものです: 大規模かつ継続的な窃盗.
オペレーターの氏名:ナタリー・ロイ
オープンソース情報分析によると、xmrwallet.comのインフラは、ある特定の個人に直接結びついていることが判明した。
| フィールド | 詳細 |
|---|
| 名前 | ナタリー・ロイ |
| 場所 | カナダ |
| GitHubのユーザー名 | nathroy (ID: 39167759) |
| GitHub 組織 | xmrwallet (作成日:2018年5月10日) |
| メール(管理者) | admin@xmrwallet.com |
| メールアドレス(個人用) | royn5094@protonmail.com |
| Reddit | u/WiseSolution (r/Moneroから追放された) |
| Twitter | @xmrwalletcom |
| メールサーバー (MX) | mail.privateemail.com |
禁止された、暴露された、それでも活動中
ナタリー・ロイは公式大会への出場を禁止された r/Monero サブレディット 2018年にxmrwallet.comの宣伝を目的として公開されました。GitHubへの最後のコミットも同年に実施されています。6年以上もの間、公開されているコードは更新されていない一方で、本番サイトでは全く異なるコードを用いて積極的に資金を盗み続けています。ドメインの有効期限は2031年まで支払済みであり、運営者は当分ここを離れるつもりはないようです。
記録された犠牲者
少なくとも 公表された症例は15件 Trustpilot、Sitejabber、Reddit、GitHub Issuesなどで報告されている資金盗難の事例。実在する人々。実在のお金。すべて失われてしまった。
590 XMR
単一案件としては最大額(17万7千ドル)
- 590 XMR(約177,000ドル) — 単一の窃盗事件としては、記録上最大規模の事例
- 17.44 XMR — オンチェーン上でトランザクションIDとともに記録される
- 一夜のうちに20 XMRが盗まれた — ユーザーが寝ている間に財布の中身が空になった
- 「不明なトランザクションID」に関する複数の報告 — その
swept タグの署名 - GitHubのイシュー #13 以上が削除されました — オペレーターがリポジトリから被害者報告を削除する
証拠の削除、寄付用ウォレットなし
運営者はGitHub Issuesから被害報告を積極的に削除しています(#13より前のイシューはすべて削除されています)。このサイトは寄付を受け付けていると謳っていますが、 寄付用のウォレットアドレスはこれまで一度も公開されたことがない. なぜ、年間8,000~15,000ドルを費やす「独立プロジェクト」が寄付を拒否するのだろうか? その収入が窃盗によるものだからだ。
出来事の年表
2014年~2024年の経緯:xmrwallet.comで10,000件以上の秘密鍵が盗まれた件 ― サイト開設から最初の被害者の発生、そして運営者の特定に至るまで 2016
ドメイン登録済み — xmrwallet.com
NameSiloを通じて、以下のドメインで登録済みです。 登録期間15年 (2016-2031)。無料のオープンソースのモネロ用ウェブウォレットとして提供されています。
2018年5月
GitHub 組織が作成されました
xmrwallet GitHub 組織の作成日: 2018-05-10 投稿者:nathroy(ID:39167759)。透明性を装った見せかけの措置として公開コードが公開された。
2018
利用停止・コード凍結
オペレーター u/WiseSolution r/Moneroから追放された 宣伝目的のスパムのため。この頃の最後のGitHubコミット。被害者による課題報告が削除され始める(課題#1~#12が消えた)。
2018年 – 2024年
6年間の沈黙
公開リポジトリが凍結された。本番環境のコードは、難読化されたJS、ドキュメントのないパラメータ、バックドアとなるエンドポイントを含み、元のコードとは完全に異なるものとなっている。TrustpilotやRedditには、被害者の報告が相次いでいる。
2025年~2026年
PhishDestroyに関する調査
ネットワークトラフィックの分析によると、 session_key データ流出。JavaScriptの難読化解除により確認された raw_tx = 0 トランザクションハイジャック。GitHub Issues に公開された証拠 #35 & #36.
2026年2月
レポートが公開されました — ドメインは現在も有効です
技術報告書の全文が公開されました。xmrwallet.comは引き続き稼働中です。ドメインの支払いは 2031. DDoS-Guardは、テイクダウンへの耐性を提供します。
証拠資料および出典資料の全容
この記事に記載されているすべての主張は、一般に検証可能な証拠によって裏付けられています。レポートをダウンロードしてください。コードを検証してください。ネットワークのキャプチャを自分で確認してください。
安全な代替案
いかなるウェブウォレットでも、秘密鍵を入力してはいけません。 以上です。お使いのデバイス上でローカルに動作する、検証済みかつ監査済みのソフトウェアを使用してください。
モバイルウォレット
モネルジョ (Android) — Torに対応したオープンソースアプリ
Cake Wallet (iOS/Android) — 複数の通貨に対応、メンテナンスがしっかりしている
仮想通貨の黄金律
決して、シードフレーズ、秘密鍵、またはビューキーを 任意のウェブサイト. 正規のウォレットはローカルで動作するため、鍵をサーバーに送信する必要は一切ありません。もしウェブウォレットが秘密鍵の入力を求めてきたら、それは詐欺です。セキュリティを最大限に高めるためには、公式のMoneroソフトウェアを搭載したハードウェアウォレット(Ledger、Trezor)を使用してください。
地域社会を守る
xmrwallet は 10 年間にわたりモネロを盗み続けています。その証拠は公開されています。運営者も特定されています。この調査結果をシェアしてください。ドメインを通報してください。このサイトを閉鎖できるよう、ご協力をお願いします。