본문으로 건너뛰기
뉴스로 돌아가기

모네로 지갑 도난 사건 수사

xmrwallet.com의 실체: 10년간 이어진 키 도난 및 거래 탈취

사용자의 개인 보기 키를 Base64로 인코딩하여 session_key 토큰을 세션당 40회 이상의 API 요청을 통해 유출한 뒤, 다음과 같이 귀하의 트랜잭션을 무효화합니다. raw_tx = 0 그리고 이를 재구성하여 사용자의 자금을 탈취합니다. 2016년부터 활동 중입니다. 운영자 신원이 확인되었습니다.

2016년부터 활동 중 40개 이상의 키 유출 / 세션 DDoS-Guard로 보호됨
xmrwallet의 취약점 노출
0
활동 기간
40+
세션당 키 유출 건수
$2M-$15M+
추정 도난 총액
0
2018년 이후 GitHub 업데이트

파사드

xmrwallet.com 이 서비스는 무료이며, 오픈소스 기반의 클라이언트 측 모네로 지갑으로 소개됩니다. 다운로드도, 회원 가입도 필요하지 않습니다. 이 서비스의 이용 약관에는 다음과 같은 매우 구체적인 내용이 명시되어 있습니다:

"모든 암호화 작업은 사용자의 브라우저에서 이루어집니다. 서버는 사용자의 개인 키에 접근할 수 없습니다."

— xmrwallet.com 이용약관 (명백히 허위임)

이것은 거짓말입니다. 저희의 포렌식 분석 — 네트워크 캡처, 자바스크립트 난독화 해제, 그리고 프로덕션 코드 비교 — 는 정반대의 사실을 입증합니다. xmrwallet.com에서 입력되는 모든 키는 도용됩니다. 모든 거래는 가로채일 수 있습니다.

프로덕션 대 GitHub: 전체 차이

공개 GitHub 저장소 그 이후로 단 한 건의 커밋도 받지 못했습니다 2018년 11월. 해당 빌드 사이트에서는 저장소에는 없는 문서화되지 않은 매개변수를 사용하는 완전히 다른 코드를 실행합니다:

  • session_key — Base64로 인코딩된 뷰 키 유출 토큰
  • verification — 2차 유출 경로
  • timestamp — 세션 추적 매개변수
  • data — 추가 탑재물 컨테이너

다음 사이트를 통해 도메인 등록 NameSilo 2016년에 — 다음을 통해 선불로 결제됨 2031. “자유 독립 프로젝트” 등록 기간 15년.

공격 #1: 뷰 키 유출

xmrwallet.com에 로그인하면, 사용자의 개인 조회 키가 Base64로 인코딩되어 session_key 토큰. 이 토큰은 이후 다음과 함께 서버로 전송됩니다. 모든 API 요청 — 한 번의 세션에서 40회 이상.

session_key 구조체

session_key = [encrypted_blob]:[base64_address]:[base64_private_viewkey]

// Decoded example:
// blob: a3f8c2... (session identifier)
// address: 4A1BxN... (your Monero public address)
// viewkey: 귀하의 비공개 열람 키(일반 텍스트)

파이어폭스 웹익스텐션 네트워크 캡처를 통해 이 토큰이 전송된다는 사실이 확인되었습니다. 6개의 서로 다른 API 엔드포인트 세션당 총 40회 이상의 POST 요청:

API 엔드포인트요청 / 세션session_key 유출
/api/getheightsync12
/api/gettransactions10
/api/getbalance6
/api/getsubaddresses4
/api/getoutputs3
/api/support_login1

개인 키 40개 이상

단일 로그인 세션에서 사용자의 개인 뷰 키가 서버로 전송됩니다. 최소 36회. 서버는 이러한 작업들(잔액 조회 및 높이 동기화)을 수행하는 데 사용자의 키가 필요하지 않습니다. 이는 모두 공개 블록체인 쿼리이기 때문입니다. 키 정보를 전송해야 할 정당한 이유는 전혀 없습니다. 전체 네트워크 캡처 증거: xmrwallet.com GitHub 이슈 #36 — 키 유출 증거 확인.

공격 유형 #2: 트랜잭션 탈취

키 도용 공격을 통해 공격자는 시청하기 사용자의 지갑. 하지만 xmrwallet.com은 그보다 더 나아가 — 사용자의 자금을 실시간으로 훔쳐갑니다. 난독화가 해제된 프로덕션용 자바스크립트를 분석한 결과, 5단계로 이루어진 공격 순서가 드러났습니다:

// Step 1: Client builds a legitimate transaction
cnUtil.create_transaction() → raw_tx_and_hash

// Step 2: Client transaction is NULLIFIED
raw_tx_and_hash.raw = 0;

// Step 3: Only metadata sent to server (no real tx)
게시물 /api/submit_raw_tx { 원본: 0, 메타데이터: {...} }

// Step 4: Server rebuilds its OWN transaction
// using your keys + its destination address

// Step 5: Stolen transactions tagged internally
만약(유형 == '휩쓸리다') → 공격자에 의해 리디렉션된 트랜잭션

지갑에 “거래 전송됨”이라고 표시됩니다. 자금은 공격자의 주소로 입금됩니다. 피해자들은 "알 수 없는 거래 ID" 블록 탐색기에서 확인하려고 할 때. 내부적으로 다음과 같이 태그가 지정된 트랜잭션은 swept 도난당한 것들입니다.

귀하의 거래는 존재한 적이 없습니다

raw_tx_and_hash.raw = 0 이는 클라이언트에서 생성된 트랜잭션이 무효화된다는 것을 의미합니다. 서버는 사용자의 키를 사용하여 완전히 새로운 트랜잭션을 생성하고, 사용자의 XMR을 공격자에게 전송합니다. 화면에 표시되는 “성공” 메시지는 거짓입니다. 상세한 코드 분석: xmrwallet.com GitHub 이슈 #35 — 트랜잭션 탈취 방지 증명.

숨겨진 제작 코드

xmrwallet.com은 합법적인 사이트로 보이기 위해 공개 GitHub 저장소를 운영하고 있습니다. 이 저장소는 미끼일 뿐입니다. 이 저장소는 그 이후로 한 번도 수정된 적이 없습니다. 2018년 11월. 해당 생산 환경에서는 완전히 다른, 난독화된 코드가 실행됩니다.

공개 GitHub (미끼)

  • 마지막 커밋: 2018년 11월
  • 아니요 session_key 매개변수
  • 아니요 verification param
  • 아니요 /support_login.html
  • Google 태그 관리자 없음
  • 깔끔하고 추적 가능한 코드

생산 현장 (실제)

  • 2024~2026년 동안 지속적으로 업데이트됨
  • session_key Base64 viewkey와 함께
  • verification 정보 유출 경로
  • /support_login.html 백도어
  • GTM 원격 JS 삽입
  • 난독화되어 감사할 수 없는 코드

백도어 및 원격 코드 삽입

생산 현장에는 다음이 포함되어 있습니다. /support_login.html — GitHub 저장소에는 전혀 포함되어 있지 않은 숨겨진 관리용 엔드포인트입니다. 이와 더불어 Google 태그 관리자(GTM 컨테이너) 이 통합 기능을 통해 운영자는 공개 코드베이스를 업데이트하지 않고도 언제든지 운영 중인 사이트에 자바스크립트를 원격으로 삽입하거나 수정할 수 있습니다. 이는 분석 기능으로 위장한 원격 코드 실행 경로입니다.

철통 같은 인프라

xmrwallet.com은 저가형 공유 호스팅을 사용하지 않습니다. 이 사이트는 제거 요청과 법 집행 기관의 압력에 견딜 수 있도록 특별히 선정된, 견고한 프리미엄 인프라를 기반으로 운영됩니다.

호스팅 및 네트워크 IOC

지표
도메인xmrwallet.com
등록 담당자NameSilo (2016–2031, 15년 등록)
호스팅 제공업체IQWEB FZ-LLC (월 $550 이상)
IP 주소186.2.165.49
ASNAS59692
CDN / DDoS 방어DDoS-Guard
웹 서버Apache 2.4.58 (Ubuntu)
백엔드PHP 8.2.29
SSL 인증서Let's Encrypt (자동 갱신)
토르 미러xmrwalletdatuxms.onion
연간 인프라 비용$8,000 – $15,000+

추적 및 분석 IOC

추적기요청 / 세션식별자
Google 태그 매니저12GTM 컨테이너
Google 애널리틱스 (UA)12UA-116766241-1
Google 애널리틱스 45GA4 스트림
더블클릭1광고 추적 픽셀
DDoS-Guard 쿠키 __ddg8_, __ddg9_, __ddg10_, __ddg1_

$8K-$15K/Year for a "Free Volunteer Wallet"

정당한 무료 지갑이라면, DDoS-Guard 뒤에 있는 IQWEB FZ-LLC의 ‘불가침’ 호스팅 서비스에 매달 550달러 이상을 지출하지 않습니다. 이 호스팅은 악용 신고와 법 집행 기관의 소환장에 대응하도록 특별히 설계된 인프라입니다. 또한 도메인을 15년 동안 등록하지도 않습니다. 또한 “개인정보 보호에 중점을 둔” 모네로(Monero) 지갑에서 구글 애널리틱스(Google Analytics) 추적 기능을 실행하지도 않습니다. 이 인프라는 오직 하나의 목적을 위해 구축된 것입니다: 대규모로 지속되는 절도.

확인된 운영자: 나탈리 로이

오픈소스 정보 분석 결과, xmrwallet.com의 인프라가 한 개인에게 직접 연결되는 것으로 드러났다.

필드상세 정보
이름나탈리 로이
위치캐나다
GitHub 사용자 이름nathroy (ID: 39167759)
GitHub 조직xmrwallet (작성일: 2018년 5월 10일)
이메일 (관리자)admin@xmrwallet.com
이메일 (개인용)royn5094@protonmail.com
레딧u/WiseSolution (r/Monero에서 차단됨)
Twitter@xmrwalletcom
메일 서버 (MX)mail.privateemail.com

차단당했지만, 정체가 드러났음에도 여전히 활동 중

나탈리 로이는 공식 대회에서 출전 금지 조치를 받았다. r/Monero 서브레딧 2018년에 xmrwallet.com을 홍보하기 위해 개설되었습니다. GitHub에 마지막으로 커밋된 시기도 같은 해였습니다. 6년 넘게 공개된 코드는 동결된 상태인 반면, 실제 운영 사이트는 완전히 다른 코드를 사용하여 적극적으로 자금을 훔치고 있습니다. 도메인 등록 기간은 2031년까지로 설정되어 있어, 운영자는 당분간 사라지지 않을 것입니다.

기록된 피해자들

적어도 공개적으로 보고된 15건의 사례 Trustpilot, Sitejabber, Reddit, GitHub Issues 등지에서 발생한 자금 도난 사건들. 실제 사람들. 실제 돈. 모두 사라졌습니다.

15+
공개 보고서
590 XMR
단일 최대 금액 ($177K)
0
수년간의 절도
$2M-$15M+
예상 총액
  • 590 XMR (약 177,000달러) — 단일 절도 사건 중 기록상 최대 규모
  • 17.44 XMR — 온체인에 거래 ID와 함께 기록됨
  • 하룻밤 사이에 20 XMR이 도난당했다 — 사용자가 잠든 사이에 지갑 잔액이 바닥났다
  • “알 수 없는 거래 ID”에 대한 다수의 보고 — 그 swept 태그 서명
  • GitHub 이슈 #13 이상 삭제됨 — 운영자가 리포지토리에서 피해자 신고 내역을 삭제함

증거 삭제, 기부 지갑 없음

운영자는 GitHub 이슈에서 피해자 신고 내용을 적극적으로 삭제하고 있습니다(#13 이전의 모든 이슈가 사라졌습니다). 이 사이트는 기부금을 받고 있다고 밝히고 있지만 지금까지 기부용 지갑 주소가 공개된 적이 없습니다.. 연간 8,000~15,000달러를 지출하는 “독립 프로젝트”가 왜 기부금을 거절하겠는가? 그 수입이 절도에서 비롯되기 때문이다.

사건 연표

2014-2024 연표: xmrwallet.com에서 10,000개 이상의 키 도난 사건 - 사이트 출시부터 첫 피해자 발생, 운영자 신원 확인까지
2014-2024 연표: xmrwallet.com에서 10,000개 이상의 키 도난 사건 - 사이트 출시부터 첫 피해자 발생, 운영자 신원 확인까지
2016

도메인 등록 완료 — xmrwallet.com

NameSilo를 통해 다음으로 등록되었습니다. 15년의 등록 기간 (2016-2031). 무료 오픈소스 모네로 웹 지갑으로 제공됩니다.

2018년 5월

GitHub 조직 생성됨

xmrwallet GitHub 조직이 생성된 날짜: 2018-05-10 작성자: nathroy (ID: 39167759). 투명성을 위한 쇼로 공개된 코드.

2018

금지 및 코드 동결

운영자 u/WiseSolution r/Monero에서 차단됨 홍보성 스팸 때문. 이 무렵의 마지막 GitHub 커밋. 피해자들의 이슈 보고가 삭제되기 시작함(이슈 #1~#12가 사라짐).

2018–2024

6년간의 침묵

공개 저장소가 동결되었습니다. 프로덕션 코드는 난독화된 자바스크립트, 문서화되지 않은 매개변수, 백도어 엔드포인트 등으로 인해 원본 코드와 완전히 달라졌습니다. Trustpilot과 Reddit에는 피해자들의 신고가 속속 올라오고 있습니다.

2025–2026

PhishDestroy 조사

네트워크 트래픽 분석 결과 다음과 같이 드러났다 session_key 정보 유출. 자바스크립트 난독화 해제 결과 확인됨 raw_tx = 0 트랜잭션 탈취. GitHub Issues에 게시된 증거 #35 & #36.

2026년 2월

보고서 발표 — 도메인은 여전히 활성화 상태

전체 기술 보고서가 공개되었습니다. xmrwallet.com은 계속 운영 중입니다. 도메인 요금은 다음을 통해 결제되었습니다. 2031. DDoS-Guard는 제거에 대한 내성을 제공합니다.

전체 증거 및 출처 자료

이 기사에 제시된 모든 주장은 공개적으로 검증 가능한 증거로 뒷받침됩니다. 보고서를 다운로드하고, 코드를 확인하며, 네트워크 캡처를 직접 확인해 보십시오.

안전한 대안

어떤 웹 지갑에서도 절대로 개인 키를 입력하지 마십시오. 그게 다입니다. 기기에서 로컬로 실행되는, 검증되고 감사를 거친 소프트웨어를 사용하십시오.

데스크톱 지갑

모네로 GUI — 공식 지갑, 모든 기능을 갖춘, 오픈소스, 감사 완료
깃털 지갑 — 가볍고 빠르며, 개인정보 보호에 중점을 둔 데스크톱 지갑

모바일 지갑

모네루조 (Android) — Tor를 지원하는 오픈소스 앱
케이크 월렛 (iOS/Android) — 다양한 코인을 지원하며, 관리가 잘 되어 있음

암호화폐의 황금률

다음 사이트에서는 절대로 시드 문구, 개인 키 또는 조회 키를 입력하지 마십시오. 어떤 웹사이트든. 정식 지갑은 로컬에서 실행되며, 사용자의 키를 서버로 전송할 필요가 전혀 없습니다. 웹 지갑에서 개인 키를 요구한다면 이는 사기입니다. 보안을 극대화하려면 공식 모네로 소프트웨어가 설치된 하드웨어 지갑(Ledger, Trezor)을 사용하십시오.

지역사회 보호하기

xmrwallet은 지난 10년 동안 모네로를 훔쳐왔습니다. 증거는 공개되어 있습니다. 운영자도 신원이 확인되었습니다. 이 조사 결과를 널리 알려주세요. 해당 도메인을 신고해 주세요. 이 사이트를 폐쇄할 수 있도록 도와주세요.

관련 조사

xmrwallet.com의 종말: NameSilo, 200만 달러 규모의 암호화폐 절도범을 보호하기 위해 거짓말을 했다
조사
xmrwallet.com의 종말: NameSilo, 200만 달러 규모의 암호화폐 절도범을 보호하기 위해 거짓말을 했다
트러스트 월렛 피싱 사건: 23만 9천 달러 탈취, 가담자 6명
심층 취재
트러스트 월렛 피싱 사건: 23만 9천 달러 탈취, 가담자 6명
암호화폐 탈취 툴킷: ‘엔젤 드레이너’ 재판매업자 실체 밝혀져
심층 취재
암호화폐 탈취 툴킷: ‘엔젤 드레이너’ 재판매업자 실체 밝혀져

이 기사 공유하기

X Telegram 레딧
투명성 공지. PhishDestroy는 비영리 독립 프로젝트입니다. 당사의 연구 결과에는 사기 인프라 및 이를 가능하게 하는 서비스에 대한 내재적 편향이 반영되어 있을 수 있습니다. 독자 여러분께서는 모든 자료를 비판적이고 독립적인 시각으로 평가해 주시기를 당부드립니다. 투명성 선언문 전문 보기 →