사용자의 개인 보기 키를 Base64로 인코딩하여 session_key
토큰을 세션당 40회 이상의 API 요청을 통해 유출한 뒤,
다음과 같이 귀하의 트랜잭션을 무효화합니다.
raw_tx = 0
그리고 이를 재구성하여 사용자의 자금을 탈취합니다. 2016년부터 활동 중입니다. 운영자
신원이 확인되었습니다.
~9분 소요·
업데이트됨 2026년 3월·
PhishDestroy 인텔리전스
2016년부터 활동 중40개 이상의 키 유출 / 세션DDoS-Guard로 보호됨
0
활동 기간
40+
세션당 키 유출 건수
$2M-$15M+
추정 도난 총액
0
2018년 이후 GitHub 업데이트
파사드
xmrwallet.com 이 서비스는 무료이며,
오픈소스 기반의 클라이언트 측 모네로 지갑으로 소개됩니다. 다운로드도,
회원 가입도 필요하지 않습니다. 이 서비스의 이용 약관에는 다음과 같은 매우 구체적인 내용이 명시되어 있습니다:
"모든 암호화 작업은 사용자의 브라우저에서 이루어집니다. 서버는
사용자의 개인 키에 접근할 수 없습니다."
— xmrwallet.com 이용약관 (명백히 허위임)
이것은 거짓말입니다. 저희의 포렌식 분석 — 네트워크 캡처,
자바스크립트 난독화 해제, 그리고 프로덕션 코드 비교 —
는 정반대의 사실을 입증합니다. xmrwallet.com에서 입력되는 모든 키는
도용됩니다. 모든 거래는 가로채일 수 있습니다.
프로덕션 대 GitHub:
전체 차이
그
공개 GitHub 저장소
그 이후로 단 한 건의 커밋도 받지 못했습니다
2018년 11월. 해당 빌드 사이트에서는
저장소에는 없는 문서화되지 않은 매개변수를 사용하는
완전히 다른 코드를 실행합니다:
session_key — Base64로 인코딩된 뷰 키 유출 토큰
verification — 2차 유출 경로
timestamp — 세션 추적 매개변수
data — 추가 탑재물 컨테이너
다음 사이트를 통해 도메인 등록 NameSilo 2016년에 — 다음을 통해 선불로 결제됨 2031. “자유 독립 프로젝트” 등록 기간 15년.
공격 #1: 뷰 키 유출
xmrwallet.com에 로그인하면, 사용자의 개인 조회 키가 Base64로 인코딩되어 session_key 토큰. 이 토큰은 이후 다음과 함께 서버로 전송됩니다. 모든 API 요청 — 한 번의 세션에서 40회 이상.
파이어폭스 웹익스텐션 네트워크 캡처를 통해 이 토큰이 전송된다는 사실이 확인되었습니다. 6개의 서로 다른 API 엔드포인트 세션당 총 40회 이상의 POST 요청:
API 엔드포인트
요청 / 세션
session_key 유출
/api/getheightsync
12
네
/api/gettransactions
10
네
/api/getbalance
6
네
/api/getsubaddresses
4
네
/api/getoutputs
3
네
/api/support_login
1
네
개인 키 40개 이상
단일 로그인 세션에서 사용자의 개인 뷰 키가 서버로 전송됩니다. 최소 36회. 서버는 이러한 작업들(잔액 조회 및 높이 동기화)을 수행하는 데 사용자의 키가 필요하지 않습니다. 이는 모두 공개 블록체인 쿼리이기 때문입니다. 키 정보를 전송해야 할 정당한 이유는 전혀 없습니다. 전체 네트워크 캡처 증거: xmrwallet.com GitHub 이슈 #36 — 키 유출 증거 확인.
공격 유형 #2: 트랜잭션 탈취
키 도용 공격을 통해 공격자는 시청하기 사용자의 지갑. 하지만 xmrwallet.com은 그보다 더 나아가 — 사용자의 자금을 실시간으로 훔쳐갑니다. 난독화가 해제된 프로덕션용 자바스크립트를 분석한 결과, 5단계로 이루어진 공격 순서가 드러났습니다:
지갑에 “거래 전송됨”이라고 표시됩니다. 자금은 공격자의 주소로 입금됩니다. 피해자들은 "알 수 없는 거래 ID" 블록 탐색기에서 확인하려고 할 때. 내부적으로 다음과 같이 태그가 지정된 트랜잭션은 swept 도난당한 것들입니다.
귀하의 거래는 존재한 적이 없습니다
raw_tx_and_hash.raw = 0 이는 클라이언트에서 생성된 트랜잭션이 무효화된다는 것을 의미합니다. 서버는 사용자의 키를 사용하여 완전히 새로운 트랜잭션을 생성하고, 사용자의 XMR을 공격자에게 전송합니다. 화면에 표시되는 “성공” 메시지는 거짓입니다. 상세한 코드 분석: xmrwallet.com GitHub 이슈 #35 — 트랜잭션 탈취 방지 증명.
숨겨진 제작 코드
xmrwallet.com은 합법적인 사이트로 보이기 위해 공개 GitHub 저장소를 운영하고 있습니다. 이 저장소는 미끼일 뿐입니다. 이 저장소는 그 이후로 한 번도 수정된 적이 없습니다. 2018년 11월. 해당 생산 환경에서는 완전히 다른, 난독화된 코드가 실행됩니다.
공개 GitHub (미끼)
마지막 커밋: 2018년 11월
아니요 session_key 매개변수
아니요 verification param
아니요 /support_login.html
Google 태그 관리자 없음
깔끔하고 추적 가능한 코드
생산 현장 (실제)
2024~2026년 동안 지속적으로 업데이트됨
session_key Base64 viewkey와 함께
verification 정보 유출 경로
/support_login.html 백도어
GTM 원격 JS 삽입
난독화되어 감사할 수 없는 코드
백도어 및 원격 코드 삽입
생산 현장에는 다음이 포함되어 있습니다. /support_login.html — GitHub 저장소에는 전혀 포함되어 있지 않은 숨겨진 관리용 엔드포인트입니다. 이와 더불어 Google 태그 관리자(GTM 컨테이너) 이 통합 기능을 통해 운영자는 공개 코드베이스를 업데이트하지 않고도 언제든지 운영 중인 사이트에 자바스크립트를 원격으로 삽입하거나 수정할 수 있습니다. 이는 분석 기능으로 위장한 원격 코드 실행 경로입니다.
철통 같은 인프라
xmrwallet.com은 저가형 공유 호스팅을 사용하지 않습니다. 이 사이트는 제거 요청과 법 집행 기관의 압력에 견딜 수 있도록 특별히 선정된, 견고한 프리미엄 인프라를 기반으로 운영됩니다.
호스팅 및 네트워크 IOC
지표
값
도메인
xmrwallet.com
등록 담당자
NameSilo (2016–2031, 15년 등록)
호스팅 제공업체
IQWEB FZ-LLC (월 $550 이상)
IP 주소
186.2.165.49
ASN
AS59692
CDN / DDoS 방어
DDoS-Guard
웹 서버
Apache 2.4.58 (Ubuntu)
백엔드
PHP 8.2.29
SSL 인증서
Let's Encrypt (자동 갱신)
토르 미러
xmrwalletdatuxms.onion
연간 인프라 비용
$8,000 – $15,000+
추적 및 분석 IOC
추적기
요청 / 세션
식별자
Google 태그 매니저
12
GTM 컨테이너
Google 애널리틱스 (UA)
12
UA-116766241-1
Google 애널리틱스 4
5
GA4 스트림
더블클릭
1
광고 추적 픽셀
DDoS-Guard 쿠키
—
__ddg8_, __ddg9_, __ddg10_, __ddg1_
$8K-$15K/Year for a "Free Volunteer Wallet"
정당한 무료 지갑이라면, DDoS-Guard 뒤에 있는 IQWEB FZ-LLC의 ‘불가침’ 호스팅 서비스에 매달 550달러 이상을 지출하지 않습니다. 이 호스팅은 악용 신고와 법 집행 기관의 소환장에 대응하도록 특별히 설계된 인프라입니다. 또한 도메인을 15년 동안 등록하지도 않습니다. 또한 “개인정보 보호에 중점을 둔” 모네로(Monero) 지갑에서 구글 애널리틱스(Google Analytics) 추적 기능을 실행하지도 않습니다. 이 인프라는 오직 하나의 목적을 위해 구축된 것입니다: 대규모로 지속되는 절도.
확인된 운영자: 나탈리 로이
오픈소스 정보 분석 결과, xmrwallet.com의 인프라가 한 개인에게 직접 연결되는 것으로 드러났다.
나탈리 로이는 공식 대회에서 출전 금지 조치를 받았다. r/Monero 서브레딧 2018년에 xmrwallet.com을 홍보하기 위해 개설되었습니다. GitHub에 마지막으로 커밋된 시기도 같은 해였습니다. 6년 넘게 공개된 코드는 동결된 상태인 반면, 실제 운영 사이트는 완전히 다른 코드를 사용하여 적극적으로 자금을 훔치고 있습니다. 도메인 등록 기간은 2031년까지로 설정되어 있어, 운영자는 당분간 사라지지 않을 것입니다.
기록된 피해자들
적어도 공개적으로 보고된 15건의 사례 Trustpilot, Sitejabber, Reddit, GitHub Issues 등지에서 발생한 자금 도난 사건들. 실제 사람들. 실제 돈. 모두 사라졌습니다.
운영자는 GitHub 이슈에서 피해자 신고 내용을 적극적으로 삭제하고 있습니다(#13 이전의 모든 이슈가 사라졌습니다). 이 사이트는 기부금을 받고 있다고 밝히고 있지만 지금까지 기부용 지갑 주소가 공개된 적이 없습니다.. 연간 8,000~15,000달러를 지출하는 “독립 프로젝트”가 왜 기부금을 거절하겠는가? 그 수입이 절도에서 비롯되기 때문이다.
사건 연표
2014-2024 연표: xmrwallet.com에서 10,000개 이상의 키 도난 사건 - 사이트 출시부터 첫 피해자 발생, 운영자 신원 확인까지
2016
도메인 등록 완료 — xmrwallet.com
NameSilo를 통해 다음으로 등록되었습니다. 15년의 등록 기간 (2016-2031). 무료 오픈소스 모네로 웹 지갑으로 제공됩니다.
2018년 5월
GitHub 조직 생성됨
xmrwallet GitHub 조직이 생성된 날짜: 2018-05-10 작성자: nathroy (ID: 39167759). 투명성을 위한 쇼로 공개된 코드.
2018
금지 및 코드 동결
운영자 u/WiseSolution r/Monero에서 차단됨 홍보성 스팸 때문. 이 무렵의 마지막 GitHub 커밋. 피해자들의 이슈 보고가 삭제되기 시작함(이슈 #1~#12가 사라짐).
2018–2024
6년간의 침묵
공개 저장소가 동결되었습니다. 프로덕션 코드는 난독화된 자바스크립트, 문서화되지 않은 매개변수, 백도어 엔드포인트 등으로 인해 원본 코드와 완전히 달라졌습니다. Trustpilot과 Reddit에는 피해자들의 신고가 속속 올라오고 있습니다.
2025–2026
PhishDestroy 조사
네트워크 트래픽 분석 결과 다음과 같이 드러났다 session_key 정보 유출. 자바스크립트 난독화 해제 결과 확인됨 raw_tx = 0 트랜잭션 탈취. GitHub Issues에 게시된 증거 #35 & #36.
2026년 2월
보고서 발표 — 도메인은 여전히 활성화 상태
전체 기술 보고서가 공개되었습니다. xmrwallet.com은 계속 운영 중입니다. 도메인 요금은 다음을 통해 결제되었습니다. 2031. DDoS-Guard는 제거에 대한 내성을 제공합니다.
전체 증거 및 출처 자료
이 기사에 제시된 모든 주장은 공개적으로 검증 가능한 증거로 뒷받침됩니다. 보고서를 다운로드하고, 코드를 확인하며, 네트워크 캡처를 직접 확인해 보십시오.
어떤 웹 지갑에서도 절대로 개인 키를 입력하지 마십시오. 그게 다입니다. 기기에서 로컬로 실행되는, 검증되고 감사를 거친 소프트웨어를 사용하십시오.
데스크톱 지갑
모네로 GUI — 공식 지갑, 모든 기능을 갖춘, 오픈소스, 감사 완료 깃털 지갑 — 가볍고 빠르며, 개인정보 보호에 중점을 둔 데스크톱 지갑
모바일 지갑
모네루조 (Android) — Tor를 지원하는 오픈소스 앱 케이크 월렛 (iOS/Android) — 다양한 코인을 지원하며, 관리가 잘 되어 있음
암호화폐의 황금률
다음 사이트에서는 절대로 시드 문구, 개인 키 또는 조회 키를 입력하지 마십시오. 어떤 웹사이트든. 정식 지갑은 로컬에서 실행되며, 사용자의 키를 서버로 전송할 필요가 전혀 없습니다. 웹 지갑에서 개인 키를 요구한다면 이는 사기입니다. 보안을 극대화하려면 공식 모네로 소프트웨어가 설치된 하드웨어 지갑(Ledger, Trezor)을 사용하십시오.
지역사회 보호하기
xmrwallet은 지난 10년 동안 모네로를 훔쳐왔습니다. 증거는 공개되어 있습니다. 운영자도 신원이 확인되었습니다. 이 조사 결과를 널리 알려주세요. 해당 도메인을 신고해 주세요. 이 사이트를 폐쇄할 수 있도록 도와주세요.
투명성 공지. PhishDestroy는 비영리 독립 프로젝트입니다. 당사의 연구 결과에는 사기 인프라 및 이를 가능하게 하는 서비스에 대한 내재적 편향이 반영되어 있을 수 있습니다. 독자 여러분께서는 모든 자료를 비판적이고 독립적인 시각으로 평가해 주시기를 당부드립니다. 투명성 선언문 전문 보기 →