Investigação forense aprofundada sobre uma carteira web do Monero que codifica sua chave privada de visualização em Base64 em um session_key
token, o divulga em mais de 40 solicitações de API por sessão e, em seguida, anula
sua transação com
raw_tx = 0
e o recria para roubar seus fundos. Em atividade desde 2016. Operador
identificado.
~9 minutos de leitura·
Atualizado Março de 2026·
PhishDestroy Intelligence
Ativo desde 2016Mais de 40 vazamentos de chaves / sessãoProtegido pelo DDoS-Guard
0
Anos em atividade
40+
Vazamentos de chaves por sessão
$2M-$15M+
Total estimado de bens roubados
0
Atualizações do GitHub desde 2018
A Fachada
xmrwallet.com apresenta-se como uma carteira Monero gratuita,
de código aberto e do lado do cliente. Sem downloads. Sem
cadastro. Seus Termos de Serviço fazem uma afirmação bem específica:
"Todas as operações criptográficas ocorrem no seu navegador. O servidor
não tem como acessar suas chaves privadas."
— Termos de Serviço do xmrwallet.com (comprovadamente falsos)
Isso é mentira. Nossa análise forense — capturas de rede,
desofuscação de JavaScript e comparação de código de produção —
comprova exatamente o contrário. Toda chave digitada no xmrwallet.com é
roubada. Toda transação pode ser sequestrada.
Produção x GitHub:
Divergência total
O
repositório público do GitHub
não recebeu nenhum commit desde
Novembro de 2018. O ambiente de produção executa
um código totalmente diferente, com parâmetros não documentados que não constam
no repositório:
session_key — Token de exfiltração da chave de visualização codificado em Base64
verification — canal secundário de exfiltração
timestamp — parâmetro de rastreamento de sessão
data — contêiner de carga adicional
Domínio registrado por meio de NameSilo em 2016 — pré-pago por meio de 2031. Quinze anos de inscrição para um “projeto independente livre”.
Ataque nº 1: Exfiltração de chaves de visualização
Quando você faz login no xmrwallet.com, sua chave de visualização privada é codificada em Base64 e incorporada a um session_key token. Esse token é então transmitido ao servidor com cada solicitação de API — Mais de 40 vezes em uma única sessão.
// Decoded example: // blob: a3f8c2... (session identifier) // address: 4A1BxN... (your Monero public address) // viewkey: SUA CHAVE DE VISUALIZAÇÃO PRIVADA EM TEXTO NÃO CRIPTOGRAFADO
As capturas de rede da WebExtension do Firefox confirmam que esse token é transmitido 6 pontos de extremidade distintos da API totalizando mais de 40 solicitações POST por sessão:
Ponto de conexão da API
Solicitações / Sessão
Vaza a chave de sessão (session_key)
/api/getheightsync
12
Sim
/api/gettransactions
10
Sim
/api/getbalance
6
Sim
/api/getsubaddresses
4
Sim
/api/getoutputs
3
Sim
/api/support_login
1
Sim
Mais de 40 cópias da sua chave privada
Uma única sessão de login envia sua chave privada de visualização para o servidor pelo menos 36 vezes. O servidor não precisa da sua chave para nenhuma dessas operações — as verificações de saldo e as sincronizações de altura são consultas públicas na blockchain. Não há absolutamente nenhuma razão legítima para transmitir material de chave. Evidência da captura completa da rede: xmrwallet.com GitHub Issue #36 — Visualizar evidências de exfiltração de chaves.
Ataque nº 2: Desvio de transações
O roubo da chave de visualização permite que o invasor assistir sua carteira. Mas o xmrwallet.com vai além — ele rouba seus fundos em tempo real. O código JavaScript de produção desofuscado revela uma sequência de ataque em 5 etapas:
Sua carteira exibe a mensagem “transação enviada”. Seus fundos chegam ao endereço do invasor. As vítimas veem "ID de transação desconhecido" quando tentam verificar nos exploradores de blocos. As transações marcadas internamente como swept são os que foram roubados.
Sua transação nunca existiu
raw_tx_and_hash.raw = 0 significa que a transação gerada pelo cliente é descartada. O servidor cria uma transação totalmente nova usando suas chaves e envia seu XMR ao invasor. A mensagem de “sucesso” que você vê é falsa. Análise detalhada do código: xmrwallet.com GitHub Issue #35 — Prova contra o sequestro de transações.
Código de Produção Oculto
O site xmrwallet.com mantém um repositório público no GitHub para parecer legítimo. O repositório é uma isca. Não há atualizações nele desde Novembro de 2018. O ambiente de produção executa um código totalmente diferente e ofuscado.
GitHub público (isca)
Último commit: Novembro de 2018
Não session_key parâmetro
Não verification param
Não /support_login.html
Sem o Google Tag Manager
Código limpo e auditável
Local de produção (real)
Atualizado regularmente entre 2024 e 2026
session_key com a chave de visualização Base64
verification canal de exfiltração
/support_login.html porta dos fundos
Injeção remota de JavaScript no GTM
Código ofuscado e não auditável
Backdoor e injeção remota de código
A unidade de produção contém /support_login.html — um endpoint administrativo oculto que não consta de forma alguma no repositório do GitHub. Combinado com Google Tag Manager (contêiner do GTM) Com essa integração, o operador pode injetar e modificar remotamente o JavaScript no site ativo a qualquer momento — sem atualizar a base de código pública. Trata-se de um vetor de execução remota de código disfarçado de análise de dados.
Infraestrutura à prova de falhas
O xmrwallet.com não utiliza hospedagem compartilhada de baixo custo. Ele opera em uma infraestrutura premium e à prova de falhas, escolhida especificamente para resistir a solicitações de remoção e às autoridades.
IOCs de hospedagem e rede
Indicador
Valor
Domínio
xmrwallet.com
Secretário
NameSilo (2016 – 2031, registro de 15 anos)
Provedor de hospedagem
IQWEB FZ-LLC (a partir de US$ 550 por mês)
Endereço IP
186.2.165.49
ASN
AS59692
CDN / Proteção contra DDoS
DDoS-Guard
Servidor Web
Apache 2.4.58 (Ubuntu)
Back-end
PHP 8.2.29
Certificado SSL
Let's Encrypt (renovação automática)
Espelho do Tor
xmrwalletdatuxms.onion
Custo anual de infraestrutura
$8,000 – $15,000+
IOCs de rastreamento e análise
Rastreador
Solicitações / Sessão
Identificador
Google Tag Manager
12
Contêiner GTM
Google Analytics (UA)
12
UA-116766241-1
Google Analytics 4
5
Transmissão do GA4
DoubleClick
1
Pixel de rastreamento de anúncios
Cookies do DDoS-Guard
—
__ddg8_, __ddg9_, __ddg10_, __ddg1_
$8K-$15K/Year for a "Free Volunteer Wallet"
Uma carteira gratuita legítima não gasta mais de US$ 550 por mês com a hospedagem à prova de ataques da IQWEB FZ-LLC, protegida pelo DDoS-Guard — uma infraestrutura projetada especificamente para resistir a denúncias de abuso e intimações de autoridades. Ela também não registra um domínio por 15 anos. Ela não utiliza o rastreamento do Google Analytics em uma carteira Monero “focada na privacidade”. Essa é uma infraestrutura criada com um único objetivo: roubos persistentes em grande escala.
Operadora identificada: Nathalie Roy
Informações de inteligência de código aberto indicam que a infraestrutura do xmrwallet.com está diretamente ligada a um único indivíduo.
Nathalie Roy foi banida do site oficial subreddit r/Monero em 2018, para promover o xmrwallet.com. O último commit no GitHub ocorreu no mesmo ano. Há mais de seis anos, o código público está congelado, enquanto o site de produção rouba ativamente fundos com um código completamente diferente. O domínio está pago até 2031 — o operador não vai a lugar nenhum.
Vítimas registradas
Pelo menos 15 casos divulgados publicamente de casos de roubo de fundos no Trustpilot, Sitejabber, Reddit e GitHub Issues. Pessoas reais. Dinheiro de verdade. Desapareceu.
15+
Relatórios públicos
590 XMR
O maior valor individual (US$ 177 mil)
0
Anos de roubo
$2M-$15M+
Total estimado
590 XMR (~US$ 177.000) — um único roubo, o maior caso registrado
17,44 XMR — documentado com o ID da transação na blockchain
20 XMR foram roubados durante a noite — a carteira foi esvaziada enquanto o usuário dormia
Várias notificações de “ID de transação desconhecida” — o swept assinatura da tag
Issues do GitHub nº 13 e seguintes excluídos — o operador exclui os relatos das vítimas do repositório
Provas apagadas, sem carteira de doações
O operador exclui ativamente as denúncias das vítimas do GitHub Issues (todas as denúncias anteriores à #13 foram removidas). O site afirma aceitar doações, mas nenhum endereço de carteira para doações jamais foi divulgado. Por que um “projeto independente” que gasta entre US$ 8 mil e US$ 15 mil por ano recusaria doações? Porque a receita provém de roubo.
Cronologia dos eventos
Cronologia 2014-2024: xmrwallet.com – mais de 10.000 chaves roubadas – desde o lançamento do site, passando pelas primeiras vítimas, até a identificação do operador
2016
Domínio registrado — xmrwallet.com
Registrado via NameSilo com um Período de registro de 15 anos (2016-2031). Apresenta-se como uma carteira web gratuita e de código aberto para Monero.
Maio de 2018
Organização do GitHub criada
A organização xmrwallet no GitHub foi criada em 2018-05-10 por nathroy (ID: 39167759). Código público publicado como uma encenação de transparência.
2018
Banido e código congelado
Operador da WiseSolution banido do r/Monero por spam promocional. Último commit no GitHub por volta dessa época. Os relatórios de problemas das vítimas começam a ser excluídos (os Issues #1 a #12 sumiram).
2018 – 2024
6 anos de silêncio
Repositório público congelado. O código de produção apresenta divergências completas, com JavaScript ofuscado, parâmetros não documentados e endpoints com backdoors. As denúncias das vítimas se acumulam no Trustpilot e no Reddit.
2025 – 2026
Investigação sobre o PhishDestroy
A análise do tráfego de rede revela que session_key exfiltração. A desofuscação do JavaScript confirma raw_tx = 0 sequestro de transações. Evidências publicadas no GitHub Issues #35 & #36.
Fevereiro de 2026
Relatório publicado — Domínio ainda ativo
Relatório técnico completo publicado. O site xmrwallet.com continua no ar. O domínio foi pago por meio de 2031. O DDoS-Guard oferece resistência a tentativas de remoção.
Provas completas e materiais de referência
Todas as afirmações contidas neste artigo são respaldadas por evidências verificáveis publicamente. Baixe os relatórios. Verifique o código. Confira você mesmo as capturas de rede.
Nunca insira chaves privadas em nenhuma carteira online. Ponto final. Use software verificado e auditado que seja executado localmente no seu dispositivo.
Carteiras para computador
Interface gráfica do Monero — Carteira oficial, com todos os recursos, de código aberto e auditada Carteira Feather — Carteira para desktop leve, rápida e voltada para a privacidade
Carteiras digitais
Monerujo (Android) — Código aberto com suporte ao Tor Carteira Cake (iOS/Android) — Compatível com várias criptomoedas, bem mantido
A Regra de Ouro das Criptomoedas
Nunca digite sua frase-semente, chaves privadas ou chaves de visualização em qualquer site. As carteiras legítimas funcionam localmente — elas nunca precisam enviar suas chaves para um servidor. Se uma carteira online solicitar suas chaves privadas, trata-se de um golpe. Para obter o máximo de segurança, use uma carteira de hardware (Ledger, Trezor) com o software oficial do Monero.
Proteger a comunidade
O site xmrwallet.com vem roubando Monero há 10 anos. As provas são públicas. O operador já foi identificado. Compartilhe esta investigação. Denuncie o domínio. Ajude-nos a fechá-lo.
Aviso de transparência. O PhishDestroy é um projeto independente e sem fins lucrativos. Nossa pesquisa pode refletir um viés inerente contra a infraestrutura de golpes e os serviços que a possibilitam. Incentivamos os leitores a avaliarem todo o material de forma crítica e independente. Leia nossa declaração de transparência completa →