Ir direto para o conteúdo principal
Voltar às notícias

Investigação sobre o roubo de uma carteira de Monero

xmrwallet.com ao descoberto: 10 anos de chaves roubadas e transações sequestradas

Investigação forense aprofundada sobre uma carteira web do Monero que codifica sua chave privada de visualização em Base64 em um session_key token, o divulga em mais de 40 solicitações de API por sessão e, em seguida, anula sua transação com raw_tx = 0 e o recria para roubar seus fundos. Em atividade desde 2016. Operador identificado.

Ativo desde 2016 Mais de 40 vazamentos de chaves / sessão Protegido pelo DDoS-Guard
XMRWallet: A Verdade à Luz
0
Anos em atividade
40+
Vazamentos de chaves por sessão
$2M-$15M+
Total estimado de bens roubados
0
Atualizações do GitHub desde 2018

A Fachada

xmrwallet.com apresenta-se como uma carteira Monero gratuita, de código aberto e do lado do cliente. Sem downloads. Sem cadastro. Seus Termos de Serviço fazem uma afirmação bem específica:

"Todas as operações criptográficas ocorrem no seu navegador. O servidor não tem como acessar suas chaves privadas."

— Termos de Serviço do xmrwallet.com (comprovadamente falsos)

Isso é mentira. Nossa análise forense — capturas de rede, desofuscação de JavaScript e comparação de código de produção — comprova exatamente o contrário. Toda chave digitada no xmrwallet.com é roubada. Toda transação pode ser sequestrada.

Produção x GitHub: Divergência total

O repositório público do GitHub não recebeu nenhum commit desde Novembro de 2018. O ambiente de produção executa um código totalmente diferente, com parâmetros não documentados que não constam no repositório:

  • session_key — Token de exfiltração da chave de visualização codificado em Base64
  • verification — canal secundário de exfiltração
  • timestamp — parâmetro de rastreamento de sessão
  • data — contêiner de carga adicional

Domínio registrado por meio de NameSilo em 2016 — pré-pago por meio de 2031. Quinze anos de inscrição para um “projeto independente livre”.

Ataque nº 1: Exfiltração de chaves de visualização

Quando você faz login no xmrwallet.com, sua chave de visualização privada é codificada em Base64 e incorporada a um session_key token. Esse token é então transmitido ao servidor com cada solicitação de API — Mais de 40 vezes em uma única sessão.

A estrutura session_key

chave_de_sessão = [blob_criptografado]:[base64_address]:[base64_private_viewkey]

// Decoded example:
// blob: a3f8c2... (session identifier)
// address: 4A1BxN... (your Monero public address)
// viewkey: SUA CHAVE DE VISUALIZAÇÃO PRIVADA EM TEXTO NÃO CRIPTOGRAFADO

As capturas de rede da WebExtension do Firefox confirmam que esse token é transmitido 6 pontos de extremidade distintos da API totalizando mais de 40 solicitações POST por sessão:

Ponto de conexão da APISolicitações / SessãoVaza a chave de sessão (session_key)
/api/getheightsync12 Sim
/api/gettransactions10 Sim
/api/getbalance6 Sim
/api/getsubaddresses4 Sim
/api/getoutputs3 Sim
/api/support_login1 Sim

Mais de 40 cópias da sua chave privada

Uma única sessão de login envia sua chave privada de visualização para o servidor pelo menos 36 vezes. O servidor não precisa da sua chave para nenhuma dessas operações — as verificações de saldo e as sincronizações de altura são consultas públicas na blockchain. Não há absolutamente nenhuma razão legítima para transmitir material de chave. Evidência da captura completa da rede: xmrwallet.com GitHub Issue #36 — Visualizar evidências de exfiltração de chaves.

Ataque nº 2: Desvio de transações

O roubo da chave de visualização permite que o invasor assistir sua carteira. Mas o xmrwallet.com vai além — ele rouba seus fundos em tempo real. O código JavaScript de produção desofuscado revela uma sequência de ataque em 5 etapas:

// Step 1: Client builds a legitimate transaction
cnUtil.create_transaction() → raw_tx_and_hash

// Step 2: Client transaction is NULLIFIED
raw_tx_and_hash.raw = 0;

// Step 3: Only metadata sent to server (no real tx)
POST /api/submit_raw_tx { bruto: 0, metadados: {...} }

// Step 4: Server rebuilds its OWN transaction
// using your keys + its destination address

// Step 5: Stolen transactions tagged internally
se(tipo == 'varrido') → transação redirecionada pelo invasor

Sua carteira exibe a mensagem “transação enviada”. Seus fundos chegam ao endereço do invasor. As vítimas veem "ID de transação desconhecido" quando tentam verificar nos exploradores de blocos. As transações marcadas internamente como swept são os que foram roubados.

Sua transação nunca existiu

raw_tx_and_hash.raw = 0 significa que a transação gerada pelo cliente é descartada. O servidor cria uma transação totalmente nova usando suas chaves e envia seu XMR ao invasor. A mensagem de “sucesso” que você vê é falsa. Análise detalhada do código: xmrwallet.com GitHub Issue #35 — Prova contra o sequestro de transações.

Código de Produção Oculto

O site xmrwallet.com mantém um repositório público no GitHub para parecer legítimo. O repositório é uma isca. Não há atualizações nele desde Novembro de 2018. O ambiente de produção executa um código totalmente diferente e ofuscado.

GitHub público (isca)

  • Último commit: Novembro de 2018
  • Não session_key parâmetro
  • Não verification param
  • Não /support_login.html
  • Sem o Google Tag Manager
  • Código limpo e auditável

Local de produção (real)

  • Atualizado regularmente entre 2024 e 2026
  • session_key com a chave de visualização Base64
  • verification canal de exfiltração
  • /support_login.html porta dos fundos
  • Injeção remota de JavaScript no GTM
  • Código ofuscado e não auditável

Backdoor e injeção remota de código

A unidade de produção contém /support_login.html — um endpoint administrativo oculto que não consta de forma alguma no repositório do GitHub. Combinado com Google Tag Manager (contêiner do GTM) Com essa integração, o operador pode injetar e modificar remotamente o JavaScript no site ativo a qualquer momento — sem atualizar a base de código pública. Trata-se de um vetor de execução remota de código disfarçado de análise de dados.

Infraestrutura à prova de falhas

O xmrwallet.com não utiliza hospedagem compartilhada de baixo custo. Ele opera em uma infraestrutura premium e à prova de falhas, escolhida especificamente para resistir a solicitações de remoção e às autoridades.

IOCs de hospedagem e rede

IndicadorValor
Domínioxmrwallet.com
SecretárioNameSilo (2016 – 2031, registro de 15 anos)
Provedor de hospedagemIQWEB FZ-LLC (a partir de US$ 550 por mês)
Endereço IP186.2.165.49
ASNAS59692
CDN / Proteção contra DDoSDDoS-Guard
Servidor WebApache 2.4.58 (Ubuntu)
Back-endPHP 8.2.29
Certificado SSLLet's Encrypt (renovação automática)
Espelho do Torxmrwalletdatuxms.onion
Custo anual de infraestrutura$8,000 – $15,000+

IOCs de rastreamento e análise

RastreadorSolicitações / SessãoIdentificador
Google Tag Manager12Contêiner GTM
Google Analytics (UA)12UA-116766241-1
Google Analytics 45Transmissão do GA4
DoubleClick1Pixel de rastreamento de anúncios
Cookies do DDoS-Guard __ddg8_, __ddg9_, __ddg10_, __ddg1_

$8K-$15K/Year for a "Free Volunteer Wallet"

Uma carteira gratuita legítima não gasta mais de US$ 550 por mês com a hospedagem à prova de ataques da IQWEB FZ-LLC, protegida pelo DDoS-Guard — uma infraestrutura projetada especificamente para resistir a denúncias de abuso e intimações de autoridades. Ela também não registra um domínio por 15 anos. Ela não utiliza o rastreamento do Google Analytics em uma carteira Monero “focada na privacidade”. Essa é uma infraestrutura criada com um único objetivo: roubos persistentes em grande escala.

Operadora identificada: Nathalie Roy

Informações de inteligência de código aberto indicam que a infraestrutura do xmrwallet.com está diretamente ligada a um único indivíduo.

CampoDetalhes
NomeNathalie Roy
LocalizaçãoCanadá
Nome de usuário do GitHubnathroy (ID: 39167759)
Organização do GitHubxmrwallet (criado em 10 de maio de 2018)
E-mail (Admin)admin@xmrwallet.com
E-mail (pessoal)royn5094@protonmail.com
Redditu/WiseSolution (banido do r/Monero)
Twitter@xmrwalletcom
Servidor de e-mail (MX)mail.privateemail.com

Banido, Desmascarado, Ainda Ativo

Nathalie Roy foi banida do site oficial subreddit r/Monero em 2018, para promover o xmrwallet.com. O último commit no GitHub ocorreu no mesmo ano. Há mais de seis anos, o código público está congelado, enquanto o site de produção rouba ativamente fundos com um código completamente diferente. O domínio está pago até 2031 — o operador não vai a lugar nenhum.

Vítimas registradas

Pelo menos 15 casos divulgados publicamente de casos de roubo de fundos no Trustpilot, Sitejabber, Reddit e GitHub Issues. Pessoas reais. Dinheiro de verdade. Desapareceu.

15+
Relatórios públicos
590 XMR
O maior valor individual (US$ 177 mil)
0
Anos de roubo
$2M-$15M+
Total estimado
  • 590 XMR (~US$ 177.000) — um único roubo, o maior caso registrado
  • 17,44 XMR — documentado com o ID da transação na blockchain
  • 20 XMR foram roubados durante a noite — a carteira foi esvaziada enquanto o usuário dormia
  • Várias notificações de “ID de transação desconhecida” — o swept assinatura da tag
  • Issues do GitHub nº 13 e seguintes excluídos — o operador exclui os relatos das vítimas do repositório

Provas apagadas, sem carteira de doações

O operador exclui ativamente as denúncias das vítimas do GitHub Issues (todas as denúncias anteriores à #13 foram removidas). O site afirma aceitar doações, mas nenhum endereço de carteira para doações jamais foi divulgado. Por que um “projeto independente” que gasta entre US$ 8 mil e US$ 15 mil por ano recusaria doações? Porque a receita provém de roubo.

Cronologia dos eventos

Cronologia 2014-2024: xmrwallet.com – mais de 10.000 chaves roubadas – desde o lançamento do site, passando pelas primeiras vítimas, até a identificação do operador
Cronologia 2014-2024: xmrwallet.com – mais de 10.000 chaves roubadas – desde o lançamento do site, passando pelas primeiras vítimas, até a identificação do operador
2016

Domínio registrado — xmrwallet.com

Registrado via NameSilo com um Período de registro de 15 anos (2016-2031). Apresenta-se como uma carteira web gratuita e de código aberto para Monero.

Maio de 2018

Organização do GitHub criada

A organização xmrwallet no GitHub foi criada em 2018-05-10 por nathroy (ID: 39167759). Código público publicado como uma encenação de transparência.

2018

Banido e código congelado

Operador da WiseSolution banido do r/Monero por spam promocional. Último commit no GitHub por volta dessa época. Os relatórios de problemas das vítimas começam a ser excluídos (os Issues #1 a #12 sumiram).

2018 – 2024

6 anos de silêncio

Repositório público congelado. O código de produção apresenta divergências completas, com JavaScript ofuscado, parâmetros não documentados e endpoints com backdoors. As denúncias das vítimas se acumulam no Trustpilot e no Reddit.

2025 – 2026

Investigação sobre o PhishDestroy

A análise do tráfego de rede revela que session_key exfiltração. A desofuscação do JavaScript confirma raw_tx = 0 sequestro de transações. Evidências publicadas no GitHub Issues #35 & #36.

Fevereiro de 2026

Relatório publicado — Domínio ainda ativo

Relatório técnico completo publicado. O site xmrwallet.com continua no ar. O domínio foi pago por meio de 2031. O DDoS-Guard oferece resistência a tentativas de remoção.

Provas completas e materiais de referência

Todas as afirmações contidas neste artigo são respaldadas por evidências verificáveis publicamente. Baixe os relatórios. Verifique o código. Confira você mesmo as capturas de rede.

Alternativas seguras

Nunca insira chaves privadas em nenhuma carteira online. Ponto final. Use software verificado e auditado que seja executado localmente no seu dispositivo.

Carteiras para computador

Interface gráfica do Monero — Carteira oficial, com todos os recursos, de código aberto e auditada
Carteira Feather — Carteira para desktop leve, rápida e voltada para a privacidade

Carteiras digitais

Monerujo (Android) — Código aberto com suporte ao Tor
Carteira Cake (iOS/Android) — Compatível com várias criptomoedas, bem mantido

A Regra de Ouro das Criptomoedas

Nunca digite sua frase-semente, chaves privadas ou chaves de visualização em qualquer site. As carteiras legítimas funcionam localmente — elas nunca precisam enviar suas chaves para um servidor. Se uma carteira online solicitar suas chaves privadas, trata-se de um golpe. Para obter o máximo de segurança, use uma carteira de hardware (Ledger, Trezor) com o software oficial do Monero.

Proteger a comunidade

O site xmrwallet.com vem roubando Monero há 10 anos. As provas são públicas. O operador já foi identificado. Compartilhe esta investigação. Denuncie o domínio. Ajude-nos a fechá-lo.

Investigações relacionadas

O fim do xmrwallet.com: a NameSilo mentiu para proteger um ladrão de criptomoedas de US$ 2 milhões
INVESTIGAÇÃO
O fim do xmrwallet.com: a NameSilo mentiu para proteger um ladrão de criptomoedas de US$ 2 milhões
Painel sobre o caso de phishing da Trust Wallet: US$ 239 mil roubados, 6 operadores
INVESTIGAÇÃO APROFUNDADA
Painel sobre o caso de phishing da Trust Wallet: US$ 239 mil roubados, 6 operadores
Kit de ferramentas Crypto Drainer: revendedores do Angel Drainer são desmascarados
INVESTIGAÇÃO APROFUNDADA
Kit de ferramentas Crypto Drainer: revendedores do Angel Drainer são desmascarados

Compartilhe este artigo

X Telegram Reddit
Aviso de transparência. O PhishDestroy é um projeto independente e sem fins lucrativos. Nossa pesquisa pode refletir um viés inerente contra a infraestrutura de golpes e os serviços que a possibilitam. Incentivamos os leitores a avaliarem todo o material de forma crítica e independente. Leia nossa declaração de transparência completa →