Is xmrwallet.com safe to use?

No. xmrwallet.com has been found to secretly exfiltrate private view keys via Base64-encoded session tokens across 40+ API requests per session, and hijack transactions by setting raw_tx_and_hash.raw = 0. Estimated losses: $2M-$15M+ since 2016.

How does xmrwallet.com steal funds?

Two attack vectors: (1) Private view keys are Base64-encoded into session_key tokens and leaked across 6 API endpoints (getheightsync, gettransactions, getbalance, getsubaddresses, getoutputs, support_login) 40+ times per session. (2) Client transactions are nullified (raw_tx = 0) and the server rebuilds transactions redirecting funds to attacker wallets.

What are safe alternatives to xmrwallet.com?

Safe Monero wallet alternatives include: Monero GUI (official desktop wallet), Feather Wallet (lightweight desktop), Monerujo (Android), Cake Wallet (iOS/Android), and hardware wallets like Ledger or Trezor with official Monero software. Never enter private keys on any web wallet.

Who operates xmrwallet.com?

OSINT links xmrwallet.com to Nathalie Roy, a Canada-based developer operating under GitHub username nathroy (ID: 39167759). The XMRWallet GitHub organization was created 2018-05-10. Associated accounts include Reddit u/WiseSolution (banned from r/Monero) and Twitter @xmrwalletcom.

Вернуться к новостям

Расследование кражи кошелька Monero

xmrwallet.com разоблачен: 10 лет украденных ключей и поддельных транзакций

Тщательное криминалистическое расследование веб-кошелька Monero, в котором ваш закрытый ключ просматривания кодируется с помощью Base64 в session_key токен, передает его в более чем 40 API-запросах за сеанс, а затем аннулирует вашу транзакцию с помощью raw_tx = 0 и перестраивает его, чтобы похитить ваши средства. Действует с 2016 года. Личность оператора установлена.

~9 минут чтения· Обновлено Март 2026 года· PhishDestroy Intelligence

Работает с 2016 года Более 40 утечек ключей за сеанс Защита DDoS-Guard

Годы деятельности

40+

Количество утечек ключей за сеанс

2–15 млн долларов и более

Приблизительная общая сумма похищенных средств

Обновления GitHub с 2018 года

Фасад

xmrwallet.com представляет собой бесплатный кошелек Monero с открытым исходным кодом, работающий на стороне клиента. Никаких загрузок. Никакой регистрации. В их Условиях предоставления услуг содержится следующее конкретное заявление:

«Все криптографические операции выполняются в вашем браузере. Сервер не имеет доступа к вашим закрытым ключам».

— Условия предоставления услуг xmrwallet.com (явно ложные)

Это ложь. Наш криминалистический анализ — перехват сетевого трафика, деобфускация JavaScript и сравнение производственного кода — доказывает прямо противоположное. Каждый ключ, введенный на сайте xmrwallet.com, подвергается краже. Каждая транзакция может быть перехвачена.

Production против GitHub: полное расхождение

Этот открытый репозиторий GitHub не было ни одного коммита с тех пор, как Ноябрь 2018 года. На производственной среде используется совершенно другой код с недокументированными параметрами, которых нет в репозитории:

session_key — Токен для передачи ключа просмотра, закодированный в Base64
verification — вторичный канал утечки
timestamp — параметр отслеживания сеанса
data — контейнер для дополнительного груза

Домен зарегистрирован через NameSilo в 2016 году — оплачено заранее через 2031. Пятнадцать лет участия в «бесплатном волонтерском проекте».

Атака № 1: Перехват ключей доступа

При входе на сайт xmrwallet.com ваш открытый ключ кодируется в формате Base64 и встраивается в session_key токен. Затем этот токен передается на сервер вместе с каждый запрос API — более 40 раз за один сеанс.

Структура session_key

Сессионный ключ = [зашифрованный_блок]:[base64_address]:[base64_private_viewkey]

// Пример с расшифровкой:
// blob: a3f8c2... (идентификатор сеанса)
// адрес: 4A1BxN... (ваш публичный адрес Monero)
// viewkey: ВАШ ПАРОЛЬ ДЛЯ ЧАСТНОГО ПРОСМОТРА В ОТКРЫТОМ ТЕКСТЕ

Данные о сетевых запросах Firefox WebExtension подтверждают, что этот токен передается по сети 6 различных конечных точек API в общей сложности более 40 запросов POST за сеанс:

Конечная точка API	Запросы / Сессия	Утечка session_key
`/api/getheightsync`	12	Да
`/api/gettransactions`	10	Да
`/api/getbalance`	6	Да
`/api/getsubaddresses`	4	Да
`/api/getoutputs`	3	Да
`/api/support_login`	1	Да

Более 40 копий вашего приватного ключа

В ходе одного сеанса входа в систему ваш закрытый ключ просмотра отправляется на сервер не менее 36 раз. Серверу не требуется ваш ключ для выполнения ни одной из этих операций — проверка баланса и синхронизация высоты являются общедоступными запросами к блокчейну. Не существует ни одной законной причины для передачи ключевых данных. Доказательства полной записи сетевого трафика: xmrwallet.com GitHub Issue #36 — Просмотр доказательств утечки ключей.

Атака № 2: Перехват транзакции

Уязвимость «View key theft» позволяет злоумышленнику смотреть ваш кошелек. Но xmrwallet.com идет еще дальше — он крадет ваши средства в режиме реального времени. Деобфусцированный производственный код JavaScript раскрывает последовательность атаки из 5 шагов:

// Шаг 1: Клиент формирует легитимную транзакцию
cnПолезно.создать_транзакцию() → исходная транзакция и хэш

// Шаг 2: Транзакция клиента обнулена
исходная транзакция и хэш.Исходное значение равно 0;

// Шаг 3: На сервер отправляются только метаданные (без реальной транзакции)
Сообщение Отправить необработанную транзакцию. Исходные данные: 0, метаданные: {...} }

// Шаг 4: Сервер перестраивает СВОЮ транзакцию
// с использованием ваших ключей и адреса назначения

// Шаг 5: Внутреннее маркирование украденных транзакций
if(тип == «прометенный») → транзакция с перенаправлением от злоумышленника

В вашем кошельке отображается сообщение «Транзакция отправлена». Ваши средства поступают на адрес злоумышленника. Жертвы видят «Неизвестный идентификатор транзакции» когда они пытаются проверить их в блокчейн-браузерах. Транзакции, помеченные внутри как swept — это украденные.

Ваша транзакция никогда не существовала

raw_tx_and_hash.raw = 0 означает, что транзакция, сгенерированная клиентом, отбрасывается. Сервер создаёт совершенно новую транзакцию с использованием ваших ключей и отправляет ваши XMR злоумышленнику. Сообщение «успех», которое вы видите, — это ложь. Подробный анализ кода: xmrwallet.com Запрос на GitHub № 35 — Защита от перехвата транзакций.

Скрытый производственный код

Сайт xmrwallet.com ведет общедоступный репозиторий на GitHub, чтобы выглядеть легитимным. Этот репозиторий — лишь прикрытие. Он не обновлялся с Ноябрь 2018 года. На производственной среде используется совершенно другой, запутывающий код.

Открытый репозиторий GitHub (приманка)

Последний коммит: Ноябрь 2018
No session_key параметр
No verification параметр
No /support_login.html
Google Tag Manager отсутствует
Чистый код, поддающийся аудиту

Производственная площадка (реальная)

Активно обновляется в 2024–2026 годах
session_key с ключом просмотра Base64
verification канал вывода данных
/support_login.html бэкдор
Удаленная подстановка JavaScript в GTM
Запутанный, не поддающийся аудиту код

«Бэкдор» и удаленная инжекция кода

Производственная площадка включает в себя /support_login.html — скрытый административный конечный пункт, полностью отсутствующий в репозитории GitHub. В сочетании с Google Tag Manager (контейнер GTM) Благодаря этой интеграции оператор может в любой момент удаленно вставлять и изменять код JavaScript на действующем сайте — без обновления общедоступного кода. Это вектор удаленного выполнения кода, замаскированный под аналитику.

Надежная инфраструктура

xmrwallet.com не использует дешевый виртуальный хостинг. Сайт работает на надежной инфраструктуре премиум-класса, специально подобранной для противостояния запросам на закрытие сайта и давлениям со стороны правоохранительных органов.

Индикаторы состояния хостинга и сети

Показатель	Значение
Домен	xmrwallet.com
Зарегистрироваться	NameSilo (2016–2031, регистрация на 15 лет)
Хостинг-провайдер	IQWEB FZ-LLC (от 550 долларов в месяц)
IP-адрес	`186.2.165.49`
Осел	AS59692
CDN / Защита от DDoS-атак	DDoS-Guard
Веб-сервер	Apache 2.4.58 (Ubuntu)
Бэкенд	PHP 8.2.29
SSL-сертификат	Let's Encrypt (с автоматическим продлением)
Зеркало Tor	`xmrwalletdatuxms.onion`
Годовые расходы на инфраструктуру	8 000–15 000 долларов и более

Индикаторы эффективности (IOC) для отслеживания и аналитики

Трекер	Запросы / Сессия	Войти
Google Tag Manager	12	Контейнер GTM
Google Analytics (UA)	12	`UA-116766241-1`
Google Analytics 4	5	Поток GA4
DoubleClick	1	Пиксель отслеживания рекламы
Файлы cookie DDoS-Guard	—	`__ddg8_`, `__ddg9_`, `__ddg10_`, `__ddg1_`

8 000–15 000 долларов в год за «бесплатный кошелек для волонтеров»

Настоящий бесплатный кошелек не тратит более 550 долларов в месяц на защищенный хостинг IQWEB FZ-LLC с технологией DDoS-Guard — инфраструктуру, специально разработанную для противодействия жалобам о злоупотреблениях и запросам правоохранительных органов. Он не регистрирует домен на 15 лет. Он не использует отслеживание Google Analytics на «ориентированном на конфиденциальность» кошельке Monero. Эта инфраструктура создана с одной целью: массовые и систематические кражи.

Имя оператора: Натали Рой

Анализ открытых источников позволяет проследить инфраструктуру сайта xmrwallet.com непосредственно до одного конкретного человека.

Поле	Подробнее
Имя	Натали Рой
Местоположение	Канада
Имя пользователя на GitHub	Натрой (ID: 39167759)
Организация GitHub	Monero (создано 10 мая 2018 г.)
Электронная почта (администратор)	`admin@xmrwallet.com`
Электронная почта (личная)	`royn5094@protonmail.com`
Reddit	u/WiseSolution (заблокирован в r/Monero)
Twitter	@xmrwalletcom
Почтовый сервер (MX)	`mail.privateemail.com`

Заблокирован, разоблачен, но по-прежнему активен

Натали Рой была отстранена от участия в официальных субреддит r/Monero в 2018 году для продвижения сайта xmrwallet.com. Последний коммит на GitHub был сделан в том же году. Уже более 6 лет открытый исходный код находится в замороженном состоянии, в то время как действующий сайт активно похищает средства, используя совершенно другой код. Домен оплачен до 2031 года — оператор никуда не денется.

Зарегистрированные жертвы

По крайней мере 15 случаев, о которых сообщалось в прессе о краже средств на Trustpilot, Sitejabber, Reddit и в GitHub Issues. Реальные люди. Реальные деньги. Исчезли.

15+

Открытые отчеты

590 XMR

Самая крупная сделка (177 тыс. долл.)

Многолетние кражи

2–15 млн долларов и более

Расчетная общая сумма

590 XMR (около 177 000 долларов) — единичный случай кражи, крупнейший из зарегистрированных
17,44 XMR — зафиксировано в цепочке с указанием идентификатора транзакции
За ночь было похищено 20 XMR — кошелек опустел, пока пользователь спал
Многочисленные сообщения о «Неизвестном идентификаторе транзакции» — swept тег подписи
Удалены задачи GitHub № 13 и выше — оператор удаляет сообщения о жертвах из репозитория

Удаленные доказательства, отсутствие кошелька для пожертвований

Оператор активно удаляет сообщения пострадавших из GitHub Issues (все заявки до № 13 уже удалены). На сайте указано, что принимаются пожертвования, но Адрес кошелька для пожертвований никогда не публиковался. Почему «волонтерский проект», тратящий от 8 до 15 тысяч долларов в год, отказывается от пожертвований? Потому что его доходы получены преступным путем.

Хронология событий

Timeline 2014-2024: xmrwallet.com 10,000+ stolen keys - from site launch through first victims to operator identified — Хронология 2014–2024 гг.: xmrwallet.com — более 10 000 похищенных ключей — от запуска сайта до появления первых жертв и установления личности оператора

2016

Домен зарегистрирован — xmrwallet.com

Зарегистрировано через NameSilo с 15-летний срок регистрации (2016–2031). Представляет собой бесплатный веб-кошелек Monero с открытым исходным кодом.

Май 2018 года

Создана организация на GitHub

Организация XMRWallet на GitHub создана 2018-05-10 Автор: nathroy (ID: 39167759). Публичный код, размещенный в качестве «театра прозрачности».

2018

Заблокировано и код заморожен

Оператор от имени WiseSolution заблокирован в r/Monero из-за рекламного спама. Последний коммит на GitHub примерно в это время. Начинают удаляться сообщения о проблемах от пострадавших (исчезли проблемы № 1–12).

2018–2024 гг.

6 лет молчания

Публичный репозиторий заморожен. Производственный код полностью отличается от исходного: он содержит обфускацию JS, недокументированные параметры и конечные точки с бэкдорами. На Trustpilot и Reddit появляется все больше отзывов от пострадавших.

2025–2026 годы

Расследование PhishDestroy

Анализ сетевого трафика показывает session_key вывод данных. Деобфускация JavaScript подтверждает raw_tx = 0 перехват транзакций. Доказательства, опубликованные в GitHub Issues #35 & #36.

февраль 2026 года

Отчет опубликован — домен по-прежнему активен

Опубликован полный технический отчет. Сайт xmrwallet.com по-прежнему доступен. Оплата домена произведена через 2031. DDoS-Guard обеспечивает защиту от отключения.

Полный объем доказательств и исходных материалов

Каждое утверждение в этой статье подкреплено доказательствами, доступными для общественной проверки. Скачайте отчеты. Проверьте исходный код. Проанализируйте сетевые данные самостоятельно.

Полный технический отчет

Полный отчет о расследовании, включающий анализ кода, записи сетевого трафика и результаты OSINT, доступен на GitHub Pages

Выпуск № 35: Перехват транзакций

raw_tx = 0 доказательство • Восстановление транзакции на стороне сервера • Доказательство с тегом «swept»

Выпуск № 36: Утечка ключей просмотра

Более 40 сетевых перехватов • Декодирование session_key в формате Base64 • 6 уязвимых конечных точек

Репозиторий исследований PhishDestroy

Все исходные материалы, деобфускационный код и результаты анализа

Безопасные альтернативы

Никогда не вводите закрытые ключи в веб-кошельках. И все. Используйте проверенное и прошедшее аудит программное обеспечение, которое работает локально на вашем устройстве.

Настольные кошельки

Графический интерфейс Coin — Официальный кошелек, многофункциональный, с открытым исходным кодом, прошедший аудит
Кошелек «Feather» — Легкий, быстрый и ориентированный на конфиденциальность кошелек для настольных компьютеров

Мобильные кошельки

Кошелек (Android) — Программное обеспечение с открытым исходным кодом и поддержкой Tor
Кошелек Cake (iOS/Android) — Поддержка нескольких криптовалют, отлично поддерживается

Золотое правило криптовалюты

Никогда не вводите свою семенную фразу, личные ключи или ключи просмотра на любой веб-сайт. Настоящие кошельки работают локально — им никогда не требуется отправлять ваши ключи на сервер. Если веб-кошелек запрашивает ваши приватные ключи, это мошенничество. Для максимальной безопасности используйте аппаратный кошелек (Ledger, Trezor) с официальным программным обеспечением Monero.

Защитим наше сообщество

Сайт xmrwallet.com уже 10 лет крадет монеты Monero. Доказательства доступны всем. Личность оператора установлена. Поделитесь результатами этого расследования. Подайте жалобу на домен. Помогите нам закрыть этот сайт.

Полный технический отчет Репозиторий научных работ Сообщить об угрозах