Ana içeriğe atla
Haberlere Geri Dön

Monero Cüzdanı Hırsızlığı Soruşturması

xmrwallet.com Ortaya Çıktı: 10 Yıllık Çalınan Anahtarlar ve Ele Geçirilen İşlemler

Özel görüntüleme anahtarınızı Base64 ile kodlayarak bir session_key token’ı, oturum başına 40’tan fazla API isteği yoluyla sızdırır, ardından işleminizi şu şekilde geçersiz kılar: raw_tx = 0 ve paranızı çalmak için onu yeniden oluşturur. 2016'dan beri faaldir. Operatör tespit edildi.

2016'dan beri faaliyette 40'tan fazla anahtar sızıntısı / Oturum DDoS-Guard Koruması Altında
xmrwallet Ortaya Çıktı
0
Aktif Olduğu Yıllar
40+
Oturum Başına Anahtar Sızıntıları
$2M-$15M+
Tahmini Toplam Çalınan Miktar
0
2018'den Bu Yana GitHub'daki Güncellemeler

Cephe

xmrwallet.com Kendisini ücretsiz, açık kaynaklı, istemci tarafında çalışan bir Monero cüzdanı olarak tanıtmaktadır. İndirme yok. Kayıt yok. Hizmet Şartları’nda çok net bir iddiada bulunulmaktadır:

"Tüm şifreleme işlemleri tarayıcınızda gerçekleşir. Sunucunun gizli anahtarlarınıza erişme imkânı yoktur."

— xmrwallet.com Hizmet Şartları (açıkça yanlış)

Bu bir yalan. Adli analizimiz — ağ verilerinin yakalanması, JavaScript şifrelemesinin kırılması ve üretim kodunun karşılaştırılması — tam tersini kanıtlıyor. xmrwallet.com’da girilen her anahtar çalınmaktadır. Her işlem ele geçirilebilir.

Üretim ve GitHub: Toplam Sapma

Şu halka açık GitHub deposu o zamandan beri tek bir commit bile almadı Kasım 2018. Üretim ortamında, depo'da bulunmayan ve belgelenmemiş parametrelere sahip tamamen farklı bir kod çalıştırılıyor:

  • session_key — Base64 ile kodlanmış görünüm anahtarı sızdırma belirteci
  • verification — ikincil sızıntı kanalı
  • timestamp — oturum izleme parametresi
  • data — ek yük konteyneri

Alan adı şu yolla kaydedilmiştir: NameSilo 2016 yılında — şu tarihe kadar peşin olarak ödenmiş 2031. “Özgür bağımsız proje” için on beş yıllık kayıt süresi.

Saldırı #1: Görüntü Anahtarının Dışarıya Aktarılması

xmrwallet.com’a giriş yaptığınızda, özel görüntüleme anahtarınız Base64 ile kodlanır ve bir session_key jeton. Bu jeton daha sonra şu şekilde sunucuya iletilir: her bir API isteği — Tek bir oturumda 40'tan fazla kez.

session_key Yapısı

oturum anahtarı = [şifrelenmiş_blob]:[base64_address]:[base64_private_viewkey]

// Decoded example:
// blob: a3f8c2... (session identifier)
// address: 4A1BxN... (your Monero public address)
// viewkey: GİZLİ GÖRÜNTÜLEME ANAHTARINIZ DÜZ METİN HALİNDE

Firefox WebExtension ağ yakalamaları, bu belirteçin iletildiğini doğrulamaktadır 6 farklı API uç noktası oturum başına toplam 40'tan fazla POST isteği:

API Uç Noktasıİstekler / Oturumsession_key sızdırıyor
/api/getheightsync12 Evet
/api/gettransactions10 Evet
/api/getbalance6 Evet
/api/getsubaddresses4 Evet
/api/getoutputs3 Evet
/api/support_login1 Evet

Özel Anahtarınızın 40'tan Fazla Kopyası

Tek bir oturum açma işlemi, özel görüntüleme anahtarınızı sunucuya gönderir en az 36 kez. Sunucu, bu işlemlerin hiçbirinde anahtarınıza ihtiyaç duymaz — bakiye kontrolleri ve yükseklik senkronizasyonları, blok zincirinde herkese açık sorgulardır. Anahtar bilgilerini iletmek için hiçbir meşru neden yoktur. Ağın tamamının yakalandığına dair kanıt: xmrwallet.com GitHub Sorun #36 — Anahtar Çalınma Kanıtlarını Görüntüle.

Saldırı #2: İşlem Ele Geçirme

Anahtar çalma saldırısı, saldırganın izle cüzdanınız. Ancak xmrwallet.com bunun da ötesine geçiyor — paranızı gerçek zamanlı olarak çalıyor. Şifresi kırılmış üretim JavaScript kodu, 5 adımlı bir saldırı dizisini ortaya koyuyor:

// Step 1: Client builds a legitimate transaction
cnUtil.işlem_oluştur() → raw_tx_and_hash

// Step 2: Client transaction is NULLIFIED
raw_tx_and_hash.raw = 0;

// Step 3: Only metadata sent to server (no real tx)
YAYIN /api/submit_raw_tx { ham: 0, meta veriler: {...} }

// Step 4: Server rebuilds its OWN transaction
// using your keys + its destination address

// Step 5: Stolen transactions tagged internally
eğer(tür == 'süpürüldü') → saldırgan tarafından yönlendirilmiş işlem

Cüzdanınızda “işlem gönderildi” yazısı görünüyor. Paranız saldırganın adresine ulaşıyor. Mağdurlar şunu görüyor: "Bilinmeyen işlem kimliği" blok gezginlerinde doğrulamaya çalıştıklarında. Dahili olarak şu şekilde etiketlenmiş işlemler: swept çalınanlardır.

İşleminiz Hiç Gerçekleşmedi

raw_tx_and_hash.raw = 0 Bu, istemci tarafından oluşturulan işlemin geçersiz kılınacağı anlamına gelir. Sunucu, anahtarlarınızı kullanarak tamamen yeni bir işlem oluşturur ve XMR’lerinizi saldırgana gönderir. Gördüğünüz “başarılı” mesajı bir yalandır. Ayrıntılı kod analizi: xmrwallet.com GitHub Sorun #35 — İşlem Ele Geçirme Kanıtı.

Gizli Üretim Kodu

xmrwallet.com, meşru görünmek amacıyla halka açık bir GitHub deposu bulundurmaktadır. Bu depo bir tuzaktır. Şu tarihten beri hiç güncellenmemiştir: Kasım 2018. Üretim ortamında tamamen farklı, karmaşıklaştırılmış bir kod çalıştırılıyor.

Herkese açık GitHub (Yanıltıcı)

  • Son commit: Kasım 2018
  • Hayır session_key parametre
  • Hayır verification param
  • Hayır /support_login.html
  • Google Etiket Yöneticisi yok
  • Temiz, denetlenebilir kod

Üretim Tesisi (Gerçek)

  • 2024-2026 yılları arasında aktif olarak güncellenmektedir
  • session_key Base64 formatında görüntüleme anahtarı ile
  • verification veri sızdırma kanalı
  • /support_login.html arka kapı
  • GTM uzaktan JS enjeksiyonu
  • Gizlenmiş, denetlenemeyen kod

Arka Kapı ve Uzaktan Kod Enjeksiyonu

Üretim tesisi şunları içermektedir: /support_login.html — GitHub deposunda hiç yer almayan gizli bir yönetim uç noktası. Şununla birleştirildiğinde Google Etiket Yöneticisi (GTM-konteyneri) Bu entegrasyon sayesinde, operatör, halka açık kod tabanını güncellemeye gerek kalmadan, canlı sitede istediği zaman uzaktan JavaScript ekleyebilir ve değiştirebilir. Bu, analiz aracı kılığına girmiş bir uzaktan kod yürütme vektörüdür.

Güvenli Altyapı

xmrwallet, ucuz paylaşımlı barındırma hizmetleri kullanmaz. Site, kaldırma taleplerine ve kolluk kuvvetlerinin müdahalelerine karşı koymak üzere özel olarak seçilmiş, birinci sınıf ve sağlam bir altyapı üzerinde çalışır.

Barındırma ve Ağ IOC’leri

GöstergeDeğer
Etki Alanıxmrwallet.com
Kayıt SorumlusuNameSilo (2016 – 2031, 15 yıllık kayıt süresi)
Barındırma SağlayıcısıIQWEB FZ-LLC (aylık 550 $ ve üzeri)
IP Adresi186.2.165.49
ASNAS59692
CDN / DDoS KorumasıDDoS-Guard
Web SunucusuApache 2.4.58 (Ubuntu)
Arka uçPHP 8.2.29
SSL SertifikasıLet's Encrypt (otomatik yenileme)
Tor Aynasıxmrwalletdatuxms.onion
Yıllık Altyapı Maliyeti$8,000 – $15,000+

İzleme ve Analitik IOC’leri

İzleyiciİstekler / OturumTanımlayıcı
Google Etiket Yöneticisi12GTM konteyneri
Google Analytics (UA)12UA-116766241-1
Google Analytics 45GA4 akışı
DoubleClick1Reklam izleme pikseli
DDoS-Guard Çerezleri __ddg8_, __ddg9_, __ddg10_, __ddg1_

$8K-$15K/Year for a "Free Volunteer Wallet"

Meşru bir ücretsiz cüzdan, DDoS-Guard koruması altındaki IQWEB FZ-LLC’nin “bulletproof” barındırma hizmetine ayda 550 doların üzerinde bir harcama yapmaz — bu altyapı, kötüye kullanım şikayetlerine ve kolluk kuvvetlerinin celp taleplerine karşı koymak üzere özel olarak tasarlanmıştır. Ayrıca 15 yıllık bir alan adı kaydı da yapmaz. "Gizlilik odaklı" bir Monero cüzdanında Google Analytics izleme sistemi kullanmaz. Bu altyapı tek bir amaç için oluşturulmuştur: büyük ölçekli ve sürekli hırsızlık.

Operatörün Kimliği: Nathalie Roy

Açık kaynak istihbarat verileri, xmrwallet.com’un altyapısının doğrudan tek bir kişiye ait olduğunu ortaya koyuyor.

AlanAyrıntılar
AdNathalie Roy
KonumKanada
GitHub Kullanıcı Adınathroy (ID: 39167759)
GitHub Kuruluşuxmrwallet (oluşturulma tarihi: 10 Mayıs 2018)
E-posta (Yönetici)admin@xmrwallet.com
E-posta (Kişisel)royn5094@protonmail.com
Redditu/WiseSolution (r/Monero'dan yasaklandı)
Twitter@xmrwalletcom
Posta Sunucusu (MX)mail.privateemail.com

Yasaklanmış, Açığa Çıkarılmış, Hâlâ Aktif

Nathalie Roy, resmi yarışlardan men edildi r/Monero altredditi 2018 yılında xmrwallet.com'u tanıtmak amacıyla. GitHub'daki son commit aynı yıl gerçekleşti. 6 yılı aşkın bir süredir halka açık kod dondurulmuş durumda; oysa üretim sitesi tamamen farklı bir kodla aktif olarak para çalıyor. Alan adının ödemesi 2031 yılına kadar yapılmış durumda — siteyi işleten kişi ortadan kaybolacak gibi görünmüyor.

Kayıt Altına Alınan Mağdurlar

En azından Kamuoyuna bildirilen 15 vaka Trustpilot, Sitejabber, Reddit ve GitHub Issues’ta yaşanan fon hırsızlığı vakaları. Gerçek insanlar. Gerçek para. Kayboldu.

15+
Kamuya Açık Raporlar
590 XMR
En Büyük Tek İşlem (177 bin dolar)
0
Yıllar Boyu Süren Hırsızlık
$2M-$15M+
Tahmini Toplam
  • 590 XMR (~177.000 $) — tek bir hırsızlık olayı, kayıtlara geçen en büyük vaka
  • 17,44 XMR — zincir üzerinde işlem kimliği ile belgelenmiştir
  • Gece boyunca 20 XMR çalındı — kullanıcı uyurken cüzdanı boşaltıldı
  • "Bilinmeyen işlem kimliği" ile ilgili çok sayıda rapor — o swept etiket imzası
  • GitHub Sorunları #13 ve üzeri silindi — operatör, repo'dan mağdur bildirimlerini siler

Silinmiş Kanıtlar, Bağış Cüzdanı Yok

Operatör, GitHub Issues’daki mağdur raporlarını aktif olarak siliyor (#13’ten önceki tüm sorunlar silinmiş durumda). Site, bağış kabul ettiğini iddia ediyor ancak Şimdiye kadar hiçbir bağış cüzdanı adresi yayınlanmamıştır. Yıllık 8.000–15.000 dolar harcayan bir “bağımsız proje” neden bağışları reddediyor? Çünkü gelir kaynağı hırsızlıktan geliyor.

Olayların Zaman Çizelgesi

Zaman Çizelgesi 2014-2024: xmrwallet.com’dan 10.000’den fazla anahtarın çalınması – sitenin açılışından ilk mağdurların ortaya çıkmasına ve operatörün tespit edilmesine kadar
Zaman Çizelgesi 2014-2024: xmrwallet.com’dan 10.000’den fazla anahtarın çalınması – sitenin açılışından ilk mağdurların ortaya çıkmasına ve operatörün tespit edilmesine kadar
2016

Alan Adı Kaydedildi — xmrwallet.com

NameSilo üzerinden şu bilgilerle kaydedilmiştir: 15 yıllık kayıt süresi (2016-2031). Ücretsiz, açık kaynaklı bir Monero web cüzdanı olarak sunulmaktadır.

Mayıs 2018

GitHub Kuruluşu Oluşturuldu

xmrwallet GitHub kuruluşu şu tarihte oluşturuldu: 2018-05-10 Yazan: nathroy (ID: 39167759). Şeffaflık gösterisi olarak yayınlanan açık kaynak kod.

2018

Engellendi ve Kod Donduruldu

WiseSolution Operatörü r/Monero'dan yasaklandı tanıtım amaçlı spam. Bu dönemde yapılan son GitHub commit'i. Mağdurların sorun bildirimleri silinmeye başlıyor (Sorun Bildirimleri #1-#12 silindi).

2018 – 2024

6 Yıllık Sessizlik

Halka açık depo donduruldu. Üretim kodunda, şifrelenmiş JavaScript, belgelenmemiş parametreler ve arka kapı uç noktaları nedeniyle tamamen sapma gözleniyor. Trustpilot ve Reddit’te mağdurların şikayetleri birikiyor.

2025 – 2026

PhishDestroy Soruşturması

Ağ trafiği analizi şunu ortaya koyuyor: session_key bilgi sızdırma. JavaScript şifresinin çözülmesi bunu doğruluyor raw_tx = 0 işlem ele geçirme. GitHub Issues'da yayınlanan kanıtlar #35 & #36.

Şubat 2026

Rapor Yayınlandı — Alan Adı Hâlâ Etkin

Teknik raporun tamamı yayınlandı. xmrwallet.com hâlâ çevrimiçi durumda. Alan adı ödemesi şu yolla yapıldı: 2031. DDoS-Guard, kaldırma direnci sağlar.

Tüm Kanıtlar ve Kaynak Belgeler

Bu makaledeki her iddia, herkesin doğrulayabileceği kanıtlarla desteklenmektedir. Raporları indirin. Kodları doğrulayın. Ağ kayıtlarını kendiniz inceleyin.

Güvenli Alternatifler

Hiçbir web cüzdanına özel anahtarlarınızı asla girmeyin. Nokta. Cihazınızda yerel olarak çalışan, doğrulanmış ve denetlenmiş yazılımları kullanın.

Masaüstü Cüzdanlar

Monero GUI — Resmi cüzdan, tüm özelliklere sahip, açık kaynaklı, denetlenmiş
Tüy Cüzdan — Hafif, hızlı ve gizlilik odaklı bir masaüstü cüzdanı

Mobil Cüzdanlar

Monerujo (Android) — Tor desteğine sahip açık kaynaklı
Cake Cüzdanı (iOS/Android) — Çoklu para birimi desteği, iyi bakımlı

Kripto Dünyasının Altın Kuralı

Asla şu sitelerde tohum cümlenizi, özel anahtarlarınızı veya görüntüleme anahtarlarınızı girmeyin: herhangi bir web sitesi. Güvenilir cüzdanlar yerel olarak çalışır — anahtarlarınızı hiçbir zaman bir sunucuya göndermeleri gerekmez. Bir web cüzdanı sizden özel anahtarlarınızı isterse, bu bir dolandırıcılıktır. En üst düzeyde güvenlik için, resmi Monero yazılımıyla birlikte bir donanım cüzdanı (Ledger, Trezor) kullanın.

Toplumu Koruyun

xmrwallet, 10 yıldır Monero çalıyor. Kanıtlar herkese açık. Sitenin işletmecisinin kimliği tespit edildi. Bu soruşturmayı paylaşın. Alan adını bildirin. Sitenin kapatılmasına yardımcı olun.

İlgili Soruşturmalar

xmrwallet.com’un Sonu: NameSilo, 2 milyon dolarlık kripto hırsızını korumak için yalan söyledi
SORUŞTURMA
xmrwallet.com’un Sonu: NameSilo, 2 milyon dolarlık kripto hırsızını korumak için yalan söyledi
Trust Wallet Kimlik Avı Paneli: 239 bin dolar çalındı, 6 operatör
KAPSAMLI SORUŞTURMA
Trust Wallet Kimlik Avı Paneli: 239 bin dolar çalındı, 6 operatör
Crypto Drainer Araç Seti: Angel Drainer Satıcıları Ortaya Çıktı
KAPSAMLI SORUŞTURMA
Crypto Drainer Araç Seti: Angel Drainer Satıcıları Ortaya Çıktı

Bu makaleyi paylaş

X Telegram Reddit
Şeffaflık bildirimi. PhishDestroy, ticari amaç gütmeyen, bağımsız bir projedir. Araştırmalarımız, dolandırıcılık altyapısına ve bunu mümkün kılan hizmetlere karşı içsel bir önyargı yansıtıyor olabilir. Okuyucularımızı, tüm materyalleri eleştirel ve bağımsız bir şekilde değerlendirmeye davet ediyoruz. Şeffaflık beyanımızın tamamını okuyun →