Özel görüntüleme anahtarınızı Base64 ile kodlayarak bir session_key
token’ı, oturum başına 40’tan fazla API isteği yoluyla sızdırır, ardından
işleminizi şu şekilde geçersiz kılar:
raw_tx = 0
ve paranızı çalmak için onu yeniden oluşturur. 2016'dan beri faaldir. Operatör
tespit edildi.
~9 dakikalık okuma süresi·
Güncellendi Mart 2026·
PhishDestroy İstihbarat
2016'dan beri faaliyette40'tan fazla anahtar sızıntısı / OturumDDoS-Guard Koruması Altında
0
Aktif Olduğu Yıllar
40+
Oturum Başına Anahtar Sızıntıları
$2M-$15M+
Tahmini Toplam Çalınan Miktar
0
2018'den Bu Yana GitHub'daki Güncellemeler
Cephe
xmrwallet.com Kendisini ücretsiz,
açık kaynaklı, istemci tarafında çalışan bir Monero cüzdanı olarak tanıtmaktadır. İndirme yok. Kayıt
yok. Hizmet Şartları’nda çok net bir iddiada bulunulmaktadır:
"Tüm şifreleme işlemleri tarayıcınızda gerçekleşir. Sunucunun
gizli anahtarlarınıza erişme imkânı yoktur."
— xmrwallet.com Hizmet Şartları (açıkça yanlış)
Bu bir yalan. Adli analizimiz — ağ verilerinin yakalanması,
JavaScript şifrelemesinin kırılması ve üretim kodunun karşılaştırılması —
tam tersini kanıtlıyor. xmrwallet.com’da girilen her anahtar
çalınmaktadır. Her işlem ele geçirilebilir.
Üretim ve GitHub:
Toplam Sapma
Şu
halka açık GitHub deposu
o zamandan beri tek bir commit bile almadı
Kasım 2018. Üretim ortamında,
depo'da bulunmayan ve belgelenmemiş parametrelere sahip
tamamen farklı bir kod çalıştırılıyor:
session_key — Base64 ile kodlanmış görünüm anahtarı sızdırma belirteci
verification — ikincil sızıntı kanalı
timestamp — oturum izleme parametresi
data — ek yük konteyneri
Alan adı şu yolla kaydedilmiştir: NameSilo 2016 yılında — şu tarihe kadar peşin olarak ödenmiş 2031. “Özgür bağımsız proje” için on beş yıllık kayıt süresi.
Saldırı #1: Görüntü Anahtarının Dışarıya Aktarılması
xmrwallet.com’a giriş yaptığınızda, özel görüntüleme anahtarınız Base64 ile kodlanır ve bir session_key jeton. Bu jeton daha sonra şu şekilde sunucuya iletilir: her bir API isteği — Tek bir oturumda 40'tan fazla kez.
Firefox WebExtension ağ yakalamaları, bu belirteçin iletildiğini doğrulamaktadır 6 farklı API uç noktası oturum başına toplam 40'tan fazla POST isteği:
API Uç Noktası
İstekler / Oturum
session_key sızdırıyor
/api/getheightsync
12
Evet
/api/gettransactions
10
Evet
/api/getbalance
6
Evet
/api/getsubaddresses
4
Evet
/api/getoutputs
3
Evet
/api/support_login
1
Evet
Özel Anahtarınızın 40'tan Fazla Kopyası
Tek bir oturum açma işlemi, özel görüntüleme anahtarınızı sunucuya gönderir en az 36 kez. Sunucu, bu işlemlerin hiçbirinde anahtarınıza ihtiyaç duymaz — bakiye kontrolleri ve yükseklik senkronizasyonları, blok zincirinde herkese açık sorgulardır. Anahtar bilgilerini iletmek için hiçbir meşru neden yoktur. Ağın tamamının yakalandığına dair kanıt: xmrwallet.com GitHub Sorun #36 — Anahtar Çalınma Kanıtlarını Görüntüle.
Saldırı #2: İşlem Ele Geçirme
Anahtar çalma saldırısı, saldırganın izle cüzdanınız. Ancak xmrwallet.com bunun da ötesine geçiyor — paranızı gerçek zamanlı olarak çalıyor. Şifresi kırılmış üretim JavaScript kodu, 5 adımlı bir saldırı dizisini ortaya koyuyor:
// Step 2: Client transaction is NULLIFIED raw_tx_and_hash.raw = 0;
// Step 3: Only metadata sent to server (no real tx) YAYIN /api/submit_raw_tx { ham: 0, meta veriler: {...} }
// Step 4: Server rebuilds its OWN transaction // using your keys + its destination address
// Step 5: Stolen transactions tagged internally eğer(tür == 'süpürüldü') → saldırgan tarafından yönlendirilmiş işlem
Cüzdanınızda “işlem gönderildi” yazısı görünüyor. Paranız saldırganın adresine ulaşıyor. Mağdurlar şunu görüyor: "Bilinmeyen işlem kimliği" blok gezginlerinde doğrulamaya çalıştıklarında. Dahili olarak şu şekilde etiketlenmiş işlemler: swept çalınanlardır.
İşleminiz Hiç Gerçekleşmedi
raw_tx_and_hash.raw = 0 Bu, istemci tarafından oluşturulan işlemin geçersiz kılınacağı anlamına gelir. Sunucu, anahtarlarınızı kullanarak tamamen yeni bir işlem oluşturur ve XMR’lerinizi saldırgana gönderir. Gördüğünüz “başarılı” mesajı bir yalandır. Ayrıntılı kod analizi: xmrwallet.com GitHub Sorun #35 — İşlem Ele Geçirme Kanıtı.
Gizli Üretim Kodu
xmrwallet.com, meşru görünmek amacıyla halka açık bir GitHub deposu bulundurmaktadır. Bu depo bir tuzaktır. Şu tarihten beri hiç güncellenmemiştir: Kasım 2018. Üretim ortamında tamamen farklı, karmaşıklaştırılmış bir kod çalıştırılıyor.
Herkese açık GitHub (Yanıltıcı)
Son commit: Kasım 2018
Hayır session_key parametre
Hayır verification param
Hayır /support_login.html
Google Etiket Yöneticisi yok
Temiz, denetlenebilir kod
Üretim Tesisi (Gerçek)
2024-2026 yılları arasında aktif olarak güncellenmektedir
session_key Base64 formatında görüntüleme anahtarı ile
verification veri sızdırma kanalı
/support_login.html arka kapı
GTM uzaktan JS enjeksiyonu
Gizlenmiş, denetlenemeyen kod
Arka Kapı ve Uzaktan Kod Enjeksiyonu
Üretim tesisi şunları içermektedir: /support_login.html — GitHub deposunda hiç yer almayan gizli bir yönetim uç noktası. Şununla birleştirildiğinde Google Etiket Yöneticisi (GTM-konteyneri) Bu entegrasyon sayesinde, operatör, halka açık kod tabanını güncellemeye gerek kalmadan, canlı sitede istediği zaman uzaktan JavaScript ekleyebilir ve değiştirebilir. Bu, analiz aracı kılığına girmiş bir uzaktan kod yürütme vektörüdür.
Güvenli Altyapı
xmrwallet, ucuz paylaşımlı barındırma hizmetleri kullanmaz. Site, kaldırma taleplerine ve kolluk kuvvetlerinin müdahalelerine karşı koymak üzere özel olarak seçilmiş, birinci sınıf ve sağlam bir altyapı üzerinde çalışır.
Barındırma ve Ağ IOC’leri
Gösterge
Değer
Etki Alanı
xmrwallet.com
Kayıt Sorumlusu
NameSilo (2016 – 2031, 15 yıllık kayıt süresi)
Barındırma Sağlayıcısı
IQWEB FZ-LLC (aylık 550 $ ve üzeri)
IP Adresi
186.2.165.49
ASN
AS59692
CDN / DDoS Koruması
DDoS-Guard
Web Sunucusu
Apache 2.4.58 (Ubuntu)
Arka uç
PHP 8.2.29
SSL Sertifikası
Let's Encrypt (otomatik yenileme)
Tor Aynası
xmrwalletdatuxms.onion
Yıllık Altyapı Maliyeti
$8,000 – $15,000+
İzleme ve Analitik IOC’leri
İzleyici
İstekler / Oturum
Tanımlayıcı
Google Etiket Yöneticisi
12
GTM konteyneri
Google Analytics (UA)
12
UA-116766241-1
Google Analytics 4
5
GA4 akışı
DoubleClick
1
Reklam izleme pikseli
DDoS-Guard Çerezleri
—
__ddg8_, __ddg9_, __ddg10_, __ddg1_
$8K-$15K/Year for a "Free Volunteer Wallet"
Meşru bir ücretsiz cüzdan, DDoS-Guard koruması altındaki IQWEB FZ-LLC’nin “bulletproof” barındırma hizmetine ayda 550 doların üzerinde bir harcama yapmaz — bu altyapı, kötüye kullanım şikayetlerine ve kolluk kuvvetlerinin celp taleplerine karşı koymak üzere özel olarak tasarlanmıştır. Ayrıca 15 yıllık bir alan adı kaydı da yapmaz. "Gizlilik odaklı" bir Monero cüzdanında Google Analytics izleme sistemi kullanmaz. Bu altyapı tek bir amaç için oluşturulmuştur: büyük ölçekli ve sürekli hırsızlık.
Operatörün Kimliği: Nathalie Roy
Açık kaynak istihbarat verileri, xmrwallet.com’un altyapısının doğrudan tek bir kişiye ait olduğunu ortaya koyuyor.
Nathalie Roy, resmi yarışlardan men edildi r/Monero altredditi 2018 yılında xmrwallet.com'u tanıtmak amacıyla. GitHub'daki son commit aynı yıl gerçekleşti. 6 yılı aşkın bir süredir halka açık kod dondurulmuş durumda; oysa üretim sitesi tamamen farklı bir kodla aktif olarak para çalıyor. Alan adının ödemesi 2031 yılına kadar yapılmış durumda — siteyi işleten kişi ortadan kaybolacak gibi görünmüyor.
Kayıt Altına Alınan Mağdurlar
En azından Kamuoyuna bildirilen 15 vaka Trustpilot, Sitejabber, Reddit ve GitHub Issues’ta yaşanan fon hırsızlığı vakaları. Gerçek insanlar. Gerçek para. Kayboldu.
15+
Kamuya Açık Raporlar
590 XMR
En Büyük Tek İşlem (177 bin dolar)
0
Yıllar Boyu Süren Hırsızlık
$2M-$15M+
Tahmini Toplam
590 XMR (~177.000 $) — tek bir hırsızlık olayı, kayıtlara geçen en büyük vaka
17,44 XMR — zincir üzerinde işlem kimliği ile belgelenmiştir
Gece boyunca 20 XMR çalındı — kullanıcı uyurken cüzdanı boşaltıldı
"Bilinmeyen işlem kimliği" ile ilgili çok sayıda rapor — o swept etiket imzası
GitHub Sorunları #13 ve üzeri silindi — operatör, repo'dan mağdur bildirimlerini siler
Silinmiş Kanıtlar, Bağış Cüzdanı Yok
Operatör, GitHub Issues’daki mağdur raporlarını aktif olarak siliyor (#13’ten önceki tüm sorunlar silinmiş durumda). Site, bağış kabul ettiğini iddia ediyor ancak Şimdiye kadar hiçbir bağış cüzdanı adresi yayınlanmamıştır. Yıllık 8.000–15.000 dolar harcayan bir “bağımsız proje” neden bağışları reddediyor? Çünkü gelir kaynağı hırsızlıktan geliyor.
Olayların Zaman Çizelgesi
Zaman Çizelgesi 2014-2024: xmrwallet.com’dan 10.000’den fazla anahtarın çalınması – sitenin açılışından ilk mağdurların ortaya çıkmasına ve operatörün tespit edilmesine kadar
2016
Alan Adı Kaydedildi — xmrwallet.com
NameSilo üzerinden şu bilgilerle kaydedilmiştir: 15 yıllık kayıt süresi (2016-2031). Ücretsiz, açık kaynaklı bir Monero web cüzdanı olarak sunulmaktadır.
Mayıs 2018
GitHub Kuruluşu Oluşturuldu
xmrwallet GitHub kuruluşu şu tarihte oluşturuldu: 2018-05-10 Yazan: nathroy (ID: 39167759). Şeffaflık gösterisi olarak yayınlanan açık kaynak kod.
2018
Engellendi ve Kod Donduruldu
WiseSolution Operatörü r/Monero'dan yasaklandı tanıtım amaçlı spam. Bu dönemde yapılan son GitHub commit'i. Mağdurların sorun bildirimleri silinmeye başlıyor (Sorun Bildirimleri #1-#12 silindi).
2018 – 2024
6 Yıllık Sessizlik
Halka açık depo donduruldu. Üretim kodunda, şifrelenmiş JavaScript, belgelenmemiş parametreler ve arka kapı uç noktaları nedeniyle tamamen sapma gözleniyor. Trustpilot ve Reddit’te mağdurların şikayetleri birikiyor.
2025 – 2026
PhishDestroy Soruşturması
Ağ trafiği analizi şunu ortaya koyuyor: session_key bilgi sızdırma. JavaScript şifresinin çözülmesi bunu doğruluyor raw_tx = 0 işlem ele geçirme. GitHub Issues'da yayınlanan kanıtlar #35 & #36.
Şubat 2026
Rapor Yayınlandı — Alan Adı Hâlâ Etkin
Teknik raporun tamamı yayınlandı. xmrwallet.com hâlâ çevrimiçi durumda. Alan adı ödemesi şu yolla yapıldı: 2031. DDoS-Guard, kaldırma direnci sağlar.
Tüm Kanıtlar ve Kaynak Belgeler
Bu makaledeki her iddia, herkesin doğrulayabileceği kanıtlarla desteklenmektedir. Raporları indirin. Kodları doğrulayın. Ağ kayıtlarını kendiniz inceleyin.
Hiçbir web cüzdanına özel anahtarlarınızı asla girmeyin. Nokta. Cihazınızda yerel olarak çalışan, doğrulanmış ve denetlenmiş yazılımları kullanın.
Masaüstü Cüzdanlar
Monero GUI — Resmi cüzdan, tüm özelliklere sahip, açık kaynaklı, denetlenmiş Tüy Cüzdan — Hafif, hızlı ve gizlilik odaklı bir masaüstü cüzdanı
Mobil Cüzdanlar
Monerujo (Android) — Tor desteğine sahip açık kaynaklı Cake Cüzdanı (iOS/Android) — Çoklu para birimi desteği, iyi bakımlı
Kripto Dünyasının Altın Kuralı
Asla şu sitelerde tohum cümlenizi, özel anahtarlarınızı veya görüntüleme anahtarlarınızı girmeyin: herhangi bir web sitesi. Güvenilir cüzdanlar yerel olarak çalışır — anahtarlarınızı hiçbir zaman bir sunucuya göndermeleri gerekmez. Bir web cüzdanı sizden özel anahtarlarınızı isterse, bu bir dolandırıcılıktır. En üst düzeyde güvenlik için, resmi Monero yazılımıyla birlikte bir donanım cüzdanı (Ledger, Trezor) kullanın.
Toplumu Koruyun
xmrwallet, 10 yıldır Monero çalıyor. Kanıtlar herkese açık. Sitenin işletmecisinin kimliği tespit edildi. Bu soruşturmayı paylaşın. Alan adını bildirin. Sitenin kapatılmasına yardımcı olun.
Şeffaflık bildirimi. PhishDestroy, ticari amaç gütmeyen, bağımsız bir projedir. Araştırmalarımız, dolandırıcılık altyapısına ve bunu mümkün kılan hizmetlere karşı içsel bir önyargı yansıtıyor olabilir. Okuyucularımızı, tüm materyalleri eleştirel ve bağımsız bir şekilde değerlendirmeye davet ediyoruz. Şeffaflık beyanımızın tamamını okuyun →