Перейти до основного вмісту
Назад до новин

Розслідування крадіжки гаманця Monero

xmrwallet викрито: 10 років викрадених ключів та незаконно перехоплених транзакцій

Глибоке криміналістичне розслідування щодо веб-гаманця Monero, який кодує ваш приватний ключ перегляду у форматі Base64 у session_key токен, передає його у понад 40 запитах до API за сеанс, а потім анулює вашу транзакцію за допомогою raw_tx = 0 і переробляє його, щоб викрасти ваші кошти. Діє з 2016 року. Оператор виявлений.

Діє з 2016 року Понад 40 витоків ключів / сесія Захищено DDoS-Guard
XMRWallet викрито
0
Роки діяльності
40+
Кількість витоків ключів за сеанс
$2M-$15M+
Орієнтовна загальна сума викраденого
0
Оновлення GitHub з 2018 року

Фасад

xmrwallet.com позиціонується як безкоштовний, з відкритим кодом, клієнтський гаманець для Monero. Не потрібно завантажувати. Не потрібно реєструватися. У їхніх Умовах надання послуг міститься дуже конкретне твердження:

«Усі криптографічні операції виконуються у вашому браузері. Сервер не має можливості отримати доступ до ваших приватних ключів».

— Умови користування xmrwallet.com (що, як доведено, є неправдою)

Це неправда. Наш криміналістичний аналіз — аналіз мережевого трафіку, деобфускація JavaScript та порівняння виробничого коду — доводить прямо протилежне. Кожен ключ, введений на xmrwallet.com, викрадається. Кожна транзакція може бути перехоплена.

Production проти GitHub: Повна розбіжність

Цей публічний репозиторій на GitHub не отримав жодного коміту з того часу, як Листопад 2018 року. На виробничому сервері працює зовсім інший код із недокументованими параметрами, яких немає в репозиторії:

  • session_key — Токен витоку ключа перегляду, закодований у форматі Base64
  • verification — вторинний канал витоку
  • timestamp — параметр відстеження сеансу
  • data — додатковий контейнер для вантажу

Домен зареєстровано через NameSilo у 2016 році — оплачено заздалегідь через 2031. П'ятнадцять років реєстрації «вільного незалежного проекту».

Атака № 1: Викрадення ключів перегляду

Коли ви входите на сайт xmrwallet.com, ваш приватний ключ перегляду кодується у форматі Base64 і вбудовується в session_key токен. Потім цей токен передається на сервер разом із кожен запит до API — понад 40 разів за одне заняття.

Структура session_key

session_key = [зашифрований_блок]:[base64_address]:[base64_private_viewkey]

// Decoded example:
// blob: a3f8c2... (session identifier)
// address: 4A1BxN... (your Monero public address)
// viewkey: ВАШ ПРИВАТНИЙ КЛЮЧ ДЛЯ ПЕРЕГЛЯДУ У ВІДКРИТОМУ ТЕКСТІ

Дані про мережеві запити Firefox WebExtension підтверджують, що цей токен передається 6 різних кінцевих точок API загалом понад 40 POST-запитів на сеанс:

Кінцева точка APIЗапити / СесіяВитік session_key
/api/getheightsync12 Так
/api/gettransactions10 Так
/api/getbalance6 Так
/api/getsubaddresses4 Так
/api/getoutputs3 Так
/api/support_login1 Так

Понад 40 копій вашого приватного ключа

Під час одного сеансу входу ваш приватний ключ перегляду надсилається на сервер щонайменше 36 разів. Серверу не потрібен ваш ключ для жодної з цих операцій — перевірка балансу та синхронізація висоти є публічними запитами до блокчейну. Немає жодної обґрунтованої причини для передачі ключових даних. Докази повного перехоплення мережевого трафіку: xmrwallet.com, проблема № 36 на GitHub — Перегляд доказів витоку ключів.

Атака № 2: Перехоплення транзакції

Крадіжка ключа доступу дозволяє зловмиснику дивитися вашого гаманця. Але xmrwallet.com йде ще далі — він викрадає ваші кошти в режимі реального часу. Розшифрований виробничий код JavaScript розкриває 5-етапну послідовність атаки:

// Step 1: Client builds a legitimate transaction
cnUtil.create_transaction() → raw_tx_and_hash

// Step 2: Client transaction is NULLIFIED
raw_tx_and_hash.raw = 0;

// Step 3: Only metadata sent to server (no real tx)
ПУБЛІКАЦІЯ /api/submit_raw_tx { raw: 0, метадані: {...} }

// Step 4: Server rebuilds its OWN transaction
// using your keys + its destination address

// Step 5: Stolen transactions tagged internally
якщо(тип == «промітаний») → транзакція, перенаправлена зловмисником

У вашому гаманці відображається повідомлення «транзакція відправлена». Ваші кошти надходять на адресу зловмисника. Жертви бачать «Невідомий ідентифікатор транзакції» коли вони намагаються перевірити це за допомогою блокчейн-експлорерів. Транзакції, внутрішньо позначені як swept це ті, що були вкрадені.

Ваша транзакція ніколи не існувала

raw_tx_and_hash.raw = 0 означає, що транзакція, створена клієнтом, відкидається. Сервер формує абсолютно нову транзакцію, використовуючи ваші ключі, і надсилає ваші XMR зловмиснику. Повідомлення про «успіх», яке ви бачите, є неправдивим. Детальний аналіз коду: xmrwallet.com, проблема № 35 на GitHub — Доказ захисту від перехоплення транзакцій.

Прихований виробничий код

xmrwallet.com веде публічний репозиторій на GitHub, щоб виглядати як легітимний ресурс. Цей репозиторій є лише прикриттям. З того часу до нього ніхто не звертався Листопад 2018 року. На виробничому майданчику використовується зовсім інший, зашифрований код.

Публічний GitHub (приманка)

  • Останній коміт: Листопад 2018 року
  • Ні session_key параметр
  • Ні verification param
  • Ні /support_login.html
  • Без Google Tag Manager
  • Чистий код, що піддається аудиту

Виробничий майданчик (реальний)

  • Активно оновлюється у 2024–2026 роках
  • session_key з ключем перегляду Base64
  • verification канал виведення даних
  • /support_login.html задній вхід
  • Віддалене введення JavaScript у GTM
  • Заплутаний, непідданий аудиту код

«Бакдор» та віддалене введення коду

Виробничий майданчик включає /support_login.html — прихована адміністративна точка доступу, яка взагалі відсутня у репозиторії GitHub. У поєднанні з Google Tag Manager (контейнер GTM) Завдяки цій інтеграції оператор може в будь-який момент дистанційно вставляти та змінювати код JavaScript на активному сайті — без оновлення загальнодоступної кодової бази. Це вектор віддаленого виконання коду, замаскований під аналітику.

Надійна інфраструктура

xmrwallet.com не використовує дешевий спільний хостинг. Сайт працює на надійній інфраструктурі преміум-класу, спеціально обраній для того, щоб протистояти вимогам щодо ліквідації сайту та діям правоохоронних органів.

IOC у сфері хостингу та мереж

ПоказникЗначення
Доменxmrwallet.com
РеєстраторNameSilo (2016 – 2031, реєстрація на 15 років)
Провайдер хостингуIQWEB FZ-LLC (від 550 доларів на місяць)
IP-адреса186.2.165.49
ASNAS59692
CDN / Захист від DDoS-атакDDoS-Guard
Веб-серверApache 2.4.58 (Ubuntu)
Бек-ендPHP 8.2.29
SSL-сертифікатLet's Encrypt (з автоматичним поновленням)
Дзеркало Torxmrwalletdatuxms.onion
Щорічні витрати на інфраструктуру$8,000 – $15,000+

Індикатори загроз (IOC) для моніторингу та аналітики

ТрекерЗапити / СесіяІдентифікатор
Google Tag Manager12Контейнер GTM
Google Analytics (UA)12UA-116766241-1
Google Analytics 45Потік GA4
DoubleClick1Піксель відстеження реклами
Файли cookie DDoS-Guard __ddg8_, __ddg9_, __ddg10_, __ddg1_

$8K-$15K/Year for a "Free Volunteer Wallet"

Справжній безкоштовний гаманець не витрачає понад 550 доларів на місяць на захищений хостинг IQWEB FZ-LLC із технологією DDoS-Guard — інфраструктуру, спеціально розроблену для протидії скаргам щодо зловживань та викликам до суду з боку правоохоронних органів. Він не реєструє домен на 15 років. Він не використовує Google Analytics для відстеження на «орієнтованому на конфіденційність» гаманці Monero. Ця інфраструктура створена з єдиною метою: постійні крадіжки у великих масштабах.

Визначено оператора: Наталі Рой

За даними відкритих джерел, інфраструктура сайту xmrwallet.com безпосередньо пов’язана з однією конкретною особою.

ПолеДеталі
Ім'яНаталі Рой
МісцезнаходженняКанада
Ім'я користувача на GitHubnathroy (ID: 39167759)
Організація на GitHubxmrwallet (створено 10 травня 2018 року)
Електронна пошта (адміністратор)admin@xmrwallet.com
Електронна пошта (особиста)royn5094@protonmail.com
Redditu/WiseSolution (заблоковано на r/Monero)
Twitter@xmrwalletcom
Поштовий сервер (MX)mail.privateemail.com

Заблоковані, викриті, але все ще активні

Наталі Рой було заборонено брати участь в офіційному субреддит r/Monero у 2018 році з метою просування сайту xmrwallet.com. Останній коміт на GitHub відбувся того ж року. Вже понад 6 років відкритий код залишається незмінним, тоді як робочий сайт активно викрадає кошти, використовуючи зовсім інший код. Домен оплачено до 2031 року — оператор нікуди не збирається.

Зареєстровані жертви

Принаймні 15 випадків, про які повідомлялося у ЗМІ про випадки розкрадання коштів на Trustpilot, Sitejabber, Reddit та GitHub Issues. Справжні люди. Справжні гроші. Зникли.

15+
Публічні звіти
590 XMR
Найбільша окрема сума (177 тис. доларів)
0
Роки крадіжок
$2M-$15M+
Орієнтовна загальна сума
  • 590 XMR (~177 000 доларів) — поодинока крадіжка, найбільший зафіксований випадок
  • 17,44 XMR — зафіксовано в ланцюжку блоків із зазначенням ідентифікатора транзакції
  • За ніч було викрадено 20 XMR — гаманець спорожніли, поки користувач спав
  • Численні повідомлення про «Невідомий ідентифікатор транзакції» — це swept тег підпису
  • Видалено завдання GitHub № 13 та наступні — оператор видаляє повідомлення про жертв з репозиторію

Видалені докази, відсутність гаманця для пожертв

Оператор активно видаляє повідомлення жертв із GitHub Issues (усі звернення до № 13 вже зникли). На сайті зазначено, що приймаються пожертви, але адреса гаманця для пожертв ніколи не оприлюднювалася. Чому «незалежний проєкт», витрати якого становлять 8–15 тис. доларів на рік, відмовляється від пожертв? Тому що його доходи походять від крадіжок.

Хронологія подій

Хронологія подій 2014–2024 рр.: xmrwallet.com — понад 10 000 викрадених ключів — від запуску сайту до появи перших жертв і встановлення особи оператора
Хронологія подій 2014–2024 рр.: xmrwallet.com — понад 10 000 викрадених ключів — від запуску сайту до появи перших жертв і встановлення особи оператора
2016

Домен зареєстровано — xmrwallet.com

Зареєстровано через NameSilo з 15-річний термін реєстрації (2016–2031). Представлений як безкоштовний веб-гаманець Monero з відкритим кодом.

Травень 2018 року

Створено організацію на GitHub

Організація xmrwallet на GitHub створена 2018-05-10 автор: nathroy (ID: 39167759). Публічний код опубліковано як «театр прозорості».

2018

Заблоковано та код заморожено

Оператор від WiseSolution заблоковано в r/Monero через рекламний спам. Останній коміт на GitHub приблизно в цей час. Починають видаляти звіти про проблеми від постраждалих (проблеми № 1–№ 12 зникли).

2018–2024

6 років мовчання

Публічний репозиторій заморожено. Продуктивний код повністю відрізняється від оригіналу: він містить зашифрований JavaScript-код, недокументовані параметри та кінцеві точки з «задніми дверцятами». На Trustpilot і Reddit накопичуються повідомлення від потерпілих.

2025–2026

Розслідування у справі PhishDestroy

Аналіз мережевого трафіку показує, що session_key витік даних. Розшифрування коду JavaScript підтверджує raw_tx = 0 викрадення транзакцій. Докази опубліковано на GitHub Issues #35 & #36.

лютий 2026 року

Опубліковано звіт — домен все ще активний

Опубліковано повний технічний звіт. Сайт xmrwallet.com продовжує працювати. Оплата домену здійснено через 2031. DDoS-Guard забезпечує стійкість до ліквідацій.

Повні докази та вихідні матеріали

Кожне твердження в цій статті підкріплене доказами, які можна перевірити будь-яким бажаючим. Завантажте звіти. Перевірте код. Самі перегляньте записи мережевого трафіку.

Безпечні альтернативи

Ніколи не вводьте приватні ключі в жодному веб-гаманці. Крапка. Використовуйте перевірене та протестоване програмне забезпечення, яке працює локально на вашому пристрої.

Настільні гаманці

Графічний інтерфейс Monero — Офіційний гаманець, з повним набором функцій, з відкритим кодом, що пройшов аудит
Гаманець «Feather» — Легкий, швидкий настільний гаманець, орієнтований на захист конфіденційності

Мобільні гаманці

Монерухо (Android) — Програма з відкритим кодом із підтримкою Tor
Гаманець Cake (iOS/Android) — Підтримка декількох криптовалют, добре підтримуваний

Золоте правило криптовалюти

Ніколи не вводьте свою фразу-насіння, приватні ключі або ключі перегляду на будь-який веб-сайт. Надійні гаманці працюють локально — їм ніколи не потрібно надсилати ваші ключі на сервер. Якщо веб-гаманець просить надати ваші приватні ключі, це шахрайство. Для максимальної безпеки використовуйте апаратний гаманець (Ledger, Trezor) з офіційним програмним забезпеченням Monero.

Захистимо громаду

xmrwallet.com вже 10 років краде Monero. Докази є загальнодоступними. Оператор встановлений. Поширюйте результати цього розслідування. Повідомте про цей домен. Допоможіть нам закрити цей сайт.

Пов’язані розслідування

Кінець xmrwallet.com: NameSilo збрехало, щоб захистити криптозлодія, який вкрав 2 млн доларів
РОЗСЛІДУВАННЯ
Кінець xmrwallet.com: NameSilo збрехало, щоб захистити криптозлодія, який вкрав 2 млн доларів
Панель з фішингових атак на Trust Wallet: викрадено 239 тис. доларів, 6 зловмисників
ГЛИБОКЕ РОЗСЛІДУВАННЯ
Панель з фішингових атак на Trust Wallet: викрадено 239 тис. доларів, 6 зловмисників
Набір інструментів «Crypto Drainer»: викрито реселерів «Angel Drainer»
ГЛИБОКЕ РОЗСЛІДУВАННЯ
Набір інструментів «Crypto Drainer»: викрито реселерів «Angel Drainer»

Поділитися цією статтею

X Telegram Reddit
Повідомлення про прозорість. PhishDestroy — це некомерційний, незалежний проєкт. Наші дослідження можуть містити певну упередженість щодо інфраструктури шахрайства та сервісів, що її підтримують. Ми закликаємо читачів критично та самостійно оцінювати всі матеріали. Ознайомтеся з повною версією нашої заяви про прозорість →