Глибоке криміналістичне розслідування щодо веб-гаманця Monero, який кодує ваш приватний ключ перегляду у форматі Base64 у session_key
токен, передає його у понад 40 запитах до API за сеанс, а потім анулює
вашу транзакцію за допомогою
raw_tx = 0
і переробляє його, щоб викрасти ваші кошти. Діє з 2016 року. Оператор
виявлений.
~9 хвилин на читання·
Оновлено Березень 2026 року·
PhishDestroy Intelligence
Діє з 2016 рокуПонад 40 витоків ключів / сесіяЗахищено DDoS-Guard
0
Роки діяльності
40+
Кількість витоків ключів за сеанс
$2M-$15M+
Орієнтовна загальна сума викраденого
0
Оновлення GitHub з 2018 року
Фасад
xmrwallet.com позиціонується як безкоштовний,
з відкритим кодом, клієнтський гаманець для Monero. Не потрібно завантажувати. Не потрібно
реєструватися. У їхніх Умовах надання послуг міститься дуже конкретне твердження:
«Усі криптографічні операції виконуються у вашому браузері. Сервер
не має можливості отримати доступ до ваших приватних ключів».
— Умови користування xmrwallet.com (що, як доведено, є неправдою)
Це неправда. Наш криміналістичний аналіз — аналіз мережевого трафіку,
деобфускація JavaScript та порівняння виробничого коду —
доводить прямо протилежне. Кожен ключ, введений на xmrwallet.com,
викрадається. Кожна транзакція може бути перехоплена.
Production проти GitHub:
Повна розбіжність
Цей
публічний репозиторій на GitHub
не отримав жодного коміту з того часу, як
Листопад 2018 року. На виробничому сервері працює
зовсім інший код із недокументованими параметрами, яких немає в
репозиторії:
session_key — Токен витоку ключа перегляду, закодований у форматі Base64
verification — вторинний канал витоку
timestamp — параметр відстеження сеансу
data — додатковий контейнер для вантажу
Домен зареєстровано через NameSilo у 2016 році — оплачено заздалегідь через 2031. П'ятнадцять років реєстрації «вільного незалежного проекту».
Атака № 1: Викрадення ключів перегляду
Коли ви входите на сайт xmrwallet.com, ваш приватний ключ перегляду кодується у форматі Base64 і вбудовується в session_key токен. Потім цей токен передається на сервер разом із кожен запит до API — понад 40 разів за одне заняття.
// Decoded example: // blob: a3f8c2... (session identifier) // address: 4A1BxN... (your Monero public address) // viewkey: ВАШ ПРИВАТНИЙ КЛЮЧ ДЛЯ ПЕРЕГЛЯДУ У ВІДКРИТОМУ ТЕКСТІ
Дані про мережеві запити Firefox WebExtension підтверджують, що цей токен передається 6 різних кінцевих точок API загалом понад 40 POST-запитів на сеанс:
Кінцева точка API
Запити / Сесія
Витік session_key
/api/getheightsync
12
Так
/api/gettransactions
10
Так
/api/getbalance
6
Так
/api/getsubaddresses
4
Так
/api/getoutputs
3
Так
/api/support_login
1
Так
Понад 40 копій вашого приватного ключа
Під час одного сеансу входу ваш приватний ключ перегляду надсилається на сервер щонайменше 36 разів. Серверу не потрібен ваш ключ для жодної з цих операцій — перевірка балансу та синхронізація висоти є публічними запитами до блокчейну. Немає жодної обґрунтованої причини для передачі ключових даних. Докази повного перехоплення мережевого трафіку: xmrwallet.com, проблема № 36 на GitHub — Перегляд доказів витоку ключів.
Атака № 2: Перехоплення транзакції
Крадіжка ключа доступу дозволяє зловмиснику дивитися вашого гаманця. Але xmrwallet.com йде ще далі — він викрадає ваші кошти в режимі реального часу. Розшифрований виробничий код JavaScript розкриває 5-етапну послідовність атаки:
У вашому гаманці відображається повідомлення «транзакція відправлена». Ваші кошти надходять на адресу зловмисника. Жертви бачать «Невідомий ідентифікатор транзакції» коли вони намагаються перевірити це за допомогою блокчейн-експлорерів. Транзакції, внутрішньо позначені як swept це ті, що були вкрадені.
Ваша транзакція ніколи не існувала
raw_tx_and_hash.raw = 0 означає, що транзакція, створена клієнтом, відкидається. Сервер формує абсолютно нову транзакцію, використовуючи ваші ключі, і надсилає ваші XMR зловмиснику. Повідомлення про «успіх», яке ви бачите, є неправдивим. Детальний аналіз коду: xmrwallet.com, проблема № 35 на GitHub — Доказ захисту від перехоплення транзакцій.
Прихований виробничий код
xmrwallet.com веде публічний репозиторій на GitHub, щоб виглядати як легітимний ресурс. Цей репозиторій є лише прикриттям. З того часу до нього ніхто не звертався Листопад 2018 року. На виробничому майданчику використовується зовсім інший, зашифрований код.
Публічний GitHub (приманка)
Останній коміт: Листопад 2018 року
Ні session_key параметр
Ні verification param
Ні /support_login.html
Без Google Tag Manager
Чистий код, що піддається аудиту
Виробничий майданчик (реальний)
Активно оновлюється у 2024–2026 роках
session_key з ключем перегляду Base64
verification канал виведення даних
/support_login.html задній вхід
Віддалене введення JavaScript у GTM
Заплутаний, непідданий аудиту код
«Бакдор» та віддалене введення коду
Виробничий майданчик включає /support_login.html — прихована адміністративна точка доступу, яка взагалі відсутня у репозиторії GitHub. У поєднанні з Google Tag Manager (контейнер GTM) Завдяки цій інтеграції оператор може в будь-який момент дистанційно вставляти та змінювати код JavaScript на активному сайті — без оновлення загальнодоступної кодової бази. Це вектор віддаленого виконання коду, замаскований під аналітику.
Надійна інфраструктура
xmrwallet.com не використовує дешевий спільний хостинг. Сайт працює на надійній інфраструктурі преміум-класу, спеціально обраній для того, щоб протистояти вимогам щодо ліквідації сайту та діям правоохоронних органів.
IOC у сфері хостингу та мереж
Показник
Значення
Домен
xmrwallet.com
Реєстратор
NameSilo (2016 – 2031, реєстрація на 15 років)
Провайдер хостингу
IQWEB FZ-LLC (від 550 доларів на місяць)
IP-адреса
186.2.165.49
ASN
AS59692
CDN / Захист від DDoS-атак
DDoS-Guard
Веб-сервер
Apache 2.4.58 (Ubuntu)
Бек-енд
PHP 8.2.29
SSL-сертифікат
Let's Encrypt (з автоматичним поновленням)
Дзеркало Tor
xmrwalletdatuxms.onion
Щорічні витрати на інфраструктуру
$8,000 – $15,000+
Індикатори загроз (IOC) для моніторингу та аналітики
Трекер
Запити / Сесія
Ідентифікатор
Google Tag Manager
12
Контейнер GTM
Google Analytics (UA)
12
UA-116766241-1
Google Analytics 4
5
Потік GA4
DoubleClick
1
Піксель відстеження реклами
Файли cookie DDoS-Guard
—
__ddg8_, __ddg9_, __ddg10_, __ddg1_
$8K-$15K/Year for a "Free Volunteer Wallet"
Справжній безкоштовний гаманець не витрачає понад 550 доларів на місяць на захищений хостинг IQWEB FZ-LLC із технологією DDoS-Guard — інфраструктуру, спеціально розроблену для протидії скаргам щодо зловживань та викликам до суду з боку правоохоронних органів. Він не реєструє домен на 15 років. Він не використовує Google Analytics для відстеження на «орієнтованому на конфіденційність» гаманці Monero. Ця інфраструктура створена з єдиною метою: постійні крадіжки у великих масштабах.
Визначено оператора: Наталі Рой
За даними відкритих джерел, інфраструктура сайту xmrwallet.com безпосередньо пов’язана з однією конкретною особою.
Наталі Рой було заборонено брати участь в офіційному субреддит r/Monero у 2018 році з метою просування сайту xmrwallet.com. Останній коміт на GitHub відбувся того ж року. Вже понад 6 років відкритий код залишається незмінним, тоді як робочий сайт активно викрадає кошти, використовуючи зовсім інший код. Домен оплачено до 2031 року — оператор нікуди не збирається.
Зареєстровані жертви
Принаймні 15 випадків, про які повідомлялося у ЗМІ про випадки розкрадання коштів на Trustpilot, Sitejabber, Reddit та GitHub Issues. Справжні люди. Справжні гроші. Зникли.
17,44 XMR — зафіксовано в ланцюжку блоків із зазначенням ідентифікатора транзакції
За ніч було викрадено 20 XMR — гаманець спорожніли, поки користувач спав
Численні повідомлення про «Невідомий ідентифікатор транзакції» — це swept тег підпису
Видалено завдання GitHub № 13 та наступні — оператор видаляє повідомлення про жертв з репозиторію
Видалені докази, відсутність гаманця для пожертв
Оператор активно видаляє повідомлення жертв із GitHub Issues (усі звернення до № 13 вже зникли). На сайті зазначено, що приймаються пожертви, але адреса гаманця для пожертв ніколи не оприлюднювалася. Чому «незалежний проєкт», витрати якого становлять 8–15 тис. доларів на рік, відмовляється від пожертв? Тому що його доходи походять від крадіжок.
Хронологія подій
Хронологія подій 2014–2024 рр.: xmrwallet.com — понад 10 000 викрадених ключів — від запуску сайту до появи перших жертв і встановлення особи оператора
2016
Домен зареєстровано — xmrwallet.com
Зареєстровано через NameSilo з 15-річний термін реєстрації (2016–2031). Представлений як безкоштовний веб-гаманець Monero з відкритим кодом.
Травень 2018 року
Створено організацію на GitHub
Організація xmrwallet на GitHub створена 2018-05-10 автор: nathroy (ID: 39167759). Публічний код опубліковано як «театр прозорості».
2018
Заблоковано та код заморожено
Оператор від WiseSolution заблоковано в r/Monero через рекламний спам. Останній коміт на GitHub приблизно в цей час. Починають видаляти звіти про проблеми від постраждалих (проблеми № 1–№ 12 зникли).
2018–2024
6 років мовчання
Публічний репозиторій заморожено. Продуктивний код повністю відрізняється від оригіналу: він містить зашифрований JavaScript-код, недокументовані параметри та кінцеві точки з «задніми дверцятами». На Trustpilot і Reddit накопичуються повідомлення від потерпілих.
2025–2026
Розслідування у справі PhishDestroy
Аналіз мережевого трафіку показує, що session_key витік даних. Розшифрування коду JavaScript підтверджує raw_tx = 0 викрадення транзакцій. Докази опубліковано на GitHub Issues #35 & #36.
лютий 2026 року
Опубліковано звіт — домен все ще активний
Опубліковано повний технічний звіт. Сайт xmrwallet.com продовжує працювати. Оплата домену здійснено через 2031. DDoS-Guard забезпечує стійкість до ліквідацій.
Повні докази та вихідні матеріали
Кожне твердження в цій статті підкріплене доказами, які можна перевірити будь-яким бажаючим. Завантажте звіти. Перевірте код. Самі перегляньте записи мережевого трафіку.
Ніколи не вводьте приватні ключі в жодному веб-гаманці. Крапка. Використовуйте перевірене та протестоване програмне забезпечення, яке працює локально на вашому пристрої.
Настільні гаманці
Графічний інтерфейс Monero — Офіційний гаманець, з повним набором функцій, з відкритим кодом, що пройшов аудит Гаманець «Feather» — Легкий, швидкий настільний гаманець, орієнтований на захист конфіденційності
Мобільні гаманці
Монерухо (Android) — Програма з відкритим кодом із підтримкою Tor Гаманець Cake (iOS/Android) — Підтримка декількох криптовалют, добре підтримуваний
Золоте правило криптовалюти
Ніколи не вводьте свою фразу-насіння, приватні ключі або ключі перегляду на будь-який веб-сайт. Надійні гаманці працюють локально — їм ніколи не потрібно надсилати ваші ключі на сервер. Якщо веб-гаманець просить надати ваші приватні ключі, це шахрайство. Для максимальної безпеки використовуйте апаратний гаманець (Ledger, Trezor) з офіційним програмним забезпеченням Monero.
Захистимо громаду
xmrwallet.com вже 10 років краде Monero. Докази є загальнодоступними. Оператор встановлений. Поширюйте результати цього розслідування. Повідомте про цей домен. Допоможіть нам закрити цей сайт.
Повідомлення про прозорість. PhishDestroy — це некомерційний, незалежний проєкт. Наші дослідження можуть містити певну упередженість щодо інфраструктури шахрайства та сервісів, що її підтримують. Ми закликаємо читачів критично та самостійно оцінювати всі матеріали. Ознайомтеся з повною версією нашої заяви про прозорість →