Chuyển thẳng đến nội dung chính
Quay lại trang Tin tức

Cuộc điều tra vụ trộm ví Monero

xmrwallet bị phanh phui: 10 năm với các khóa bị đánh cắp và giao dịch bị chiếm đoạt

Cuộc điều tra pháp y sâu rộng về một ví web Monero mã hóa khóa xem riêng tư của bạn bằng mã Base64 thành một session_key token, làm rò rỉ nó qua hơn 40 yêu cầu API mỗi phiên, sau đó vô hiệu hóa giao dịch của bạn bằng cách raw_tx = 0 và tái cấu trúc nó để đánh cắp tiền của bạn. Hoạt động từ năm 2016. Kẻ điều hành đã được xác định.

Hoạt động từ năm 2016 Hơn 40 lần rò rỉ khóa / phiên Được bảo vệ bởi DDoS-Guard
xmrwallet bị phanh phui
0
Thời gian hoạt động
40+
Số lần rò rỉ khóa mỗi phiên
$2M-$15M+
Tổng số tài sản bị đánh cắp ước tính
0
Các bản cập nhật của GitHub kể từ năm 2018

Mặt tiền

xmrwallet.com tự giới thiệu là một ví Monero miễn phí, mã nguồn mở, chạy trên phía người dùng. Không cần tải xuống. Không cần đăng ký. Điều khoản Dịch vụ của họ đưa ra một tuyên bố rất cụ thể:

"Tất cả các thao tác mã hóa đều diễn ra trong trình duyệt của bạn. Máy chủ không có khả năng truy cập vào các khóa riêng tư của bạn."

— Điều khoản Dịch vụ của xmrwallet.com (đã được chứng minh là sai sự thật)

Đây là lời nói dối. Phân tích pháp y của chúng tôi — ghi lại lưu lượng mạng, giải mã JavaScript và so sánh mã nguồn phiên bản chính thức — đã chứng minh điều hoàn toàn ngược lại. Mọi khóa được nhập trên xmrwallet.com đều bị đánh cắp. Mọi giao dịch đều có thể bị chiếm quyền kiểm soát.

Production so với GitHub: Sự khác biệt hoàn toàn

Cái kho lưu trữ GitHub công khai chưa nhận được bất kỳ commit nào kể từ khi Tháng 11 năm 2018. Nền tảng sản xuất chạy một đoạn mã hoàn toàn khác với các tham số chưa được ghi chép và không có trong kho lưu trữ:

  • session_key — Mã thông báo rò rỉ khóa xem được mã hóa theo Base64
  • verification — kênh thoát thứ cấp
  • timestamp — tham số theo dõi phiên
  • data — thùng chứa hàng bổ sung

Tên miền được đăng ký qua NameSilo vào năm 2016 — thanh toán trước qua 2031. Đã 15 năm kể từ khi đăng ký “dự án độc lập tự do”.

Cuộc tấn công số 1: Rò rỉ khóa xem

Khi bạn đăng nhập vào xmrwallet.com, khóa xem riêng tư của bạn sẽ được mã hóa theo chuẩn Base64 và được nhúng vào một session_key token. Sau đó, token này được truyền đến máy chủ cùng với mỗi yêu cầu API — Hơn 40 lần trong một buổi tập.

Cấu trúc session_key

session_key = [encrypted_blob]:[base64_address]:[base64_private_viewkey]

// Decoded example:
// blob: a3f8c2... (session identifier)
// address: 4A1BxN... (your Monero public address)
// viewkey: MÃ XEM RIÊNG CỦA BẠN DƯỚI DẠNG VĂN BẢN THƯỜNG

Các bản ghi mạng của Firefox WebExtension xác nhận rằng mã thông báo này được truyền đi 6 điểm cuối API riêng biệt tổng cộng hơn 40 yêu cầu POST mỗi phiên:

Điểm cuối APIYêu cầu / Phiên làm việcRò rỉ khóa phiên (session_key)
/api/getheightsync12 Đúng vậy
/api/gettransactions10 Đúng vậy
/api/getbalance6 Đúng vậy
/api/getsubaddresses4 Đúng vậy
/api/getoutputs3 Đúng vậy
/api/support_login1 Đúng vậy

Hơn 40 bản sao của khóa riêng của bạn

Mỗi phiên đăng nhập sẽ gửi khóa xem riêng tư của bạn đến máy chủ ít nhất 36 lần. Máy chủ không cần khóa của bạn cho bất kỳ thao tác nào trong số này — việc kiểm tra số dư và đồng bộ hóa độ cao đều là các truy vấn trên blockchain công khai. Hoàn toàn không có lý do chính đáng nào để truyền tải thông tin khóa. Bằng chứng ghi lại toàn bộ hoạt động mạng: xmrwallet.com Vấn đề GitHub số 36 — Xem bằng chứng về việc rò rỉ khóa.

Cuộc tấn công số 2: Chiếm đoạt giao dịch

Việc xem khóa cho phép kẻ tấn công xem ví tiền của bạn. Nhưng xmrwallet.com còn đi xa hơn thế — nó đánh cắp tiền của bạn ngay lập tức. Mã JavaScript phiên bản sản xuất đã được giải mã cho thấy một chuỗi tấn công gồm 5 bước:

// Step 1: Client builds a legitimate transaction
cnUtil.tạo giao dịch() → raw_tx_and_hash

// Step 2: Client transaction is NULLIFIED
raw_tx_and_hash.raw = 0;

// Step 3: Only metadata sent to server (no real tx)
BÀI ĐĂNG /api/submit_raw_tx { nguyên bản: 0, siêu dữ liệu: {...} }

// Step 4: Server rebuilds its OWN transaction
// using your keys + its destination address

// Step 5: Stolen transactions tagged internally
nếu(loại == 'quét') → giao dịch được chuyển hướng bởi kẻ tấn công

Ví của bạn hiển thị thông báo “giao dịch đã được gửi”. Số tiền của bạn được chuyển đến địa chỉ của kẻ tấn công. Các nạn nhân thấy "ID giao dịch không xác định" khi họ cố gắng xác minh trên các trình khám phá blockchain. Các giao dịch được gắn thẻ nội bộ là swept là những món bị đánh cắp.

Giao dịch của bạn chưa từng tồn tại

raw_tx_and_hash.raw = 0 có nghĩa là giao dịch do khách hàng tạo ra sẽ bị loại bỏ. Máy chủ sẽ tạo ra một giao dịch hoàn toàn mới bằng cách sử dụng khóa của bạn và chuyển XMR của bạn cho kẻ tấn công. Thông báo “thành công” mà bạn thấy là giả mạo. Phân tích mã chi tiết: xmrwallet.com GitHub Issue #35 — Bằng chứng về việc chiếm đoạt giao dịch.

Mã sản xuất ẩn

xmrwallet duy trì một kho lưu trữ GitHub công khai để tạo vẻ hợp pháp. Kho lưu trữ này chỉ là một cái bẫy. Nó chưa từng được cập nhật kể từ khi Tháng 11 năm 2018. Cơ sở sản xuất này chạy một mã nguồn hoàn toàn khác, đã được mã hóa để che giấu.

GitHub công khai (Mồi nhử)

  • Lần commit gần nhất: Tháng 11 năm 2018
  • Không session_key tham số
  • Không verification param
  • Không /support_login.html
  • Không có Google Tag Manager
  • Mã nguồn gọn gàng, có thể kiểm toán được

Cơ sở sản xuất (thực tế)

  • Được cập nhật thường xuyên trong giai đoạn 2024–2026
  • session_key với khóa xem Base64
  • verification kênh truyền tải dữ liệu ra ngoài
  • /support_login.html cửa hậu
  • Tiêm mã JavaScript từ xa qua GTM
  • Mã nguồn được làm mờ, không thể kiểm toán

Lỗ hổng Backdoor và Tấn công chèn mã từ xa

Cơ sở sản xuất bao gồm /support_login.html — một điểm cuối quản trị ẩn, hoàn toàn không xuất hiện trong kho lưu trữ GitHub. Kết hợp với Google Tag Manager (GTM-container) Nhờ tính năng tích hợp này, nhà điều hành có thể chèn và sửa đổi mã JavaScript từ xa trên trang web đang hoạt động bất cứ lúc nào — mà không cần cập nhật cơ sở mã nguồn công khai. Đây là một lỗ hổng cho phép thực thi mã từ xa được ngụy trang dưới hình thức phân tích dữ liệu.

Hạ tầng chống đạn

xmrwallet.com không sử dụng dịch vụ lưu trữ chia sẻ giá rẻ. Trang web này hoạt động trên nền tảng hạ tầng cao cấp, cực kỳ an toàn, được lựa chọn đặc biệt để chống lại các yêu cầu Gỡ bỏ nội dung và sự can thiệp của cơ quan thực thi pháp luật.

Các chỉ số quan trọng (IOC) về dịch vụ lưu trữ và mạng

Chỉ sốGiá trị
Miềnxmrwallet.com
Cơ quan đăng kýNameSilo (2016 – 2031, đăng ký 15 năm)
Nhà cung cấp dịch vụ lưu trữIQWEB FZ-LLC (từ 550 USD trở lên/tháng)
Địa chỉ IP186.2.165.49
ASNAS59692
CDN / Bảo vệ chống DDoSDDoS-Guard
Máy chủ webApache 2.4.58 (Ubuntu)
Hệ thống phía máy chủPHP 8.2.29
Chứng chỉ SSLLet's Encrypt (tự động gia hạn)
Máy chủ gương Torxmrwalletdatuxms.onion
Chi phí cơ sở hạ tầng hàng năm$8,000 – $15,000+

Các chỉ số quan trọng (IOC) về theo dõi và phân tích

Trình theo dõiYêu cầu / Phiên làm việcMã định danh
Google Tag Manager12Container GTM
Google Analytics (UA)12UA-116766241-1
Google Analytics 45Luồng GA4
DoubleClick1Pixel theo dõi quảng cáo
Cookie của DDoS-Guard __ddg8_, __ddg9_, __ddg10_, __ddg1_

$8K-$15K/Year for a "Free Volunteer Wallet"

Một ví Monero miễn phí hợp pháp sẽ không chi hơn 550 USD mỗi tháng cho dịch vụ lưu trữ an toàn tuyệt đối IQWEB FZ-LLC được bảo vệ bởi DDoS-Guard — một hạ tầng được thiết kế chuyên biệt để chống lại các khiếu nại về lạm dụng và trát đòi của cơ quan thực thi pháp luật. Nó cũng không đăng ký tên miền với thời hạn 15 năm. Nó cũng không chạy tính năng theo dõi Google Analytics trên một ví Monero “tập trung vào quyền riêng tư”. Đây là cơ sở hạ tầng được xây dựng cho một mục đích duy nhất: tình trạng trộm cắp diễn ra liên tục và trên quy mô lớn.

Đã xác định nhân viên điều hành: Nathalie Roy

Các nguồn tin tình báo mở cho thấy cơ sở hạ tầng của xmrwallet.com có liên quan trực tiếp đến một cá nhân duy nhất.

Lĩnh vựcChi tiết
TênNathalie Roy
Địa điểmCanada
Tên người dùng GitHubnathroy (ID: 39167759)
Tổ chức GitHubxmrwallet (tạo ngày 10 tháng 5 năm 2018)
Email (Quản trị viên)admin@xmrwallet.com
Email (cá nhân)royn5094@protonmail.com
Redditu/WiseSolution (bị cấm khỏi r/Monero)
Twitter@xmrwalletcom
Máy chủ thư (MX)mail.privateemail.com

Bị cấm, bị vạch trần, nhưng vẫn hoạt động

Nathalie Roy đã bị cấm tham gia giải đấu chính thức subreddit r/Monero vào năm 2018 nhằm quảng bá cho xmrwallet.com. Lần commit cuối cùng trên GitHub diễn ra cùng năm đó. Trong hơn 6 năm qua, mã nguồn công khai đã bị đóng băng, trong khi trang web chính thức vẫn đang tích cực chiếm đoạt tiền của người dùng bằng một mã nguồn hoàn toàn khác. Tên miền đã được gia hạn đến năm 2031 — người vận hành sẽ không đi đâu cả.

Các nạn nhân đã được ghi nhận

Ít nhất 15 trường hợp đã được công bố về các vụ trộm tiền trên Trustpilot, Sitejabber, Reddit và GitHub Issues. Những người thật. Tiền thật. Đã biến mất.

15+
Báo cáo công khai
590 XMR
Giao dịch lớn nhất (177.000 USD)
0
Những năm tháng trộm cắp
$2M-$15M+
Tổng ước tính
  • 590 XMR (~177.000 USD) — vụ trộm duy nhất, vụ việc lớn nhất từng được ghi nhận
  • 17,44 XMR — được ghi lại trên chuỗi khối kèm theo ID giao dịch
  • 20 XMR đã bị đánh cắp trong đêm qua — ví bị rút cạn tiền trong lúc người dùng đang ngủ
  • Nhiều báo cáo về "ID giao dịch không xác định" — cái swept chữ ký thẻ
  • Các vấn đề GitHub số 13 trở lên đã bị xóa — nhà điều hành xóa các báo cáo về nạn nhân khỏi kho dữ liệu

Bằng chứng đã bị xóa, không có ví quyên góp

Người quản trị đang chủ động xóa các báo cáo của nạn nhân khỏi GitHub Issues (tất cả các vấn đề trước số #13 đều đã biến mất). Trang web này tuyên bố chấp nhận đóng góp nhưng Chưa từng có địa chỉ ví nhận quyên góp nào được công bố. Tại sao một “dự án độc lập” chi tiêu từ 8.000 đến 15.000 USD mỗi năm lại từ chối các khoản quyên góp? Bởi vì nguồn thu nhập của họ đến từ hành vi trộm cắp.

Dòng thời gian các sự kiện

Dòng thời gian 2014–2024: Hơn 10.000 khóa bị đánh cắp trên xmrwallet.com – từ khi trang web ra mắt, qua các nạn nhân đầu tiên cho đến khi xác định được thủ phạm
Dòng thời gian 2014–2024: Hơn 10.000 khóa bị đánh cắp trên xmrwallet.com – từ khi trang web ra mắt, qua các nạn nhân đầu tiên cho đến khi xác định được thủ phạm
2016

Tên miền đã được đăng ký — xmrwallet.com

Đã đăng ký qua NameSilo với một Thời hạn đăng ký 15 năm (2016–2031). Là một ví web Monero mã nguồn mở miễn phí.

Tháng 5 năm 2018

Đã tạo tổ chức GitHub

Tổ chức GitHub xmrwallet được thành lập vào ngày 2018-05-10 của nathroy (ID: 39167759). Mã nguồn công khai được đăng tải như một chiêu trò minh bạch.

2018

Bị cấm & Mã bị đóng băng

Người vận hành u/WiseSolution bị cấm khỏi r/Monero vì thư rác quảng cáo. Lần commit gần nhất trên GitHub vào khoảng thời gian này. Các báo cáo sự cố của nạn nhân bắt đầu bị xóa (các báo cáo sự cố từ #1 đến #12 đã biến mất).

2018 – 2024

6 năm im lặng

Kho lưu trữ công khai đã bị đóng băng. Mã nguồn phiên bản sản xuất hoàn toàn khác biệt so với bản gốc, với mã JavaScript được làm mờ, các tham số không được ghi chép và các điểm cuối chứa lỗ hổng bảo mật. Các báo cáo từ nạn nhân đang ngày càng gia tăng trên Trustpilot và Reddit.

2025 – 2026

Cuộc điều tra PhishDestroy

Phân tích lưu lượng mạng cho thấy session_key rò rỉ dữ liệu. Quá trình giải mã JavaScript đã xác nhận raw_tx = 0 chiếm quyền điều khiển giao dịch. Bằng chứng được công bố trên GitHub Issues #35 & #36.

Tháng 2 năm 2026

Báo cáo đã được công bố — Tên miền vẫn đang hoạt động

Báo cáo kỹ thuật đầy đủ đã được công bố. xmrwallet.com vẫn đang hoạt động. Tên miền đã được thanh toán qua 2031. DDoS-Guard giúp tăng khả năng chống lại các cuộc tấn công gỡ bỏ.

Tài liệu chứng cứ và nguồn tham khảo đầy đủ

Mọi khẳng định trong bài viết này đều được chứng minh bằng bằng chứng có thể kiểm chứng công khai. Hãy tải xuống các báo cáo. Kiểm tra mã nguồn. Tự mình kiểm tra các bản ghi mạng.

Các giải pháp thay thế an toàn

Không bao giờ nhập khóa riêng vào bất kỳ ví trực tuyến nào. Chấm hết. Hãy sử dụng phần mềm đã được xác minh và kiểm toán, chạy trực tiếp trên thiết bị của bạn.

Ví máy tính để bàn

Giao diện người dùng Monero — Ví chính thức, đầy đủ tính năng, mã nguồn mở, đã được kiểm toán
Ví lông vũ — Ví máy tính để bàn nhẹ, nhanh và chú trọng đến quyền riêng tư

Ví điện tử trên thiết bị di động

Monerujo (Android) — Phần mềm mã nguồn mở hỗ trợ Tor
Ví Cake (iOS/Android) — Hỗ trợ nhiều loại tiền xu, được duy trì tốt

Quy tắc vàng của tiền điện tử

Không bao giờ nhập cụm từ khôi phục, khóa riêng tư hoặc khóa xem trên bất kỳ trang web nào. Các ví hợp pháp hoạt động trên thiết bị cục bộ — chúng không bao giờ cần gửi khóa của bạn lên máy chủ. Nếu một ví trực tuyến yêu cầu bạn cung cấp khóa riêng tư, đó là một trò lừa đảo. Để đảm bảo an toàn tối đa, hãy sử dụng ví phần cứng (Ledger, Trezor) cùng với phần mềm Monero chính thức.

Bảo vệ cộng đồng

xmrwallet đã đánh cắp Monero trong suốt 10 năm qua. Bằng chứng đã được công khai. Danh tính của người điều hành đã được xác định. Hãy chia sẻ kết quả điều tra này. Báo cáo tên miền này. Hãy giúp chúng tôi đóng cửa trang web này.

Các cuộc điều tra liên quan

Sự sụp đổ của xmrwallet.com: NameSilo đã nói dối để che giấu một tên trộm tiền điện tử trị giá 2 triệu USD
ĐIỀU TRA
Sự sụp đổ của xmrwallet.com: NameSilo đã nói dối để che giấu một tên trộm tiền điện tử trị giá 2 triệu USD
Bảng thống kê vụ lừa đảo qua Trust Wallet: 239.000 USD bị đánh cắp, 6 đối tượng thực hiện
ĐIỀU TRA SÂU RỘNG
Bảng thống kê vụ lừa đảo qua Trust Wallet: 239.000 USD bị đánh cắp, 6 đối tượng thực hiện
Bộ công cụ Crypto Drainer: Vạch trần các đại lý phân phối Angel Drainer
ĐIỀU TRA SÂU RỘNG
Bộ công cụ Crypto Drainer: Vạch trần các đại lý phân phối Angel Drainer

Chia sẻ bài viết này

X Telegram Reddit
Thông báo về tính minh bạch. PhishDestroy là một dự án độc lập, phi thương mại. Các nghiên cứu của chúng tôi có thể phản ánh sự thiên vị vốn có đối với cơ sở hạ tầng lừa đảo và các dịch vụ hỗ trợ cho hoạt động này. Chúng tôi khuyến khích độc giả đánh giá tất cả các tài liệu một cách khách quan và độc lập. Xem toàn văn tuyên bố về tính minh bạch của chúng tôi →