Cuộc điều tra pháp y sâu rộng về một ví web Monero mã hóa khóa xem riêng tư của bạn bằng mã Base64 thành một session_key
token, làm rò rỉ nó qua hơn 40 yêu cầu API mỗi phiên, sau đó vô hiệu hóa
giao dịch của bạn bằng cách
raw_tx = 0
và tái cấu trúc nó để đánh cắp tiền của bạn. Hoạt động từ năm 2016. Kẻ điều hành
đã được xác định.
~9 phút đọc·
Đã cập nhật Tháng 3 năm 2026·
PhishDestroy Intelligence
Hoạt động từ năm 2016Hơn 40 lần rò rỉ khóa / phiênĐược bảo vệ bởi DDoS-Guard
0
Thời gian hoạt động
40+
Số lần rò rỉ khóa mỗi phiên
$2M-$15M+
Tổng số tài sản bị đánh cắp ước tính
0
Các bản cập nhật của GitHub kể từ năm 2018
Mặt tiền
xmrwallet.com tự giới thiệu là một ví Monero miễn phí,
mã nguồn mở, chạy trên phía người dùng. Không cần tải xuống. Không
cần đăng ký. Điều khoản Dịch vụ của họ đưa ra một tuyên bố rất cụ thể:
"Tất cả các thao tác mã hóa đều diễn ra trong trình duyệt của bạn. Máy chủ
không có khả năng truy cập vào các khóa riêng tư của bạn."
— Điều khoản Dịch vụ của xmrwallet.com (đã được chứng minh là sai sự thật)
Đây là lời nói dối. Phân tích pháp y của chúng tôi — ghi lại lưu lượng mạng,
giải mã JavaScript và so sánh mã nguồn phiên bản chính thức —
đã chứng minh điều hoàn toàn ngược lại. Mọi khóa được nhập trên xmrwallet.com đều
bị đánh cắp. Mọi giao dịch đều có thể bị chiếm quyền kiểm soát.
Production so với GitHub:
Sự khác biệt hoàn toàn
Cái
kho lưu trữ GitHub công khai
chưa nhận được bất kỳ commit nào kể từ khi
Tháng 11 năm 2018. Nền tảng sản xuất chạy
một đoạn mã hoàn toàn khác với các tham số chưa được ghi chép và không có trong
kho lưu trữ:
session_key — Mã thông báo rò rỉ khóa xem được mã hóa theo Base64
verification — kênh thoát thứ cấp
timestamp — tham số theo dõi phiên
data — thùng chứa hàng bổ sung
Tên miền được đăng ký qua NameSilo vào năm 2016 — thanh toán trước qua 2031. Đã 15 năm kể từ khi đăng ký “dự án độc lập tự do”.
Cuộc tấn công số 1: Rò rỉ khóa xem
Khi bạn đăng nhập vào xmrwallet.com, khóa xem riêng tư của bạn sẽ được mã hóa theo chuẩn Base64 và được nhúng vào một session_key token. Sau đó, token này được truyền đến máy chủ cùng với mỗi yêu cầu API — Hơn 40 lần trong một buổi tập.
// Decoded example: // blob: a3f8c2... (session identifier) // address: 4A1BxN... (your Monero public address) // viewkey: MÃ XEM RIÊNG CỦA BẠN DƯỚI DẠNG VĂN BẢN THƯỜNG
Các bản ghi mạng của Firefox WebExtension xác nhận rằng mã thông báo này được truyền đi 6 điểm cuối API riêng biệt tổng cộng hơn 40 yêu cầu POST mỗi phiên:
Điểm cuối API
Yêu cầu / Phiên làm việc
Rò rỉ khóa phiên (session_key)
/api/getheightsync
12
Đúng vậy
/api/gettransactions
10
Đúng vậy
/api/getbalance
6
Đúng vậy
/api/getsubaddresses
4
Đúng vậy
/api/getoutputs
3
Đúng vậy
/api/support_login
1
Đúng vậy
Hơn 40 bản sao của khóa riêng của bạn
Mỗi phiên đăng nhập sẽ gửi khóa xem riêng tư của bạn đến máy chủ ít nhất 36 lần. Máy chủ không cần khóa của bạn cho bất kỳ thao tác nào trong số này — việc kiểm tra số dư và đồng bộ hóa độ cao đều là các truy vấn trên blockchain công khai. Hoàn toàn không có lý do chính đáng nào để truyền tải thông tin khóa. Bằng chứng ghi lại toàn bộ hoạt động mạng: xmrwallet.com Vấn đề GitHub số 36 — Xem bằng chứng về việc rò rỉ khóa.
Cuộc tấn công số 2: Chiếm đoạt giao dịch
Việc xem khóa cho phép kẻ tấn công xem ví tiền của bạn. Nhưng xmrwallet.com còn đi xa hơn thế — nó đánh cắp tiền của bạn ngay lập tức. Mã JavaScript phiên bản sản xuất đã được giải mã cho thấy một chuỗi tấn công gồm 5 bước:
// Step 2: Client transaction is NULLIFIED raw_tx_and_hash.raw = 0;
// Step 3: Only metadata sent to server (no real tx) BÀI ĐĂNG /api/submit_raw_tx { nguyên bản: 0, siêu dữ liệu: {...} }
// Step 4: Server rebuilds its OWN transaction // using your keys + its destination address
// Step 5: Stolen transactions tagged internally nếu(loại == 'quét') → giao dịch được chuyển hướng bởi kẻ tấn công
Ví của bạn hiển thị thông báo “giao dịch đã được gửi”. Số tiền của bạn được chuyển đến địa chỉ của kẻ tấn công. Các nạn nhân thấy "ID giao dịch không xác định" khi họ cố gắng xác minh trên các trình khám phá blockchain. Các giao dịch được gắn thẻ nội bộ là swept là những món bị đánh cắp.
Giao dịch của bạn chưa từng tồn tại
raw_tx_and_hash.raw = 0 có nghĩa là giao dịch do khách hàng tạo ra sẽ bị loại bỏ. Máy chủ sẽ tạo ra một giao dịch hoàn toàn mới bằng cách sử dụng khóa của bạn và chuyển XMR của bạn cho kẻ tấn công. Thông báo “thành công” mà bạn thấy là giả mạo. Phân tích mã chi tiết: xmrwallet.com GitHub Issue #35 — Bằng chứng về việc chiếm đoạt giao dịch.
Mã sản xuất ẩn
xmrwallet duy trì một kho lưu trữ GitHub công khai để tạo vẻ hợp pháp. Kho lưu trữ này chỉ là một cái bẫy. Nó chưa từng được cập nhật kể từ khi Tháng 11 năm 2018. Cơ sở sản xuất này chạy một mã nguồn hoàn toàn khác, đã được mã hóa để che giấu.
GitHub công khai (Mồi nhử)
Lần commit gần nhất: Tháng 11 năm 2018
Không session_key tham số
Không verification param
Không /support_login.html
Không có Google Tag Manager
Mã nguồn gọn gàng, có thể kiểm toán được
Cơ sở sản xuất (thực tế)
Được cập nhật thường xuyên trong giai đoạn 2024–2026
session_key với khóa xem Base64
verification kênh truyền tải dữ liệu ra ngoài
/support_login.html cửa hậu
Tiêm mã JavaScript từ xa qua GTM
Mã nguồn được làm mờ, không thể kiểm toán
Lỗ hổng Backdoor và Tấn công chèn mã từ xa
Cơ sở sản xuất bao gồm /support_login.html — một điểm cuối quản trị ẩn, hoàn toàn không xuất hiện trong kho lưu trữ GitHub. Kết hợp với Google Tag Manager (GTM-container) Nhờ tính năng tích hợp này, nhà điều hành có thể chèn và sửa đổi mã JavaScript từ xa trên trang web đang hoạt động bất cứ lúc nào — mà không cần cập nhật cơ sở mã nguồn công khai. Đây là một lỗ hổng cho phép thực thi mã từ xa được ngụy trang dưới hình thức phân tích dữ liệu.
Hạ tầng chống đạn
xmrwallet.com không sử dụng dịch vụ lưu trữ chia sẻ giá rẻ. Trang web này hoạt động trên nền tảng hạ tầng cao cấp, cực kỳ an toàn, được lựa chọn đặc biệt để chống lại các yêu cầu Gỡ bỏ nội dung và sự can thiệp của cơ quan thực thi pháp luật.
Các chỉ số quan trọng (IOC) về dịch vụ lưu trữ và mạng
Chỉ số
Giá trị
Miền
xmrwallet.com
Cơ quan đăng ký
NameSilo (2016 – 2031, đăng ký 15 năm)
Nhà cung cấp dịch vụ lưu trữ
IQWEB FZ-LLC (từ 550 USD trở lên/tháng)
Địa chỉ IP
186.2.165.49
ASN
AS59692
CDN / Bảo vệ chống DDoS
DDoS-Guard
Máy chủ web
Apache 2.4.58 (Ubuntu)
Hệ thống phía máy chủ
PHP 8.2.29
Chứng chỉ SSL
Let's Encrypt (tự động gia hạn)
Máy chủ gương Tor
xmrwalletdatuxms.onion
Chi phí cơ sở hạ tầng hàng năm
$8,000 – $15,000+
Các chỉ số quan trọng (IOC) về theo dõi và phân tích
Trình theo dõi
Yêu cầu / Phiên làm việc
Mã định danh
Google Tag Manager
12
Container GTM
Google Analytics (UA)
12
UA-116766241-1
Google Analytics 4
5
Luồng GA4
DoubleClick
1
Pixel theo dõi quảng cáo
Cookie của DDoS-Guard
—
__ddg8_, __ddg9_, __ddg10_, __ddg1_
$8K-$15K/Year for a "Free Volunteer Wallet"
Một ví Monero miễn phí hợp pháp sẽ không chi hơn 550 USD mỗi tháng cho dịch vụ lưu trữ an toàn tuyệt đối IQWEB FZ-LLC được bảo vệ bởi DDoS-Guard — một hạ tầng được thiết kế chuyên biệt để chống lại các khiếu nại về lạm dụng và trát đòi của cơ quan thực thi pháp luật. Nó cũng không đăng ký tên miền với thời hạn 15 năm. Nó cũng không chạy tính năng theo dõi Google Analytics trên một ví Monero “tập trung vào quyền riêng tư”. Đây là cơ sở hạ tầng được xây dựng cho một mục đích duy nhất: tình trạng trộm cắp diễn ra liên tục và trên quy mô lớn.
Đã xác định nhân viên điều hành: Nathalie Roy
Các nguồn tin tình báo mở cho thấy cơ sở hạ tầng của xmrwallet.com có liên quan trực tiếp đến một cá nhân duy nhất.
Nathalie Roy đã bị cấm tham gia giải đấu chính thức subreddit r/Monero vào năm 2018 nhằm quảng bá cho xmrwallet.com. Lần commit cuối cùng trên GitHub diễn ra cùng năm đó. Trong hơn 6 năm qua, mã nguồn công khai đã bị đóng băng, trong khi trang web chính thức vẫn đang tích cực chiếm đoạt tiền của người dùng bằng một mã nguồn hoàn toàn khác. Tên miền đã được gia hạn đến năm 2031 — người vận hành sẽ không đi đâu cả.
Các nạn nhân đã được ghi nhận
Ít nhất 15 trường hợp đã được công bố về các vụ trộm tiền trên Trustpilot, Sitejabber, Reddit và GitHub Issues. Những người thật. Tiền thật. Đã biến mất.
15+
Báo cáo công khai
590 XMR
Giao dịch lớn nhất (177.000 USD)
0
Những năm tháng trộm cắp
$2M-$15M+
Tổng ước tính
590 XMR (~177.000 USD) — vụ trộm duy nhất, vụ việc lớn nhất từng được ghi nhận
17,44 XMR — được ghi lại trên chuỗi khối kèm theo ID giao dịch
20 XMR đã bị đánh cắp trong đêm qua — ví bị rút cạn tiền trong lúc người dùng đang ngủ
Nhiều báo cáo về "ID giao dịch không xác định" — cái swept chữ ký thẻ
Các vấn đề GitHub số 13 trở lên đã bị xóa — nhà điều hành xóa các báo cáo về nạn nhân khỏi kho dữ liệu
Bằng chứng đã bị xóa, không có ví quyên góp
Người quản trị đang chủ động xóa các báo cáo của nạn nhân khỏi GitHub Issues (tất cả các vấn đề trước số #13 đều đã biến mất). Trang web này tuyên bố chấp nhận đóng góp nhưng Chưa từng có địa chỉ ví nhận quyên góp nào được công bố. Tại sao một “dự án độc lập” chi tiêu từ 8.000 đến 15.000 USD mỗi năm lại từ chối các khoản quyên góp? Bởi vì nguồn thu nhập của họ đến từ hành vi trộm cắp.
Dòng thời gian các sự kiện
Dòng thời gian 2014–2024: Hơn 10.000 khóa bị đánh cắp trên xmrwallet.com – từ khi trang web ra mắt, qua các nạn nhân đầu tiên cho đến khi xác định được thủ phạm
2016
Tên miền đã được đăng ký — xmrwallet.com
Đã đăng ký qua NameSilo với một Thời hạn đăng ký 15 năm (2016–2031). Là một ví web Monero mã nguồn mở miễn phí.
Tháng 5 năm 2018
Đã tạo tổ chức GitHub
Tổ chức GitHub xmrwallet được thành lập vào ngày 2018-05-10 của nathroy (ID: 39167759). Mã nguồn công khai được đăng tải như một chiêu trò minh bạch.
2018
Bị cấm & Mã bị đóng băng
Người vận hành u/WiseSolution bị cấm khỏi r/Monero vì thư rác quảng cáo. Lần commit gần nhất trên GitHub vào khoảng thời gian này. Các báo cáo sự cố của nạn nhân bắt đầu bị xóa (các báo cáo sự cố từ #1 đến #12 đã biến mất).
2018 – 2024
6 năm im lặng
Kho lưu trữ công khai đã bị đóng băng. Mã nguồn phiên bản sản xuất hoàn toàn khác biệt so với bản gốc, với mã JavaScript được làm mờ, các tham số không được ghi chép và các điểm cuối chứa lỗ hổng bảo mật. Các báo cáo từ nạn nhân đang ngày càng gia tăng trên Trustpilot và Reddit.
2025 – 2026
Cuộc điều tra PhishDestroy
Phân tích lưu lượng mạng cho thấy session_key rò rỉ dữ liệu. Quá trình giải mã JavaScript đã xác nhận raw_tx = 0 chiếm quyền điều khiển giao dịch. Bằng chứng được công bố trên GitHub Issues #35 & #36.
Tháng 2 năm 2026
Báo cáo đã được công bố — Tên miền vẫn đang hoạt động
Báo cáo kỹ thuật đầy đủ đã được công bố. xmrwallet.com vẫn đang hoạt động. Tên miền đã được thanh toán qua 2031. DDoS-Guard giúp tăng khả năng chống lại các cuộc tấn công gỡ bỏ.
Tài liệu chứng cứ và nguồn tham khảo đầy đủ
Mọi khẳng định trong bài viết này đều được chứng minh bằng bằng chứng có thể kiểm chứng công khai. Hãy tải xuống các báo cáo. Kiểm tra mã nguồn. Tự mình kiểm tra các bản ghi mạng.
Không bao giờ nhập khóa riêng vào bất kỳ ví trực tuyến nào. Chấm hết. Hãy sử dụng phần mềm đã được xác minh và kiểm toán, chạy trực tiếp trên thiết bị của bạn.
Ví máy tính để bàn
Giao diện người dùng Monero — Ví chính thức, đầy đủ tính năng, mã nguồn mở, đã được kiểm toán Ví lông vũ — Ví máy tính để bàn nhẹ, nhanh và chú trọng đến quyền riêng tư
Ví điện tử trên thiết bị di động
Monerujo (Android) — Phần mềm mã nguồn mở hỗ trợ Tor Ví Cake (iOS/Android) — Hỗ trợ nhiều loại tiền xu, được duy trì tốt
Quy tắc vàng của tiền điện tử
Không bao giờ nhập cụm từ khôi phục, khóa riêng tư hoặc khóa xem trên bất kỳ trang web nào. Các ví hợp pháp hoạt động trên thiết bị cục bộ — chúng không bao giờ cần gửi khóa của bạn lên máy chủ. Nếu một ví trực tuyến yêu cầu bạn cung cấp khóa riêng tư, đó là một trò lừa đảo. Để đảm bảo an toàn tối đa, hãy sử dụng ví phần cứng (Ledger, Trezor) cùng với phần mềm Monero chính thức.
Bảo vệ cộng đồng
xmrwallet đã đánh cắp Monero trong suốt 10 năm qua. Bằng chứng đã được công khai. Danh tính của người điều hành đã được xác định. Hãy chia sẻ kết quả điều tra này. Báo cáo tên miền này. Hãy giúp chúng tôi đóng cửa trang web này.
Thông báo về tính minh bạch. PhishDestroy là một dự án độc lập, phi thương mại. Các nghiên cứu của chúng tôi có thể phản ánh sự thiên vị vốn có đối với cơ sở hạ tầng lừa đảo và các dịch vụ hỗ trợ cho hoạt động này. Chúng tôi khuyến khích độc giả đánh giá tất cả các tài liệu một cách khách quan và độc lập. Xem toàn văn tuyên bố về tính minh bạch của chúng tôi →