《外墙》
xmrwallet.com 该服务宣称是一款免费的、
开源的、客户端式的门罗币钱包。无需下载,无需
注册。其《服务条款》中明确声明:
“所有加密操作都在您的浏览器中进行。服务器
无法访问您的私钥。”
— xmrwallet.com 服务条款(经证实为虚假)
这是谎言。我们的取证分析——包括网络数据抓包、
JavaScript 去混淆以及生产环境代码对比——
证明了恰恰相反的情况。在 xmrwallet.com 上输入的每个密钥都会
被窃取。每笔交易都可能被劫持。
生产环境与 GitHub:
完全不一致
该
公开的 GitHub 仓库
自那时以来,该分支尚未收到任何提交
2018年11月. 生产环境运行的
代码与代码库中完全不同,且包含代码库中未记录的参数:
:
-
session_key — Base64 编码的视图密钥外泄令牌 -
verification — 次要数据外泄通道 -
timestamp — 会话跟踪参数 -
data — 附加有效载荷容器
通过以下方式注册的域名 NameSilo 2016年——通过……预付 2031. 注册“自由独立项目”已有十五年。
攻击 #1:密钥外泄
当您登录 xmrwallet.com 时,您的私有查看密钥会被 Base64 编码并嵌入到一个 session_key 令牌。随后,该令牌将与 每一个 API 请求 — 单次训练中超过40次。
session_key 结构
session_key = [encrypted_blob]:[base64_address]:[base64_private_viewkey]
Firefox WebExtension 的网络抓包结果证实,该令牌确实被发送了 6 个不同的 API 端点 每个会话共计 40 多次 POST 请求:
| API 端点 | 请求 / 会话 | 泄露 session_key |
|---|
/api/getheightsync | 12 | 是的 |
/api/gettransactions | 10 | 是的 |
/api/getbalance | 6 | 是的 |
/api/getsubaddresses | 4 | 是的 |
/api/getoutputs | 3 | 是的 |
/api/support_login | 1 | 是的 |
攻击 #2:交易劫持
密钥窃取使攻击者能够 观看 你的钱包。但 xmrwallet.com 更进一步——它会实时窃取你的资金。经过去混淆处理的正式版 JavaScript 代码揭示了一套 5 步攻击流程:
cnUtil.create_transaction() → raw_tx_and_hash
raw_tx_and_hash.raw = 0;
POST /api/submit_raw_tx { 原始数据:0, 元数据:{...} }
如果(类型 == “扫过”) → 由攻击者重定向的交易
您的钱包显示“交易已发送”。您的资金到达了攻击者的地址。受害者看到 “未知交易 ID” 当他们在区块浏览器上尝试验证时。内部标记为 swept 是被盗的那些。
隐藏的制作代码
xmrwallet.com 维护了一个公开的 GitHub 代码库,以显得合法。该代码库只是个幌子。自那时以来,它就再也没有被更新过 2018年11月. 生产环境运行的是完全不同的、经过混淆的代码。
公开的 GitHub(诱饵)
- 最后一次提交: 2018年11月
- 不
session_key 参数 - 不
verification paramsimplified Chinese (大陆) - 不
/support_login.html - 未启用 Google 标签管理器
- 简洁、可审计的代码
生产基地(真实)
- 2024-2026年持续更新
-
session_key 使用 Base64 视图密钥 -
verification 数据外泄通道 -
/support_login.html 后门 - GTM 远程 JS 注入
- 经过混淆、无法审计的代码
后门与远程代码注入
生产基地包括 /support_login.html — 一个完全未出现在 GitHub 代码库中的隐藏管理端点。结合 Google 标签管理器(GTM 容器) 通过该集成,运维人员可以随时在运行中的网站上远程注入和修改 JavaScript 代码——而无需更新公开的代码库。这是一种伪装成分析功能的远程代码执行途径。
坚不可摧的基础设施
xmrwallet.com 并未使用廉价的共享主机。它运行在经过精心挑选的高端、坚不可摧的基础设施上,旨在抵御关停请求和执法部门的干预。
主机与网络 IOC
| 指标 | 值 |
|---|
| 域名 | xmrwallet.com |
| 注册处 | NameSilo(2016 – 2031,15年注册期) |
| 主机服务商 | IQWEB FZ-LLC(每月550美元起) |
| IP地址 | 186.2.165.49 |
| ASN | AS59692 |
| CDN / DDoS防护 | DDoS-Guard |
| Web 服务器 | Apache 2.4.58(Ubuntu) |
| 后端 | PHP 8.2.29 |
| SSL证书 | Let's Encrypt(自动续期) |
| Tor 镜像 | xmrwalletdatuxms.onion |
| 年度基础设施成本 | $8,000 – $15,000+ |
跟踪与分析 IOCs
| 追踪器 | 请求 / 会话 | 标识符 |
|---|
| Google 标签管理器 | 12 | GTM 容器 |
| Google Analytics (UA) | 12 | UA-116766241-1 |
| Google Analytics 4 | 5 | GA4 数据流 |
| DoubleClick | 1 | 广告跟踪像素 |
| DDoS-Guard Cookie | — | __ddg8_, __ddg9_, __ddg10_, __ddg1_ |
$8K-$15K/Year for a "Free Volunteer Wallet"
一个合法的免费钱包不会每月花费550美元以上,使用由DDoS-Guard保护的IQWEB FZ-LLC防弹主机——这套基础设施专为抵御滥用投诉和执法部门的传票而设计。它也不会注册一个有效期长达15年的域名。 它也不会在一款“注重隐私”的门罗币钱包上运行 Google Analytics 追踪功能。这一基础设施的构建仅有一个目的: 大规模且持续的盗窃行为.
已确认操作员:娜塔莉·罗伊
开源情报显示,xmrwallet.com 的基础设施可直接追溯到某位个人。
| 字段 | 详情 |
|---|
| 姓名 | 娜塔莉·罗伊 |
| 位置 | 加拿大 |
| GitHub 用户名 | nathroy (ID: 39167759) |
| GitHub 组织 | xmrwallet (创建于 2018-05-10) |
| 电子邮件(管理员) | admin@xmrwallet.com |
| 电子邮件(个人) | royn5094@protonmail.com |
| Reddit | u/WiseSolution (被r/Monero禁言) |
| Twitter | @xmrwalletcom |
| 邮件服务器 (MX) | mail.privateemail.com |
被封禁、曝光,仍在活跃
娜塔莉·罗伊被禁止参加官方 r/Monero 子版块 2018年,该网站曾用于推广 xmrwallet.com。GitHub 上的最后一次提交发生在同年。6年多来,公开的源代码一直处于冻结状态,而实际运行的网站却使用完全不同的代码积极窃取资金。该域名的注册有效期已续至2031年——运营方显然不会轻易离开。
有记录的受害者
至少 15例公开报告的病例 在Trustpilot、Sitejabber、Reddit和GitHub Issues上,有关资金被盗的报告层出不穷。真实的人。真金白银。一去不复返。
- 590 XMR(约177,000美元) — 单起盗窃案,有记录以来最大的一起
- 17.44 XMR — 通过链上交易 ID 记录
- 一夜之间被盗20 XMR — 用户睡觉时钱包被清空
- 多份报告显示“未知交易 ID” — 该
swept 标签签名 - 已删除 GitHub 问题 #13 及以上 — 操作员从报告库中删除了受害者报告
证据被删除,没有捐赠钱包
该运营方正在主动删除GitHub Issues上的受害者报告(#13之前的所有问题都已消失)。该网站声称接受捐赠,但 从未公布过任何捐赠钱包地址. 一个每年花费8K-$15K的“独立项目”为什么会拒绝捐款?因为其收入来自盗窃。
事件时间线
2014-2024年时间线:xmrwallet.com 10,000+个密钥被盗——从网站上线到出现首批受害者,直至运营者身份被确认 2016
域名已注册 — xmrwallet.com
通过 NameSilo 注册,使用 15年的注册期限 (2016-2031)。作为一款免费的开源门罗币网络钱包推出。
2018年5月
已创建 GitHub 组织
xmrwallet GitHub 组织创建于 2018-05-10 作者:nathroy(ID:39167759)。以“透明度作秀”为名推送的公开代码。
2018
封禁与代码冻结
操作员 u/WiseSolution 被r/Monero禁言 用于推广垃圾信息。大约在这个时间点的最后一次 GitHub 提交。受害者的问题报告开始被删除(问题 #1-#12 已消失)。
2018 – 2024
6年的沉默
公开代码库已被冻结。生产环境代码与之完全不同,包含混淆的 JavaScript 代码、未记录的参数以及后门端点。Trustpilot 和 Reddit 上关于受害者的报告不断增加。
2025 – 2026
“PhishDestroy”调查
网络流量分析显示 session_key 数据外泄。JavaScript 去混淆结果证实了这一点 raw_tx = 0 事务劫持。相关证据已发布在 GitHub Issues 上 #35 & #36.
2026年2月
报告已发布——域名仍处于活跃状态
完整技术报告已发布。xmrwallet.com 仍可访问。域名已通过 2031. DDoS-Guard 具备抗关停能力。
全部证据及原始资料
本文中的每一项论点都有公开可验证的证据作为依据。请下载相关报告,验证代码,并亲自检查网络抓包数据。
安全的替代方案
切勿在任何网络钱包中输入私钥。 就这样。请使用经过验证和审计、并在您的设备上本地运行的软件。
移动钱包
莫内鲁霍 (Android) — 开源,支持 Tor
Cake 钱包 (iOS/Android) — 支持多种加密货币,维护良好
加密货币的黄金法则
切勿在以下位置输入您的助记词、私钥或查看密钥: 任何网站. 正规的钱包在本地运行——它们绝不会将您的密钥发送至服务器。如果某个网页钱包要求您提供私钥,那肯定是骗局。为了获得最高安全性,请使用配备官方门罗币软件的硬件钱包(如Ledger、Trezor)。
保护社区
xmrwallet 已经盗取门罗币长达10年之久。相关证据已公开。运营者身份已确认。请分享此调查报告。举报该域名。帮助我们将其关闭。