跳转至主要内容
返回新闻

门罗币钱包盗窃案调查

xmrwallet 内幕曝光:长达10年的密钥被盗与交易被劫持事件

对一款门罗币网络钱包的深入取证调查,该钱包将您的私有查看密钥通过Base64编码转换为一个 session_key token,在每次会话中通过 40 多次 API 请求泄露该 token,随后通过 以下方式使您的交易失效: raw_tx = 0 并对其进行重建以盗取您的资金。该活动自2016年起持续至今。运营者 身份已确认。

自2016年起活跃 40+ 密钥泄露 / 会话 受 DDoS-Guard 保护
xmrwallet 内幕曝光
0
活跃年份
40+
每次会话的关键信息泄露
$2M-$15M+
被盗总金额估计为
0
2018 年以来的 GitHub 更新

《外墙》

xmrwallet.com 该服务宣称是一款免费的、 开源的、客户端式的门罗币钱包。无需下载,无需 注册。其《服务条款》中明确声明:

“所有加密操作都在您的浏览器中进行。服务器 无法访问您的私钥。”

— xmrwallet.com 服务条款(经证实为虚假)

这是谎言。我们的取证分析——包括网络数据抓包、 JavaScript 去混淆以及生产环境代码对比—— 证明了恰恰相反的情况。在 xmrwallet.com 上输入的每个密钥都会 被窃取。每笔交易都可能被劫持。

生产环境与 GitHub: 完全不一致

公开的 GitHub 仓库 自那时以来,该分支尚未收到任何提交 2018年11月. 生产环境运行的 代码与代码库中完全不同,且包含代码库中未记录的参数: :

  • session_key — Base64 编码的视图密钥外泄令牌
  • verification — 次要数据外泄通道
  • timestamp — 会话跟踪参数
  • data — 附加有效载荷容器

通过以下方式注册的域名 NameSilo 2016年——通过……预付 2031. 注册“自由独立项目”已有十五年。

攻击 #1:密钥外泄

当您登录 xmrwallet.com 时,您的私有查看密钥会被 Base64 编码并嵌入到一个 session_key 令牌。随后,该令牌将与 每一个 API 请求 — 单次训练中超过40次。

session_key 结构

session_key = [encrypted_blob]:[base64_address]:[base64_private_viewkey]

// Decoded example:
// blob: a3f8c2... (session identifier)
// address: 4A1BxN... (your Monero public address)
// viewkey: 您的私有查看密钥(明文)

Firefox WebExtension 的网络抓包结果证实,该令牌确实被发送了 6 个不同的 API 端点 每个会话共计 40 多次 POST 请求:

API 端点请求 / 会话泄露 session_key
/api/getheightsync12 是的
/api/gettransactions10 是的
/api/getbalance6 是的
/api/getsubaddresses4 是的
/api/getoutputs3 是的
/api/support_login1 是的

40多份您的私钥副本

单次登录会话会将您的私有查看密钥发送至服务器 至少36次. 服务器在执行这些操作时并不需要您的密钥——余额查询和高度同步都是公开的区块链查询。没有任何正当理由需要传输密钥材料。完整的网络抓包证据: xmrwallet GitHub 问题 #36 — 查看密钥外泄证据.

攻击 #2:交易劫持

密钥窃取使攻击者能够 观看 你的钱包。但 xmrwallet.com 更进一步——它会实时窃取你的资金。经过去混淆处理的正式版 JavaScript 代码揭示了一套 5 步攻击流程:

// Step 1: Client builds a legitimate transaction
cnUtil.create_transaction() → raw_tx_and_hash

// Step 2: Client transaction is NULLIFIED
raw_tx_and_hash.raw = 0;

// Step 3: Only metadata sent to server (no real tx)
POST /api/submit_raw_tx { 原始数据:0, 元数据:{...} }

// Step 4: Server rebuilds its OWN transaction
// using your keys + its destination address

// Step 5: Stolen transactions tagged internally
如果(类型 == “扫过”) → 由攻击者重定向的交易

您的钱包显示“交易已发送”。您的资金到达了攻击者的地址。受害者看到 “未知交易 ID” 当他们在区块浏览器上尝试验证时。内部标记为 swept 是被盗的那些。

您的交易从未发生过

raw_tx_and_hash.raw = 0 这意味着客户端生成的交易会被丢弃。服务器会使用你的密钥构建一个全新的交易,并将你的 XMR 发送给攻击者。你看到的“成功”提示其实是虚假的。详细代码分析: xmrwallet GitHub 问题 #35 — 交易劫持证明.

隐藏的制作代码

xmrwallet.com 维护了一个公开的 GitHub 代码库,以显得合法。该代码库只是个幌子。自那时以来,它就再也没有被更新过 2018年11月. 生产环境运行的是完全不同的、经过混淆的代码。

公开的 GitHub(诱饵)

  • 最后一次提交: 2018年11月
  • session_key 参数
  • verification paramsimplified Chinese (大陆)
  • /support_login.html
  • 未启用 Google 标签管理器
  • 简洁、可审计的代码

生产基地(真实)

  • 2024-2026年持续更新
  • session_key 使用 Base64 视图密钥
  • verification 数据外泄通道
  • /support_login.html 后门
  • GTM 远程 JS 注入
  • 经过混淆、无法审计的代码

后门与远程代码注入

生产基地包括 /support_login.html — 一个完全未出现在 GitHub 代码库中的隐藏管理端点。结合 Google 标签管理器(GTM 容器) 通过该集成,运维人员可以随时在运行中的网站上远程注入和修改 JavaScript 代码——而无需更新公开的代码库。这是一种伪装成分析功能的远程代码执行途径。

坚不可摧的基础设施

xmrwallet.com 并未使用廉价的共享主机。它运行在经过精心挑选的高端、坚不可摧的基础设施上,旨在抵御关停请求和执法部门的干预。

主机与网络 IOC

指标
域名xmrwallet.com
注册处NameSilo(2016 – 2031,15年注册期)
主机服务商IQWEB FZ-LLC(每月550美元起)
IP地址186.2.165.49
ASNAS59692
CDN / DDoS防护DDoS-Guard
Web 服务器Apache 2.4.58(Ubuntu)
后端PHP 8.2.29
SSL证书Let's Encrypt(自动续期)
Tor 镜像xmrwalletdatuxms.onion
年度基础设施成本$8,000 – $15,000+

跟踪与分析 IOCs

追踪器请求 / 会话标识符
Google 标签管理器12GTM 容器
Google Analytics (UA)12UA-116766241-1
Google Analytics 45GA4 数据流
DoubleClick1广告跟踪像素
DDoS-Guard Cookie __ddg8_, __ddg9_, __ddg10_, __ddg1_

$8K-$15K/Year for a "Free Volunteer Wallet"

一个合法的免费钱包不会每月花费550美元以上,使用由DDoS-Guard保护的IQWEB FZ-LLC防弹主机——这套基础设施专为抵御滥用投诉和执法部门的传票而设计。它也不会注册一个有效期长达15年的域名。 它也不会在一款“注重隐私”的门罗币钱包上运行 Google Analytics 追踪功能。这一基础设施的构建仅有一个目的: 大规模且持续的盗窃行为.

已确认操作员:娜塔莉·罗伊

开源情报显示,xmrwallet.com 的基础设施可直接追溯到某位个人。

字段详情
姓名娜塔莉·罗伊
位置加拿大
GitHub 用户名nathroy (ID: 39167759)
GitHub 组织xmrwallet (创建于 2018-05-10)
电子邮件(管理员)admin@xmrwallet.com
电子邮件(个人)royn5094@protonmail.com
Redditu/WiseSolution (被r/Monero禁言)
Twitter@xmrwalletcom
邮件服务器 (MX)mail.privateemail.com

被封禁、曝光,仍在活跃

娜塔莉·罗伊被禁止参加官方 r/Monero 子版块 2018年,该网站曾用于推广 xmrwallet.com。GitHub 上的最后一次提交发生在同年。6年多来,公开的源代码一直处于冻结状态,而实际运行的网站却使用完全不同的代码积极窃取资金。该域名的注册有效期已续至2031年——运营方显然不会轻易离开。

有记录的受害者

至少 15例公开报告的病例 在Trustpilot、Sitejabber、Reddit和GitHub Issues上,有关资金被盗的报告层出不穷。真实的人。真金白银。一去不复返。

15+
公开报告
590 XMR
单笔最大金额(17.7万美元)
0
多年的盗窃
$2M-$15M+
估计总额
  • 590 XMR(约177,000美元) — 单起盗窃案,有记录以来最大的一起
  • 17.44 XMR — 通过链上交易 ID 记录
  • 一夜之间被盗20 XMR — 用户睡觉时钱包被清空
  • 多份报告显示“未知交易 ID” — 该 swept 标签签名
  • 已删除 GitHub 问题 #13 及以上 — 操作员从报告库中删除了受害者报告

证据被删除,没有捐赠钱包

该运营方正在主动删除GitHub Issues上的受害者报告(#13之前的所有问题都已消失)。该网站声称接受捐赠,但 从未公布过任何捐赠钱包地址. 一个每年花费8K-$15K的“独立项目”为什么会拒绝捐款?因为其收入来自盗窃。

事件时间线

2014-2024年时间线:xmrwallet.com 10,000+个密钥被盗——从网站上线到出现首批受害者,直至运营者身份被确认
2014-2024年时间线:xmrwallet.com 10,000+个密钥被盗——从网站上线到出现首批受害者,直至运营者身份被确认
2016

域名已注册 — xmrwallet.com

通过 NameSilo 注册,使用 15年的注册期限 (2016-2031)。作为一款免费的开源门罗币网络钱包推出。

2018年5月

已创建 GitHub 组织

xmrwallet GitHub 组织创建于 2018-05-10 作者:nathroy(ID:39167759)。以“透明度作秀”为名推送的公开代码。

2018

封禁与代码冻结

操作员 u/WiseSolution 被r/Monero禁言 用于推广垃圾信息。大约在这个时间点的最后一次 GitHub 提交。受害者的问题报告开始被删除(问题 #1-#12 已消失)。

2018 – 2024

6年的沉默

公开代码库已被冻结。生产环境代码与之完全不同,包含混淆的 JavaScript 代码、未记录的参数以及后门端点。Trustpilot 和 Reddit 上关于受害者的报告不断增加。

2025 – 2026

“PhishDestroy”调查

网络流量分析显示 session_key 数据外泄。JavaScript 去混淆结果证实了这一点 raw_tx = 0 事务劫持。相关证据已发布在 GitHub Issues 上 #35 & #36.

2026年2月

报告已发布——域名仍处于活跃状态

完整技术报告已发布。xmrwallet.com 仍可访问。域名已通过 2031. DDoS-Guard 具备抗关停能力。

全部证据及原始资料

本文中的每一项论点都有公开可验证的证据作为依据。请下载相关报告,验证代码,并亲自检查网络抓包数据。

安全的替代方案

切勿在任何网络钱包中输入私钥。 就这样。请使用经过验证和审计、并在您的设备上本地运行的软件。

桌面钱包

门罗币图形用户界面 — 官方钱包,功能齐全,开源,经过审计
羽毛钱包 — 轻量、快速、注重隐私的桌面钱包

移动钱包

莫内鲁霍 (Android) — 开源,支持 Tor
Cake 钱包 (iOS/Android) — 支持多种加密货币,维护良好

加密货币的黄金法则

切勿在以下位置输入您的助记词、私钥或查看密钥: 任何网站. 正规的钱包在本地运行——它们绝不会将您的密钥发送至服务器。如果某个网页钱包要求您提供私钥,那肯定是骗局。为了获得最高安全性,请使用配备官方门罗币软件的硬件钱包(如Ledger、Trezor)。

保护社区

xmrwallet 已经盗取门罗币长达10年之久。相关证据已公开。运营者身份已确认。请分享此调查报告。举报该域名。帮助我们将其关闭。

相关调查

xmrwallet 的终结:NameSilo 为庇护一名盗取 200 万美元加密货币的窃贼而撒谎
调查
xmrwallet 的终结:NameSilo 为庇护一名盗取 200 万美元加密货币的窃贼而撒谎
Trust Wallet 钓鱼攻击小组:23.9万美元被盗,6名操作者
深度调查
Trust Wallet 钓鱼攻击小组:23.9万美元被盗,6名操作者
加密货币盗币工具包:Angel Drainer 经销商曝光
深度调查
加密货币盗币工具包:Angel Drainer 经销商曝光

分享这篇文章

X Telegram Reddit
透明度声明。 PhishDestroy 是一个非商业性的独立项目。我们的研究可能对诈骗基础设施及其相关服务存在固有的偏见。我们鼓励读者以批判性和独立的眼光评估所有内容。 阅读我们的完整透明度声明 →