Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / DE / XMRWALLET EXPOSED

[REDACTED] entlarvt: 10 Jahre gestohlene Schlüssel

The Enablers Registry·Editorial mirror·/de/xmrwallet-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Eingehende forensische Untersuchung einer Monero-Web-Wallet, die Ihren privaten Anzeigeschlüssel mittels Base64 in einen session_key Token, gibt es über mehr als 40 API-Anfragen pro Sitzung weiter und macht dann Ihre Transaktion mit raw_tx = 0 und baut sie neu auf, um Ihr Geld zu stehlen. Seit 2016 aktiv. Betreiber identifiziert.

Aktiv seit 2016 Über 40 Schlüssel-Leaks / Sitzung Durch DDoS-Guard geschützt
[REDACTED] entlarvt
0
Tätigkeitsjahre
40+
Schlüssel-Leaks pro Sitzung
$2M-$15M+
Geschätzter Gesamtwert der gestohlenen Gegenstände
0
GitHub-Updates seit 2018

Die Fassade

[REDACTED] präsentiert sich als kostenlose, Open-Source-Monero-Wallet, die auf der Client-Seite läuft. Keine Downloads. Keine Registrierung. In den Nutzungsbedingungen wird eine ganz konkrete Aussage getroffen:

„Alle kryptografischen Vorgänge finden in Ihrem Browser statt. Der Server hat keinerlei Zugriff auf Ihre privaten Schlüssel.“

— Nutzungsbedingungen von [REDACTED] (nachweislich falsch)

Das ist eine Lüge. Unsere forensische Analyse – Netzwerk-Captures, JavaScript-Entverschleierung und Vergleich des Produktionscodes – beweist genau das Gegenteil. Jeder auf [REDACTED] eingegebene Schlüssel wird gestohlen. Jede Transaktion kann abgefangen werden.

Produktion vs. GitHub: Völlige Diskrepanz

Die öffentliches GitHub-Repository hat seitdem keinen einzigen Commit mehr erhalten November 2018. Auf dem Produktionsserver läuft ein völlig anderer Code mit undokumentierten Parametern, die im Repo nicht enthalten sind:

  • session_key — Base64-kodiertes Token zur Exfiltration des View-Schlüssels
  • verification — sekundärer Exfiltrationskanal
  • timestamp — Parameter zur Sitzungsverfolgung
  • data — zusätzlicher Nutzlastcontainer

Domain registriert über IANA #1479 im Jahr 2016 – im Voraus bezahlt über 2031. Fünfzehn Jahre Anmeldung für ein „freies, unabhängiges Projekt“.

Angriff Nr. 1: Exfiltration von View-Schlüsseln

Wenn Sie sich bei [REDACTED] anmelden, wird Ihr privater View-Schlüssel Base64-kodiert und in eine session_key Token. Dieses Token wird dann zusammen mit jede einzelne API-Anfrage — mehr als 40 Mal in einer einzigen Sitzung.

Die Struktur „session_key“

session_key = [encrypted_blob]:[base64_address]:[base64_private_viewkey]

// Decoded example:
// blob: a3f8c2... (session identifier)
// address: 4A1BxN... (your Monero public address)
// viewkey: IHR PRIVATER ANZEIGESCHLÜSSEL IM KLARTEXT

Netzwerkaufzeichnungen von [REDACTED] WebExtension bestätigen, dass dieses Token übertragen wird 6 verschiedene API-Endpunkte insgesamt mehr als 40 POST-Anfragen pro Sitzung:

API-EndpunktAnfragen / SitzungGibt den session_key preis
/api/getheightsync12 Ja
/api/gettransactions10 Ja
/api/getbalance6 Ja
/api/getsubaddresses4 Ja
/api/getoutputs3 Ja
/api/support_login1 Ja

Über 40 Kopien Ihres privaten Schlüssels

Bei jeder einzelnen Anmeldesitzung wird Ihr privater Ansichtschlüssel an den Server gesendet mindestens 36 Mal. Der Server benötigt für keinen dieser Vorgänge Ihren Schlüssel – Kontostandsabfragen und Höhensynchronisierungen sind öffentliche Blockchain-Abfragen. Es gibt absolut keinen legitimen Grund, Schlüsselmaterial zu übermitteln. Vollständige Netzwerk-Aufzeichnung als Nachweis: [REDACTED] GitHub-Issue Nr. 36 – Beweise für die Exfiltration von Schlüsseln anzeigen.

Angriff Nr. 2: Transaktionsentführung

Durch den Diebstahl des View-Schlüssels kann der Angreifer anschauen Ihr Wallet. Aber [REDACTED] geht noch einen Schritt weiter – es stiehlt Ihr Guthaben in Echtzeit. Das entschlüsselte Produktions-JavaScript offenbart eine fünfstufige Angriffsabfolge:

// Step 1: Client builds a legitimate transaction
cnUtil.create_transaction() → raw_tx_and_hash

// Step 2: Client transaction is NULLIFIED
raw_tx_and_hash.raw = 0;

// Step 3: Only metadata sent to server (no real tx)
BEITRAG /api/submit_raw_tx { raw: 0, Metadaten: {...} }

// Step 4: Server rebuilds its OWN transaction
// using your keys + its destination address

// Step 5: Stolen transactions tagged internally
falls(Typ == „gefegt“) → vom Angreifer umgeleitete Transaktion

In Ihrer Wallet wird „Transaktion gesendet“ angezeigt. Ihr Guthaben geht bei der Adresse des Angreifers ein. Die Opfer sehen „Unbekannte Transaktions-ID“ wenn sie versuchen, dies über Block-Explorer zu überprüfen. Transaktionen, die intern als swept sind die gestohlenen.

Ihre Transaktion hat nie stattgefunden

raw_tx_and_hash.raw = 0 Das bedeutet, dass die vom Client generierte Transaktion verworfen wird. Der Server erstellt unter Verwendung Ihrer Schlüssel eine völlig neue Transaktion und sendet Ihre XMR an den Angreifer. Die angezeigte „Erfolgsmeldung“ ist eine Täuschung. Detaillierte Code-Analyse: [REDACTED] GitHub-Issue Nr. 35 – Nachweis gegen Transaktionsentführung.

Versteckter Produktionscode

[REDACTED] unterhält ein öffentliches GitHub-Repository, um seriös zu wirken. Das Repository ist jedoch nur ein Ablenkungsmanöver. Es wurde seit November 2018. Auf der Produktionsumgebung läuft ein völlig anderer, verschleierter Code.

Öffentliches GitHub (Köder)

  • Letzter Commit: Nov. 2018
  • Nein session_key Parameter
  • Nein verification param
  • Nein /support_login.html
  • Kein Google Tag Manager
  • Sauberer, überprüfbarer Code

Produktionsstandort (Real)

  • Wird aktiv aktualisiert: 2024–2026
  • session_key mit Base64-Viewkey
  • verification Exfil-Kanal
  • /support_login.html Hintertür
  • GTM-Remote-JS-Injektion
  • Verschleierter, nicht überprüfbarer Code

Die Hintertür und die Remote-Code-Injektion

Der Produktionsstandort umfasst /support_login.html — ein versteckter Verwaltungsendpunkt, der im GitHub-Repository überhaupt nicht enthalten ist. In Kombination mit Google Tag Manager (GTM-Container) Durch diese Integration kann der Angreifer jederzeit aus der Ferne JavaScript in die Live-Website einschleusen und dort ändern – ohne die öffentliche Codebasis zu aktualisieren. Dabei handelt es sich um einen als Analysetool getarnten Vektor zur Remote-Codeausführung.

Eine absolut sichere Infrastruktur

[REDACTED] nutzt kein billiges Shared Hosting. Die Website läuft auf einer erstklassigen, absolut sicheren Infrastruktur, die speziell darauf ausgelegt ist, Anfragen zur Abschaltung und Maßnahmen der Strafverfolgungsbehörden standzuhalten.

Hosting und Netzwerk-IOCs

IndikatorWert
Domäne[REDACTED]
RegistrarIANA #1479 (2016 – 2031, 15-jährige Registrierung)
Webhosting-AnbieterIANA #1241 (ab 550 $/Monat)
IP-Adresse186.2.165.49
ASNAS59692
CDN / DDoS-SchutzDDoS-Guard
WebserverApache 2.4.58 (Ubuntu)
BackendPHP 8.2.29
SSL-ZertifikatLet's Encrypt (automatisch verlängert)
Tor-Mirror[REDACTED].onion
Jährliche Infrastrukturkosten$8,000 – $15,000+

IOCs für Tracking und Analytik

TrackerAnfragen / SitzungBezeichner
Google Tag Manager12GTM-Container
Google Analytics (UA)12UA-116766241-1
Google Analytics 45GA4-Stream
DoubleClick1Pixel zur Anzeigenverfolgung
DDoS-Guard-Cookies __ddg8_, __ddg9_, __ddg10_, __ddg1_

$8K-$15K/Year for a "Free Volunteer Wallet"

Eine seriöse kostenlose Wallet gibt nicht mehr als 550 $ pro Monat für das „Bulletproof“-Hosting von IANA #1241 hinter DDoS-Guard aus – eine Infrastruktur, die speziell darauf ausgelegt ist, Missbrauchsbeschwerden und Vorladungen von Strafverfolgungsbehörden zu widerstehen. Sie registriert keine Domain für 15 Jahre. Es führt kein Google-Analytics-Tracking auf einer „datenschutzorientierten“ Monero-Wallet durch. Diese Infrastruktur wurde für einen einzigen Zweck geschaffen: anhaltender Diebstahl in großem Umfang.

Identifizierte Mitarbeiterin: Nathalie Roy

Open-Source-Recherchen lassen den Schluss zu, dass die Infrastruktur von [REDACTED] direkt auf eine einzige Person zurückzuführen ist.

FeldDetail
NameNathalie Roy
StandortKanada
GitHub-Benutzernamenathroy (ID: 39167759)
GitHub-Organisation[REDACTED] (erstellt am 10.05.2018)
E-Mail (Admin)admin@[REDACTED]
E-Mail (privat)royn5094@protonmail.com
Redditu/WiseSolution (aus r/Monero gesperrt)
Twitter[REDACTED]
Mailserver (MX)[REDACTED]

Gesperrt, entlarvt, aber immer noch aktiv

Nathalie Roy wurde von der offiziellen Subreddit „r/Monero“ im Jahr 2018 zur Werbung für [REDACTED]. Der letzte GitHub-Commit erfolgte im selben Jahr. Seit mehr als sechs Jahren ist der öffentlich zugängliche Code eingefroren, während die Produktionswebsite mit völlig anderem Code aktiv Gelder stiehlt. Die Domain ist bis 2031 bezahlt – der Betreiber wird so schnell nicht verschwinden.

Dokumentierte Opfer

Zumindest 15 öffentlich gemeldete Fälle über Gelddiebstahl auf Trustpilot, Sitejabber, Reddit und GitHub Issues. Echte Menschen. Echtes Geld. Weg.

15+
Öffentliche Berichte
590 XMR
Größter Einzelbetrag (177.000 $)
0
Jahrelanger Diebstahl
$2M-$15M+
Geschätzter Gesamtbetrag
  • 590 XMR (~177.000 $) — einzelner Diebstahl, größter dokumentierter Fall
  • 17,44 XMR — in der Blockchain mit der Transaktions-ID dokumentiert
  • Über Nacht wurden 20 XMR gestohlen — Das Wallet wurde leergeräumt, während der Nutzer schlief
  • Mehrere Meldungen über „Unbekannte Transaktions-ID“ — das swept Tag-Signatur
  • GitHub-Issues Nr. 13 und höher wurden gelöscht — Der Betreiber löscht Opferberichte aus dem Repo

Gelöschte Beweise, keine Spenden-Wallet

Der Betreiber löscht aktiv Meldungen von Betroffenen aus den GitHub-Issues (alle Issues vor Nr. 13 sind verschwunden). Die Website gibt an, Spenden anzunehmen, aber Es wurde noch nie eine Adresse für eine Spenden-Wallet veröffentlicht.. Warum sollte ein „unabhängiges Projekt“, das jährlich 8.000 bis 15.000 Dollar ausgibt, Spenden ablehnen? Weil die Einnahmen aus Diebstahl stammen.

Chronologie der Ereignisse

Zeitleiste 2014–2024: [REDACTED] – über 10.000 gestohlene Schlüssel – vom Start der Website über die ersten Opfer bis zur Identifizierung des Betreibers
Zeitleiste 2014–2024: [REDACTED] – über 10.000 gestohlene Schlüssel – vom Start der Website über die ersten Opfer bis zur Identifizierung des Betreibers
2016

Domain registriert — [REDACTED]

Registriert über IANA #1479 mit einer 15-jährige Registrierungsdauer (2016–2031). Wird als kostenlose Open-Source-Monero-Web-Wallet angeboten.

Mai 2018

GitHub-Organisation erstellt

Die GitHub-Organisation „[REDACTED]“ wurde am 2018-05-10 von nathroy (ID: 39167759). Öffentlicher Code, der als „Transparenz-Theater“ veröffentlicht wurde.

2018

Gesperrt & Code eingefroren

Betreiber u/WiseSolution aus r/Monero gesperrt wegen Werbe-Spam. Letzter GitHub-Commit etwa zu dieser Zeit. Die Issue-Meldungen der Betroffenen werden nach und nach gelöscht (Issues #1–#12 sind verschwunden).

2018 – 2024

6 Jahre Schweigen

Das öffentliche Repository wurde eingefroren. Der Produktionscode weicht vollständig ab und enthält verschleiertes JavaScript, undokumentierte Parameter sowie Endpunkte mit Hintertüren. Auf Trustpilot und Reddit häufen sich die Berichte von Betroffenen.

2025 – 2026

Untersuchung im Fall „THE ENABLERS REGISTRY

Die Analyse des Netzwerkverkehrs zeigt, dass session_key Exfiltration. Die Entschleierung des JavaScript-Codes bestätigt dies. raw_tx = 0 Transaktionsentführung. Auf GitHub Issues veröffentlichte Belege #35 & #36.

Februar 2026

Bericht veröffentlicht – Domain weiterhin aktiv

Der vollständige technische Bericht wurde veröffentlicht. [REDACTED] ist weiterhin online. Die Domain wurde bezahlt über 2031. DDoS-Guard sorgt für Resistenz bei Abschaltungen.

Vollständige Belege und Quellenmaterialien

Jede Aussage in diesem Artikel wird durch öffentlich überprüfbare Belege gestützt. Laden Sie die Berichte herunter. Überprüfen Sie den Code. Sehen Sie sich die Netzwerkaufzeichnungen selbst an.

Sichere Alternativen

Geben Sie niemals private Schlüssel in einer Web-Wallet ein. Punkt. Verwenden Sie geprüfte und auditierte Software, die lokal auf Ihrem Gerät läuft.

Desktop-Wallets

Monero-GUI — Offizielle Wallet, mit vollem Funktionsumfang, Open Source, geprüft
Feder-Geldbörse — Eine leichte, schnelle und datenschutzorientierte Desktop-Wallet

Mobile Geldbörsen

Monerujo (Android) — Open Source mit Tor-Unterstützung
Cake Wallet (iOS/Android) — Unterstützt mehrere Währungen, gut gepflegt

Die goldene Regel der Kryptowährungen

Geben Sie niemals Ihre Seed-Phrase, Ihre privaten Schlüssel oder Ihre View-Schlüssel auf jede Website. Seriöse Wallets laufen lokal – sie müssen Ihre Schlüssel niemals an einen Server senden. Wenn ein Web-Wallet nach Ihren privaten Schlüsseln fragt, handelt es sich um einen Betrug. Verwenden Sie für maximale Sicherheit ein Hardware-Wallet ([REDACTED], [REDACTED]) mit offizieller Monero-Software.

Schützt die Gemeinschaft

[REDACTED] stiehlt seit 10 Jahren Monero. Die Beweise sind öffentlich zugänglich. Der Betreiber ist identifiziert. Teilen Sie diese Untersuchung. Melden Sie die Domain. Helfen Sie uns, die Seite zu schließen.

Verwandte Ermittlungen

Das Ende von [REDACTED]: IANA #1479 hat gelogen, um einen Krypto-Dieb zu schützen, der 2 Millionen Dollar erbeutet hatte
UNTERSUCHUNG
Das Ende von [REDACTED]: IANA #1479 hat gelogen, um einen Krypto-Dieb zu schützen, der 2 Millionen Dollar erbeutet hatte
[REDACTED]-Phishing-Panel: 239.000 Dollar gestohlen, 6 Betreiber
GRÜNDLICHE UNTERSUCHUNG
[REDACTED]-Possibly phishing-Panel: 239.000 Dollar gestohlen, 6 Betreiber
GRÜNDLICHE UNTERSUCHUNG
Crypto Drainer Toolkit: Wiederverkäufer von „Angel Drainer“ entlarvt

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings