Archive LiveRead-only public record · No ads · No tracking
CASE / ES / XMRWALLET EXPOSED
[REDACTED] al descubierto: 10 años de claves robadas
The Enablers Registry·Editorial mirror·/es/xmrwallet-exposed
Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.
Investigación forense en profundidad sobre un monedero web de Monero que codifica en Base64 tu clave privada de visualización en un session_key
token, lo filtra a través de más de 40 solicitudes de API por sesión y, a continuación, anula
tu transacción con
raw_tx = 0
y lo reconstruye para robarte el dinero. Activo desde 2016. Operador
identificado.
Activo desde 2016Más de 40 fugas de claves por sesiónProtegido por DDoS-Guard
0
Años en activo
40+
Fugas de claves por sesión
$2M-$15M+
Total estimado de objetos robados
0
Novedades de GitHub desde 2018
La fachada
[REDACTED] Se presenta como un monedero de Monero gratuito,
de código abierto y del lado del cliente. Sin descargas. Sin
registro. Sus Condiciones de servicio incluyen una afirmación muy concreta:
«Todas las operaciones criptográficas se realizan en tu navegador. El servidor
no tiene forma de acceder a tus claves privadas».
— Condiciones de uso de [REDACTED] (manifiestamente falsas)
Esto es mentira. Nuestro análisis forense —capturas de red,
desofuscación de JavaScript y comparación del código de producción—
demuestra exactamente lo contrario. Todas las claves introducidas en [REDACTED] son
robadas. Todas las transacciones pueden ser secuestradas.
Producción frente a GitHub:
Divergencia total
El
repositorio público de GitHub
no ha recibido ni una sola actualización desde
Noviembre de 2018. El entorno de producción ejecuta
un código totalmente diferente, con parámetros no documentados que no figuran en
el repositorio:
session_key — Token de exfiltración de la clave de vista codificado en Base64
verification — canal de exfiltración secundario
timestamp — parámetro de seguimiento de sesión
data — contenedor de carga útil adicional
Dominio registrado a través de IANA #1479 en 2016 — pagado por adelantado a través de 2031. Quince años de inscripción en un «proyecto libre e independiente».
Ataque n.º 1: Exfiltración de claves de visualización
Cuando inicias sesión en [REDACTED], tu clave privada de visualización se codifica en Base64 y se integra en un session_key token. A continuación, este token se transmite al servidor con cada una de las solicitudes de API — Más de 40 veces en una sola sesión.
La estructura `session_key`
clave de sesión = [encrypted_blob]:[base64_address]:[base64_private_viewkey]
// Decoded example: // blob: a3f8c2... (session identifier) // address: 4A1BxN... (your Monero public address) // viewkey: TU CLAVE DE VISUALIZACIÓN PRIVADA EN TEXTO SIN CODIFICAR
Las capturas de red de [REDACTED] WebExtension confirman que este token se transmite 6 puntos de conexión de la API distintos con un total de más de 40 solicitudes POST por sesión:
Punto de conexión de la API
Solicitudes / Sesión
Filtración de session_key
/api/getheightsync
12
Sí
/api/gettransactions
10
Sí
/api/getbalance
6
Sí
/api/getsubaddresses
4
Sí
/api/getoutputs
3
Sí
/api/support_login
1
Sí
Más de 40 copias de tu clave privada
Una sola sesión de inicio de sesión envía tu clave privada de visualización al servidor al menos 36 veces. El servidor no necesita tu clave para ninguna de estas operaciones: las comprobaciones de saldo y las sincronizaciones de altura son consultas públicas en la cadena de bloques. No hay ninguna razón legítima para transmitir material de clave. Pruebas completas de la captura de red: [REDACTED], incidencia n.º 36 en GitHub — Ver pruebas de la filtración de claves.
Ataque n.º 2: Secuestro de transacciones
El robo de la clave «View» permite al atacante ver tu monedero. Pero [REDACTED] va más allá: te roba tus fondos en tiempo real. El código JavaScript de producción desofuscado revela una secuencia de ataque de cinco pasos:
// Step 2: Client transaction is NULLIFIED raw_tx_and_hash.raw = 0;
// Step 3: Only metadata sent to server (no real tx) PUBLICAR /api/submit_raw_tx { sin procesar: 0, metadatos: {...} }
// Step 4: Server rebuilds its OWN transaction // using your keys + its destination address
// Step 5: Stolen transactions tagged internally si(tipo == «barrido») → transacción redirigida por el atacante
Tu monedero muestra el mensaje «transacción enviada». Tus fondos llegan a la dirección del atacante. Las víctimas ven «ID de transacción desconocido» cuando intentan verificarlas en los exploradores de bloques. Las transacciones etiquetadas internamente como swept son los que han sido robados.
Tu transacción nunca existió
raw_tx_and_hash.raw = 0 significa que la transacción generada por el cliente se descarta. El servidor crea una transacción completamente nueva utilizando tus claves y envía tus XMR al atacante. El mensaje de «éxito» que ves es falso. Análisis detallado del código: [REDACTED], incidencia n.º 35 en GitHub: prueba contra el secuestro de transacciones.
Código de producción oculto
[REDACTED] mantiene un repositorio público en GitHub para dar una imagen de legitimidad. El repositorio es un señuelo. No se ha actualizado desde Noviembre de 2018. El entorno de producción ejecuta un código totalmente diferente y ofuscado.
GitHub público (señuelo)
Última actualización: Noviembre de 2018
No session_key parámetro
No verification param
No /support_login.html
Sin Google Tag Manager
Código limpio y auditable
Centro de producción (real)
Actualización continua: 2024-2026
session_key con clave de visualización Base64
verification canal de exfiltración
/support_login.html puerta trasera
Inyección remota de JavaScript en GTM
Código ofuscado e imposible de auditar
La puerta trasera y la inyección remota de código
La planta de producción cuenta con /support_login.html — un punto final administrativo oculto que no aparece en absoluto en el repositorio de GitHub. Junto con Google Tag Manager (contenedor de GTM) Gracias a esta integración, el operador puede inyectar y modificar código JavaScript de forma remota en el sitio web en producción en cualquier momento, sin necesidad de actualizar el código fuente público. Se trata de un vector de ejecución remota de código camuflado como análisis de datos.
Infraestructura a prueba de balas
[REDACTED] no utiliza un alojamiento compartido de baja calidad. Funciona con una infraestructura premium a prueba de todo, seleccionada específicamente para resistir las solicitudes de retiradas y las medidas de las fuerzas del orden.
Indicadores clave de rendimiento (IOC) de seguimiento y análisis
Rastreador
Solicitudes / Sesión
Identificador
Google Tag Manager
12
Contenedor GTM
Google Analytics (UA)
12
UA-116766241-1
Google Analytics 4
5
Flujo de GA4
DoubleClick
1
Píxel de seguimiento de anuncios
Cookies de DDoS-Guard
—
__ddg8_, __ddg9_, __ddg10_, __ddg1_
$8K-$15K/Year for a "Free Volunteer Wallet"
Una cartera gratuita legítima no gasta más de 550 dólares al mes en el alojamiento a prueba de balas de IANA #1241, protegido por DDoS-Guard —una infraestructura diseñada específicamente para resistir las denuncias por abuso y las citaciones de las fuerzas del orden—. Tampoco registra un dominio por 15 años. Tampoco utiliza el seguimiento de Google Analytics en una cartera de Monero «centrada en la privacidad». Se trata de una infraestructura creada con un único propósito: robos continuos a gran escala.
Operadora identificada: Nathalie Roy
La inteligencia de fuentes abiertas remonta la infraestructura de [REDACTED] directamente a una sola persona.
A Nathalie Roy se le prohibió el acceso a la página web oficial subreddit r/Monero en 2018 para promocionar [REDACTED]. La última actualización en GitHub tuvo lugar ese mismo año. Desde hace más de seis años, el código público lleva congelado, mientras que el sitio web en producción sigue robando fondos de forma activa con un código completamente diferente. El dominio está pagado hasta 2031; el operador no va a desaparecer.
Víctimas registradas
Al menos 15 casos notificados públicamente de robos de fondos en Trustpilot, Sitejabber, Reddit y GitHub Issues. Personas reales. Dinero real. Desaparecido.
15+
Informes públicos
590 XMR
La mayor cantidad individual (177 000 dólares)
0
Años de robos
$2M-$15M+
Total estimado
590 XMR (aprox. 177 000 dólares) — un solo robo, el caso más grave del que se tiene constancia
17,44 XMR — documentado con el ID de la transacción en la cadena de bloques
Robaron 20 XMR durante la noche — Se vació el monedero mientras el usuario dormía
Varios mensajes de «ID de transacción desconocido» — el swept etiqueta de firma
Se han eliminado las incidencias de GitHub n.º 13 y siguientes — El operador elimina los informes sobre víctimas del repositorio
Pruebas eliminadas, sin monedero para donaciones
El administrador elimina de forma activa las denuncias de las víctimas de GitHub Issues (todas las incidencias anteriores a la n.º 13 han desaparecido). La página afirma que acepta donaciones, pero Nunca se ha publicado ninguna dirección de monedero para donaciones. ¿Por qué un «proyecto independiente» que gasta entre 8 000 y 15 000 dólares al año rechazaría donaciones? Porque sus ingresos proceden del robo.
Cronología de los acontecimientos
Cronología 2014-2024: [REDACTED], más de 10 000 claves robadas —desde el lanzamiento de la web hasta las primeras víctimas y la identificación del operador—
Registrado a través de IANA #1479 con un Período de registro de 15 años (2016-2031). Se presenta como un monedero web gratuito y de código abierto para Monero.
Mayo de 2018
Se ha creado una organización en GitHub
La organización [REDACTED] en GitHub se creó el 2018-05-10 por nathroy (ID: 39167759). Código público publicado como una mera farsa de transparencia.
2018
Expulsado y código bloqueado
Operador de WiseSolution expulsado de r/Monero por spam promocional. Última actualización en GitHub por esas fechas. Empiezan a borrarse los informes de incidencias de las víctimas (las incidencias n.º 1 a n.º 12 han desaparecido).
2018 – 2024
Seis años de silencio
El repositorio público está congelado. El código de producción difiere por completo, con JavaScript ofuscado, parámetros no documentados y puntos de acceso con puertas traseras. Se acumulan las denuncias de las víctimas en Trustpilot y Reddit.
El análisis del tráfico de red revela que session_key Exfiltración. La desofuscación de JavaScript lo confirma raw_tx = 0 Secuestro de transacciones. Pruebas publicadas en GitHub Issues #35 & #36.
Febrero de 2026
Informe publicado — El dominio sigue activo
Se ha publicado el informe técnico completo. [REDACTED] sigue en línea. El dominio se ha pagado a través de 2031. DDoS-Guard ofrece resistencia ante los ataques de retirada.
Pruebas completas y material de referencia
Todas las afirmaciones de este artículo están respaldadas por pruebas verificables públicamente. Descarga los informes. Verifica el código. Comprueba tú mismo las capturas de red.
Monerujo (Android) — Código abierto con compatibilidad con Tor Cartera Cake (iOS/Android) — Compatible con varias monedas, bien mantenido
La regla de oro de las criptomonedas
Nunca introduzcas tu frase de semillas, tus claves privadas ni tus claves de visualización en cualquier página web. Las carteras legítimas funcionan de forma local; nunca necesitan enviar tus claves a un servidor. Si una cartera web te pide tus claves privadas, se trata de una estafa. Para garantizar la máxima seguridad, utiliza una cartera de hardware ([REDACTED], [REDACTED]) con el software oficial de Monero.
Proteger a la comunidad
[REDACTED] lleva 10 años robando Monero. Las pruebas son públicas. Se ha identificado al operador. Comparte esta investigación. Denuncia el dominio. Ayúdanos a cerrarlo.