Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / FR / XMRWALLET EXPOSED

[REDACTED] démasqué : 10 ans de clés volées

The Enablers Registry·Editorial mirror·/fr/xmrwallet-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Enquête technique approfondie sur un portefeuille Web Monero qui encode en Base64 votre clé privée de consultation sous la forme d'un session_key token, le divulgue dans plus de 40 requêtes API par session, puis annule votre transaction avec raw_tx = 0 et le modifie pour dérober vos fonds. Actif depuis 2016. L'opérateur a été identifié.

En activité depuis 2016 Plus de 40 fuites de clés / session Protégé par DDoS-Guard
[REDACTED] démasqué
0
Années d'activité
40+
Fuites de clés par session
$2M-$15M+
Montant total estimé des biens volés
0
Mises à jour de GitHub depuis 2018

La façade

[REDACTED] se présente comme un portefeuille Monero gratuit, open source et fonctionnant côté client. Aucun téléchargement. Aucune inscription. Ses conditions d'utilisation contiennent une mention très précise :

« Toutes les opérations cryptographiques s'effectuent dans votre navigateur. Le serveur n'a aucun moyen d'accéder à vos clés privées. »

— Conditions d'utilisation de [REDACTED] (manifestement fausses)

C'est un mensonge. Notre analyse technique — captures réseau, déobfuscation du code JavaScript et comparaison du code de production — prouve exactement le contraire. Chaque clé saisie sur [REDACTED] est volée. Chaque transaction peut être détournée.

Production vs GitHub : Divergence totale

Le dépôt GitHub public n'a pas reçu le moindre commit depuis novembre 2018. Le site de production utilise un code totalement différent, avec des paramètres non documentés qui ne figurent pas dans le dépôt :

  • session_key — Jeton d'exfiltration de la clé de vue encodé en Base64
  • verification — canal d'exfiltration secondaire
  • timestamp — paramètre de suivi de session
  • data — conteneur de charge utile supplémentaire

Domaine enregistré via IANA #1479 en 2016 — prépayé via 2031. Quinze ans d'inscription à un « projet libre et indépendant ».

Attaque n° 1 : Exfiltration des clés de vue

Lorsque vous vous connectez à [REDACTED], votre clé de visualisation privée est encodée en Base64 et intégrée dans un session_key jeton. Ce jeton est ensuite transmis au serveur avec chaque requête API — Plus de 40 fois en une seule séance.

La structure session_key

session_key = [blob_crypté]:[base64_address]:[base64_private_viewkey]

// Decoded example:
// blob: a3f8c2... (session identifier)
// address: 4A1BxN... (your Monero public address)
// viewkey: VOTRE CLÉ DE VISUALISATION PRIVÉE EN TEXTE CLAIR

Les captures réseau de [REDACTED] WebExtension confirment que ce jeton est transmis 6 points de terminaison API distincts soit un total de plus de 40 requêtes POST par session :

Point de terminaison de l'APIRequêtes / SessionFuite de la clé de session (session_key)
/api/getheightsync12 Oui
/api/gettransactions10 Oui
/api/getbalance6 Oui
/api/getsubaddresses4 Oui
/api/getoutputs3 Oui
/api/support_login1 Oui

Plus de 40 copies de votre clé privée

Une seule session de connexion transmet votre clé privée de visualisation au serveur au moins 36 fois. Le serveur n'a pas besoin de votre clé pour aucune de ces opérations : les vérifications de solde et les synchronisations de hauteur sont des requêtes publiques sur la blockchain. Il n'y a absolument aucune raison légitime de transmettre des données de clé. Preuve complète de la capture du réseau : [REDACTED] — Problème n° 36 sur GitHub — Afficher les preuves d'exfiltration de clés.

Attaque n° 2 : détournement de transaction

Le vol de la clé « View » permet à l'attaquant regarder votre portefeuille. Mais [REDACTED] va plus loin : il vole vos fonds en temps réel. Le code JavaScript de production désobfusqué révèle une séquence d'attaque en 5 étapes :

// Step 1: Client builds a legitimate transaction
cnUtil.create_transaction() → raw_tx_and_hash

// Step 2: Client transaction is NULLIFIED
raw_tx_and_hash.raw = 0;

// Step 3: Only metadata sent to server (no real tx)
PUBLICATION /api/submit_raw_tx { brut : 0, métadonnées : {...} }

// Step 4: Server rebuilds its OWN transaction
// using your keys + its destination address

// Step 5: Stolen transactions tagged internally
si(type == « balayé ») → transaction redirigée par l'attaquant

Votre portefeuille indique « transaction envoyée ». Vos fonds parviennent à l'adresse du pirate. Les victimes voient « Identifiant de transaction inconnu » lorsqu’ils tentent de les vérifier sur des explorateurs de blocs. Les transactions marquées en interne comme swept sont celles qui ont été volées.

Votre transaction n'a jamais existé

raw_tx_and_hash.raw = 0 Cela signifie que la transaction générée par le client est ignorée. Le serveur crée une toute nouvelle transaction à l'aide de vos clés et envoie vos XMR à l'attaquant. Le message « succès » qui s'affiche est mensonger. Analyse détaillée du code : [REDACTED] — Problème n° 35 sur GitHub — Preuve de détournement de transaction.

Code de production caché

[REDACTED] gère un dépôt GitHub public afin de paraître légitime. Ce dépôt n'est qu'un leurre. Il n'a pas été mis à jour depuis novembre 2018. Le site de production utilise un code totalement différent, obscurci.

GitHub public (leurre)

  • Dernière modification : novembre 2018
  • Non session_key paramètre
  • Non verification param
  • Non /support_login.html
  • Pas de Google Tag Manager
  • Un code clair et vérifiable

Site de production (réel)

  • Mise à jour régulière pour la période 2024-2026
  • session_key avec la clé de visualisation Base64
  • verification canal d'exfiltration
  • /support_login.html porte dérobée
  • Injection de code JavaScript à distance via GTM
  • Code obscurci et non vérifiable

La porte dérobée et l'injection de code à distance

Le site de production comprend /support_login.html — un point de terminaison administratif caché, totalement absent du dépôt GitHub. Associé à Google Tag Manager (conteneur GTM) Grâce à cette intégration, l'opérateur peut à tout moment injecter et modifier à distance du code JavaScript sur le site en ligne, sans avoir à mettre à jour le code source public. Il s'agit d'un vecteur d'exécution de code à distance déguisé en outil d'analyse.

Une infrastructure à toute épreuve

[REDACTED] n'utilise pas d'hébergement mutualisé bon marché. Le site fonctionne sur une infrastructure haut de gamme à toute épreuve, spécialement choisie pour résister aux demandes de retrait et aux autorités judiciaires.

Indicateurs clés de performance (KPI) relatifs à l'hébergement et au réseau

IndicateurValeur
Domaine[REDACTED]
Secrétaire généralIANA #1479 (2016 – 2031, enregistrement pour 15 ans)
Fournisseur d'hébergementIANA #1241 (à partir de 550 $ par mois)
Adresse IP186.2.165.49
ASNAS59692
CDN / Protection contre les attaques DDoSDDoS-Guard
Serveur WebApache 2.4.58 (Ubuntu)
Back-endPHP 8.2.29
Certificat SSLLet's Encrypt (renouvellement automatique)
Miroir Tor[REDACTED].onion
Coût annuel des infrastructures$8,000 – $15,000+

Indicateurs clés de performance (IOC) en matière de suivi et d'analyse

SuiviRequêtes / SessionIdentifiant
Google Tag Manager12Conteneur GTM
Google Analytics (UA)12UA-116766241-1
Google Analytics 45Flux GA4
DoubleClick1Pixel de suivi publicitaire
Cookies DDoS-Guard __ddg8_, __ddg9_, __ddg10_, __ddg1_

$8K-$15K/Year for a "Free Volunteer Wallet"

Un portefeuille gratuit légitime ne dépense pas plus de 550 $ par mois pour l'hébergement « bulletproof » d'IANA #1241, protégé par DDoS-Guard — une infrastructure spécialement conçue pour résister aux plaintes pour abus et aux assignations des forces de l'ordre. Il n'enregistre pas de nom de domaine pour une durée de 15 ans. Il n’utilise pas Google Analytics pour le suivi d’un portefeuille Monero « axé sur la confidentialité ». Il s’agit d’une infrastructure conçue dans un seul but : des vols répétés à grande échelle.

Opératrice identifiée : Nathalie Roy

Les renseignements issus de sources ouvertes permettent de remonter directement à un seul individu à partir de l'infrastructure de [REDACTED].

ChampDétails
NomNathalie Roy
LieuCanada
Nom d'utilisateur GitHubnathroy (ID : 39167759)
Organisation GitHub[REDACTED] (créé le 10 mai 2018)
E-mail (Admin)admin@[REDACTED]
E-mail (personnel)royn5094@protonmail.com
Redditu/WiseSolution (banni de r/Monero)
Twitter[REDACTED]
Serveur de messagerie (MX)[REDACTED]

Interdit, démasqué, toujours actif

Nathalie Roy a été exclue du site officiel subreddit r/Monero en 2018 pour promouvoir [REDACTED]. La dernière mise à jour sur GitHub remonte à la même année. Depuis plus de six ans, le code public est figé, tandis que le site en production détourne activement des fonds à l'aide d'un code totalement différent. Le nom de domaine est payé jusqu'en 2031 — l'exploitant n'est pas près de disparaître.

Victimes recensées

Au moins 15 cas signalés publiquement des cas de détournement de fonds signalés sur Trustpilot, Sitejabber, Reddit et GitHub Issues. De vraies personnes. De l'argent réel. Disparu.

15+
Rapports publics
590 XMR
Le plus gros montant isolé (177 000 dollars)
0
Des années de vols
$2M-$15M+
Total estimé
  • 590 XMR (environ 177 000 $) — un seul vol, le plus important cas recensé
  • 17,44 XMR — enregistré sur la blockchain avec l'identifiant de la transaction
  • 20 XMR ont été volés pendant la nuit — le portefeuille a été vidé pendant que l'utilisateur dormait
  • Plusieurs signalements d'« identifiant de transaction inconnu » — le swept signature de balise
  • Suppression des tickets GitHub n° 13 et suivants — l'opérateur supprime les signalements de victimes de la base de données

Preuves supprimées, pas de portefeuille de dons

L'administrateur supprime systématiquement les signalements des victimes sur GitHub Issues (tous les tickets antérieurs au n° 13 ont disparu). Le site prétend accepter les dons, mais Aucune adresse de portefeuille destinée aux dons n'a jamais été publiée.. Pourquoi un « projet indépendant » dépensant entre 8 000 et 15 000 dollars par an refuserait-il des dons ? Parce que ses revenus proviennent du vol.

Chronologie des événements

Chronologie 2014-2024 : [REDACTED] – plus de 10 000 clés volées – du lancement du site aux premières victimes, jusqu’à l’identification de l’exploitant
Chronologie 2014-2024 : [REDACTED] – plus de 10 000 clés volées – du lancement du site aux premières victimes, jusqu’à l’identification de l’exploitant
2016

Domaine enregistré — [REDACTED]

Enregistré via IANA #1479 avec un Période d'enregistrement de 15 ans (2016-2031). Se présente comme un portefeuille web Monero gratuit et open source.

mai 2018

Organisation GitHub créée

L'organisation GitHub [REDACTED] a été créée le 2018-05-10 par nathroy (ID : 39167759). Code public publié dans le cadre d'une opération de façade visant à donner une image de transparence.

2018

Interdit et code gelé

Opérateur chez WiseSolution banni de r/Monero pour du spam promotionnel. Dernière modification sur GitHub à cette période. Les rapports d'incident des victimes commencent à être supprimés (les tickets n° 1 à n° 12 ont disparu).

2018 – 2024

6 ans de silence

Le dépôt public a été gelé. Le code de production s'écarte complètement de celui d'origine, avec du JavaScript obfusqué, des paramètres non documentés et des points de terminaison contenant des portes dérobées. Les témoignages des victimes s'accumulent sur Trustpilot et Reddit.

2025 – 2026

Enquête « THE ENABLERS REGISTRY »

L'analyse du trafic réseau révèle que session_key exfiltration. La désobfuscation du code JavaScript le confirme raw_tx = 0 détournement de transaction. Preuves publiées sur GitHub Issues #35 & #36.

février 2026

Rapport publié — Domaine toujours actif

Le rapport technique complet a été publié. [REDACTED] reste en ligne. Le nom de domaine a été payé via 2031. DDoS-Guard assure une résistance aux attaques visant à mettre le site hors service.

Ensemble des éléments de preuve et des documents sources

Chaque affirmation contenue dans cet article s'appuie sur des preuves vérifiables par tout un chacun. Téléchargez les rapports. Vérifiez le code. Examinez vous-même les captures réseau.

Alternatives sûres

Ne saisissez jamais vos clés privées sur un portefeuille en ligne, quel qu'il soit. Point final. Utilisez des logiciels certifiés et audités qui s'exécutent localement sur votre appareil.

Portefeuilles de bureau

Interface graphique Monero — Portefeuille officiel, complet, open source, audité
Portefeuille « Feather » — Un portefeuille de bureau léger, rapide et axé sur la confidentialité

Portefeuilles mobiles

Monerujo (Android) — Logiciel libre compatible avec Tor
Portefeuille Cake (iOS/Android) — Prise en charge de plusieurs cryptomonnaies, bien entretenu

La règle d'or de la cryptomonnaie

Ne saisissez jamais votre phrase de récupération, vos clés privées ou vos clés de consultation sur n'importe quel site web. Les portefeuilles fiables fonctionnent en local : ils n'ont jamais besoin d'envoyer vos clés à un serveur. Si un portefeuille en ligne vous demande vos clés privées, il s'agit d'une arnaque. Pour une sécurité maximale, utilisez un portefeuille matériel ([REDACTED], [REDACTED]) avec le logiciel officiel de Monero.

Protéger la communauté

[REDACTED] vole du Monero depuis 10 ans. Les preuves sont publiques. L'exploitant a été identifié. Partagez cette enquête. Signalez ce domaine. Aidez-nous à le faire fermer.

Enquêtes connexes

La fin de [REDACTED] : IANA #1479 a menti pour protéger un voleur de cryptomonnaies ayant dérobé 2 millions de dollars
ENQUÊTE
La fin de [REDACTED] : IANA #1479 a menti pour protéger un voleur de cryptomonnaies ayant dérobé 2 millions de dollars
Panneau consacré au phishing de [REDACTED] : 239 000 dollars volés, 6 opérateurs
ENQUÊTE APPROFONDIE
Panneau consacré au possibly phishing de [REDACTED] : 239 000 dollars volés, 6 opérateurs
ENQUÊTE APPROFONDIE
Crypto Drainer Toolkit : les revendeurs d'Angel Drainer démasqués

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings