Archive LiveRead-only public record · No ads · No tracking
CASE / FR / XMRWALLET EXPOSED
[REDACTED] démasqué : 10 ans de clés volées
The Enablers Registry·Editorial mirror·/fr/xmrwallet-exposed
Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.
Enquête technique approfondie sur un portefeuille Web Monero qui encode en Base64 votre clé privée de consultation sous la forme d'un session_key
token, le divulgue dans plus de 40 requêtes API par session, puis annule
votre transaction avec
raw_tx = 0
et le modifie pour dérober vos fonds. Actif depuis 2016. L'opérateur
a été identifié.
En activité depuis 2016Plus de 40 fuites de clés / sessionProtégé par DDoS-Guard
0
Années d'activité
40+
Fuites de clés par session
$2M-$15M+
Montant total estimé des biens volés
0
Mises à jour de GitHub depuis 2018
La façade
[REDACTED] se présente comme un portefeuille Monero gratuit,
open source et fonctionnant côté client. Aucun téléchargement. Aucune
inscription. Ses conditions d'utilisation contiennent une mention très précise :
« Toutes les opérations cryptographiques s'effectuent dans votre navigateur. Le serveur n'a
aucun moyen d'accéder à vos clés privées. »
— Conditions d'utilisation de [REDACTED] (manifestement fausses)
C'est un mensonge. Notre analyse technique — captures réseau,
déobfuscation du code JavaScript et comparaison du code de production —
prouve exactement le contraire. Chaque clé saisie sur [REDACTED] est
volée. Chaque transaction peut être détournée.
Production vs GitHub :
Divergence totale
Le
dépôt GitHub public
n'a pas reçu le moindre commit depuis
novembre 2018. Le site de production utilise
un code totalement différent, avec des paramètres non documentés qui ne figurent pas dans
le dépôt :
session_key — Jeton d'exfiltration de la clé de vue encodé en Base64
verification — canal d'exfiltration secondaire
timestamp — paramètre de suivi de session
data — conteneur de charge utile supplémentaire
Domaine enregistré via IANA #1479 en 2016 — prépayé via 2031. Quinze ans d'inscription à un « projet libre et indépendant ».
Attaque n° 1 : Exfiltration des clés de vue
Lorsque vous vous connectez à [REDACTED], votre clé de visualisation privée est encodée en Base64 et intégrée dans un session_key jeton. Ce jeton est ensuite transmis au serveur avec chaque requête API — Plus de 40 fois en une seule séance.
// Decoded example: // blob: a3f8c2... (session identifier) // address: 4A1BxN... (your Monero public address) // viewkey: VOTRE CLÉ DE VISUALISATION PRIVÉE EN TEXTE CLAIR
Les captures réseau de [REDACTED] WebExtension confirment que ce jeton est transmis 6 points de terminaison API distincts soit un total de plus de 40 requêtes POST par session :
Point de terminaison de l'API
Requêtes / Session
Fuite de la clé de session (session_key)
/api/getheightsync
12
Oui
/api/gettransactions
10
Oui
/api/getbalance
6
Oui
/api/getsubaddresses
4
Oui
/api/getoutputs
3
Oui
/api/support_login
1
Oui
Plus de 40 copies de votre clé privée
Une seule session de connexion transmet votre clé privée de visualisation au serveur au moins 36 fois. Le serveur n'a pas besoin de votre clé pour aucune de ces opérations : les vérifications de solde et les synchronisations de hauteur sont des requêtes publiques sur la blockchain. Il n'y a absolument aucune raison légitime de transmettre des données de clé. Preuve complète de la capture du réseau : [REDACTED] — Problème n° 36 sur GitHub — Afficher les preuves d'exfiltration de clés.
Attaque n° 2 : détournement de transaction
Le vol de la clé « View » permet à l'attaquant regarder votre portefeuille. Mais [REDACTED] va plus loin : il vole vos fonds en temps réel. Le code JavaScript de production désobfusqué révèle une séquence d'attaque en 5 étapes :
Votre portefeuille indique « transaction envoyée ». Vos fonds parviennent à l'adresse du pirate. Les victimes voient « Identifiant de transaction inconnu » lorsqu’ils tentent de les vérifier sur des explorateurs de blocs. Les transactions marquées en interne comme swept sont celles qui ont été volées.
Votre transaction n'a jamais existé
raw_tx_and_hash.raw = 0 Cela signifie que la transaction générée par le client est ignorée. Le serveur crée une toute nouvelle transaction à l'aide de vos clés et envoie vos XMR à l'attaquant. Le message « succès » qui s'affiche est mensonger. Analyse détaillée du code : [REDACTED] — Problème n° 35 sur GitHub — Preuve de détournement de transaction.
Code de production caché
[REDACTED] gère un dépôt GitHub public afin de paraître légitime. Ce dépôt n'est qu'un leurre. Il n'a pas été mis à jour depuis novembre 2018. Le site de production utilise un code totalement différent, obscurci.
GitHub public (leurre)
Dernière modification : novembre 2018
Non session_key paramètre
Non verification param
Non /support_login.html
Pas de Google Tag Manager
Un code clair et vérifiable
Site de production (réel)
Mise à jour régulière pour la période 2024-2026
session_key avec la clé de visualisation Base64
verification canal d'exfiltration
/support_login.html porte dérobée
Injection de code JavaScript à distance via GTM
Code obscurci et non vérifiable
La porte dérobée et l'injection de code à distance
Le site de production comprend /support_login.html — un point de terminaison administratif caché, totalement absent du dépôt GitHub. Associé à Google Tag Manager (conteneur GTM) Grâce à cette intégration, l'opérateur peut à tout moment injecter et modifier à distance du code JavaScript sur le site en ligne, sans avoir à mettre à jour le code source public. Il s'agit d'un vecteur d'exécution de code à distance déguisé en outil d'analyse.
Une infrastructure à toute épreuve
[REDACTED] n'utilise pas d'hébergement mutualisé bon marché. Le site fonctionne sur une infrastructure haut de gamme à toute épreuve, spécialement choisie pour résister aux demandes de retrait et aux autorités judiciaires.
Indicateurs clés de performance (KPI) relatifs à l'hébergement et au réseau
Indicateurs clés de performance (IOC) en matière de suivi et d'analyse
Suivi
Requêtes / Session
Identifiant
Google Tag Manager
12
Conteneur GTM
Google Analytics (UA)
12
UA-116766241-1
Google Analytics 4
5
Flux GA4
DoubleClick
1
Pixel de suivi publicitaire
Cookies DDoS-Guard
—
__ddg8_, __ddg9_, __ddg10_, __ddg1_
$8K-$15K/Year for a "Free Volunteer Wallet"
Un portefeuille gratuit légitime ne dépense pas plus de 550 $ par mois pour l'hébergement « bulletproof » d'IANA #1241, protégé par DDoS-Guard — une infrastructure spécialement conçue pour résister aux plaintes pour abus et aux assignations des forces de l'ordre. Il n'enregistre pas de nom de domaine pour une durée de 15 ans. Il n’utilise pas Google Analytics pour le suivi d’un portefeuille Monero « axé sur la confidentialité ». Il s’agit d’une infrastructure conçue dans un seul but : des vols répétés à grande échelle.
Opératrice identifiée : Nathalie Roy
Les renseignements issus de sources ouvertes permettent de remonter directement à un seul individu à partir de l'infrastructure de [REDACTED].
Nathalie Roy a été exclue du site officiel subreddit r/Monero en 2018 pour promouvoir [REDACTED]. La dernière mise à jour sur GitHub remonte à la même année. Depuis plus de six ans, le code public est figé, tandis que le site en production détourne activement des fonds à l'aide d'un code totalement différent. Le nom de domaine est payé jusqu'en 2031 — l'exploitant n'est pas près de disparaître.
Victimes recensées
Au moins 15 cas signalés publiquement des cas de détournement de fonds signalés sur Trustpilot, Sitejabber, Reddit et GitHub Issues. De vraies personnes. De l'argent réel. Disparu.
15+
Rapports publics
590 XMR
Le plus gros montant isolé (177 000 dollars)
0
Des années de vols
$2M-$15M+
Total estimé
590 XMR (environ 177 000 $) — un seul vol, le plus important cas recensé
17,44 XMR — enregistré sur la blockchain avec l'identifiant de la transaction
20 XMR ont été volés pendant la nuit — le portefeuille a été vidé pendant que l'utilisateur dormait
Plusieurs signalements d'« identifiant de transaction inconnu » — le swept signature de balise
Suppression des tickets GitHub n° 13 et suivants — l'opérateur supprime les signalements de victimes de la base de données
Preuves supprimées, pas de portefeuille de dons
L'administrateur supprime systématiquement les signalements des victimes sur GitHub Issues (tous les tickets antérieurs au n° 13 ont disparu). Le site prétend accepter les dons, mais Aucune adresse de portefeuille destinée aux dons n'a jamais été publiée.. Pourquoi un « projet indépendant » dépensant entre 8 000 et 15 000 dollars par an refuserait-il des dons ? Parce que ses revenus proviennent du vol.
Chronologie des événements
Chronologie 2014-2024 : [REDACTED] – plus de 10 000 clés volées – du lancement du site aux premières victimes, jusqu’à l’identification de l’exploitant
Enregistré via IANA #1479 avec un Période d'enregistrement de 15 ans (2016-2031). Se présente comme un portefeuille web Monero gratuit et open source.
mai 2018
Organisation GitHub créée
L'organisation GitHub [REDACTED] a été créée le 2018-05-10 par nathroy (ID : 39167759). Code public publié dans le cadre d'une opération de façade visant à donner une image de transparence.
2018
Interdit et code gelé
Opérateur chez WiseSolution banni de r/Monero pour du spam promotionnel. Dernière modification sur GitHub à cette période. Les rapports d'incident des victimes commencent à être supprimés (les tickets n° 1 à n° 12 ont disparu).
2018 – 2024
6 ans de silence
Le dépôt public a été gelé. Le code de production s'écarte complètement de celui d'origine, avec du JavaScript obfusqué, des paramètres non documentés et des points de terminaison contenant des portes dérobées. Les témoignages des victimes s'accumulent sur Trustpilot et Reddit.
L'analyse du trafic réseau révèle que session_key exfiltration. La désobfuscation du code JavaScript le confirme raw_tx = 0 détournement de transaction. Preuves publiées sur GitHub Issues #35 & #36.
février 2026
Rapport publié — Domaine toujours actif
Le rapport technique complet a été publié. [REDACTED] reste en ligne. Le nom de domaine a été payé via 2031. DDoS-Guard assure une résistance aux attaques visant à mettre le site hors service.
Ensemble des éléments de preuve et des documents sources
Chaque affirmation contenue dans cet article s'appuie sur des preuves vérifiables par tout un chacun. Téléchargez les rapports. Vérifiez le code. Examinez vous-même les captures réseau.
Ne saisissez jamais vos clés privées sur un portefeuille en ligne, quel qu'il soit. Point final. Utilisez des logiciels certifiés et audités qui s'exécutent localement sur votre appareil.
Monerujo (Android) — Logiciel libre compatible avec Tor Portefeuille Cake (iOS/Android) — Prise en charge de plusieurs cryptomonnaies, bien entretenu
La règle d'or de la cryptomonnaie
Ne saisissez jamais votre phrase de récupération, vos clés privées ou vos clés de consultation sur n'importe quel site web. Les portefeuilles fiables fonctionnent en local : ils n'ont jamais besoin d'envoyer vos clés à un serveur. Si un portefeuille en ligne vous demande vos clés privées, il s'agit d'une arnaque. Pour une sécurité maximale, utilisez un portefeuille matériel ([REDACTED], [REDACTED]) avec le logiciel officiel de Monero.
Protéger la communauté
[REDACTED] vole du Monero depuis 10 ans. Les preuves sont publiques. L'exploitant a été identifié. Partagez cette enquête. Signalez ce domaine. Aidez-nous à le faire fermer.