Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / HI / XMRWALLET EXPOSED

[REDACTED] बेनकाब: चोरी की चाबियों के 10 साल

The Enablers Registry·Editorial mirror·/hi/xmrwallet-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

एक मोनेरो वेब वॉलेट में गहन फोरेंसिक जांच जो आपकी निजी व्यू की को Base64 में एन्कोड करती है। session_key टोकन, इसे प्रति सत्र 40+ API अनुरोधों में लीक करता है, फिर आपके लेनदेन को रद्द कर देता है raw_tx = 0 और आपके फंड चुराने के लिए इसे फिर से बनाता है। 2016 से सक्रिय। ऑपरेटर की पहचान हो गई है।

2016 से सक्रिय 40+ मुख्य लीक / सत्र डीडीओएस-गार्ड सुरक्षित
एक्सएमआरवॉलेट बेनकाब
0
सक्रिय वर्षों
40+
प्रति सत्र प्रमुख रिसाव
$2M-$15M+
अनुमानित कुल चोरी
0
2018 से गिटहब अपडेट्स

मुखौटा

एक्सएमआरवॉलेट डॉट कॉम अपने आप को एक मुफ्त, ओपन-सोर्स, क्लाइंट-साइड मोनेरो वॉलेट के रूप में प्रस्तुत करता है। कोई डाउनलोड नहीं। कोई पंजीकरण नहीं। उनकी सेवा की शर्तें एक बहुत ही विशिष्ट दावा करती हैं:

सभी क्रिप्टोग्राफ़िक संचालन आपके ब्राउज़र में ही होते हैं। सर्वर के पास आपकी निजी कुंजियों तक पहुँचने की कोई क्षमता नहीं है।

[REDACTED] सेवा की शर्तें (स्पष्ट रूप से झूठी)

यह झूठ है। हमारा फोरेंसिक विश्लेषण — नेटवर्क कैप्चर, जावास्क्रिप्ट डीऑब्फस्केशन, और प्रोडक्शन कोड की तुलना — इसके ठीक विपरीत साबित करता है। [REDACTED] पर दर्ज की गई हर कुंजी चोरी हो जाती है। हर लेनदेन को हाईजैक किया जा सकता है।

प्रोडक्शन बनाम गिटहब: पूर्ण विचलन

सार्वजनिक गिटहब रिपॉजिटरी तब से एक भी कमिट प्राप्त नहीं हुआ है नवंबर 2018. उत्पादन साइट पूरी तरह से अलग कोड चलाती है, जिसमें रेपो में मौजूद नहीं अनुपालित पैरामीटर शामिल हैं:

  • session_key — Base64-एन्कोडेड व्यू की एक्सफिल्ट्रेशन टोकन
  • verification — द्वितीयक निकासी मार्ग
  • timestamp — सत्र ट्रैकिंग पैरामीटर
  • data — अतिरिक्त पेलोड कंटेनर

द्वारा पंजीकृत डोमेन नेमसाइलो 2016 में — प्री-पेड के माध्यम से 2031. एक "मुक्त स्वतंत्र परियोजना" के लिए पंद्रह वर्षों का पंजीकरण।

हमला #1: व्यू की एक्सफिल्ट्रेशन

जब आप [REDACTED] में लॉग इन करते हैं, तो आपकी निजी व्यू कुंजी Base64-एनकोड की जाती है और एक में एम्बेड की जाती है। session_key टोकन। यह टोकन फिर सर्वर को के साथ प्रेषित किया जाता है। प्रत्येक एपीआई अनुरोध — एक ही सत्र में 40+ बार।

session_key संरचना

सत्र कुंजी = [एन्क्रिप्टेड ब्लॉब]:[बेस64_पता]:[बेस64_निजी_व्यूकी]

// Decoded example:
// blob: a3f8c2... (session identifier)
// address: 4A1BxN... (your Monero public address)
// viewkey: आपकी निजी दृश्य कुंजी सादा पाठ में

[REDACTED] वेबएक्सटेंशन नेटवर्क कैप्चर से यह पुष्टि होती है कि यह टोकन भेजा गया है। 6 विशिष्ट एपीआई एंडपॉइंट्स प्रति सत्र कुल 40+ POST अनुरोध:

एपीआई एंडपॉइंटअनुरोध / सत्रलीक session_key
/api/getheightsync12 हाँ
/api/gettransactions10 हाँ
/api/getbalance6 हाँ
/api/getsubaddresses4 हाँ
/api/getoutputs3 हाँ
/api/support_login1 हाँ

आपकी निजी कुंजी की 40+ प्रतियाँ

एक ही लॉगिन सत्र आपकी निजी दृश्य कुंजी को सर्वर पर भेजता है। कम से कम 36 बार. सर्वर को इन सभी ऑपरेशनों के लिए आपकी कुंजी की आवश्यकता नहीं है — बैलेंस चेक और हाइट सिंक सार्वजनिक ब्लॉकचेन क्वेरीज़ हैं। कुंजी सामग्री प्रसारित करने का कोई वैध कारण नहीं है। पूर्ण नेटवर्क कैप्चर साक्ष्य: [REDACTED] गिटहब इश्यू #36 — कुंजी चोरी के सबूत देखें.

हमला #2: लेनदेन अपहरण

मुख्य चोरी हमलावर को अनुमति देती है देखो आपकी जेब। लेकिन [REDACTED] इससे भी आगे जाता है — यह वास्तविक समय में आपके फंड चुरा लेता है। डीऑब्फस्क्ड प्रोडक्शन जावास्क्रिप्ट एक 5-चरणीय हमले की श्रृंखला प्रकट करती है:

// Step 1: Client builds a legitimate transaction
सीएनयूटीआईएल.लेनदेन बनाएँ() → कच्चा_ट्रांज़ैक्शन_और_हैश

// Step 2: Client transaction is NULLIFIED
कच्चा_ट्रांज़ैक्शन_और_हैश.कच्चा = 0;

// Step 3: Only metadata sent to server (no real tx)
पोस्ट /api/submit_raw_tx { कच्चा: 0, मेटाडेटा: {...} }

// Step 4: Server rebuilds its OWN transaction
// using your keys + its destination address

// Step 5: Stolen transactions tagged internally
यदि(प्रकार == पोंछा गया) → हमलावर-पुनर्निर्देशित लेनदेन

आपका वॉलेट "लेनदेन भेजा गया" दिखाता है। आपके फंड हमलावर के पते पर पहुँच जाते हैं। पीड़ित देखते हैं अज्ञात लेनदेन आईडी जब वे ब्लॉक एक्सप्लोरर्स पर सत्यापित करने की कोशिश करते हैं। लेनदेन आंतरिक रूप से टैग किए गए हैं swept चोरी किए हुए हैं।

आपका लेनदेन कभी हुआ ही नहीं

raw_tx_and_hash.raw = 0 इसका मतलब है कि क्लाइंट द्वारा उत्पन्न लेनदेन को रद्द कर दिया जाता है। सर्वर आपकी कुंजियों का उपयोग करके एक पूरी तरह से नया लेनदेन बनाता है और आपका XMR हमलावर को भेज देता है। जो "success" संदेश आप देखते हैं वह झूठ है। विस्तृत कोड विश्लेषण: [REDACTED] गिटहब इश्यू #35 — ट्रांजैक्शन हाईजैकिंग का प्रमाण.

छिपा हुआ उत्पादन कोड

[REDACTED] वैध दिखने के लिए एक सार्वजनिक GitHub रिपॉजिटरी बनाए रखता है। यह रिपॉजिटरी एक झांसा है। तब से इसमें कोई छेड़छाड़ नहीं की गई है। नवंबर 2018उत्पादन साइट पूरी तरह से अलग, अस्पष्ट कोड चलाती है।

सार्वजनिक गिटहब (डिकॉय)

  • अंतिम कमिट: नवम्बर 2018
  • नहीं session_key परिमाण
  • नहीं verification पैरामीटर
  • नहीं /support_login.html
  • कोई गूगल टैग मैनेजर नहीं
  • स्वच्छ, लेखा-परीक्षण योग्य कोड

उत्पादन स्थल (वास्तविक)

  • सक्रिय रूप से अद्यतन 2024-2026
  • session_key बेस64 व्यूकी के साथ
  • verification निकास चैनल
  • /support_login.html पछवाड़ा
  • जीटीएम रिमोट जेएस इंजेक्शन
  • अस्पष्ट, अडिट न हो सकने वाला कोड

बैकडोर और रिमोट कोड इंजेक्शन

उत्पादन स्थल में शामिल हैं /support_login.html — एक छिपा हुआ प्रशासनिक एंडपॉइंट जो GitHub रिपॉजिटरी में पूरी तरह से अनुपस्थित है। के साथ संयुक्त गूगल टैग मैनेजर (जीटीएम-कंटेनर) एकीकरण के दौरान, ऑपरेटर सार्वजनिक कोडबेस को अपडेट किए बिना किसी भी समय लाइव साइट पर दूरस्थ रूप से जावास्क्रिप्ट इंजेक्ट और संशोधित कर सकता है। यह एनालिटिक्स के भेष में एक दूरस्थ कोड निष्पादन वेक्टर है।

गोलीबारी-रोधी बुनियादी ढांचा

[REDACTED] सस्ती साझा होस्टिंग का उपयोग नहीं करता है। यह प्रीमियम बुलेटप्रूफ इन्फ्रास्ट्रक्चर पर चलता है, जिसे विशेष रूप से टकडाउन अनुरोधों और कानून प्रवर्तन का सामना करने के लिए चुना गया है।

होस्टिंग और नेटवर्क IOCs

सूचकमूल्य
डोमेनएक्सएमआरवॉलेट डॉट कॉम
पंजीयकनेमसाइलो (2016 – 2031, 15-वर्षीय पंजीकरण)
होस्टिंग प्रदाताआईक्यूवेब एफजेड-एलएलसी ($550+/माह)
आईपी पता186.2.165.49
एएसएनएएस59692
सीडीएन / डीडीओएस सुरक्षाडीडीओएस-गार्ड
वेब सर्वरअपाचे 2.4.58 (उबंटू)
बैकएंडPHP 8.2.29
एसएसएल प्रमाणपत्रलेट्स एन्क्रिप्ट (स्वचालित नवीनीकृत)
टोर मिरर[REDACTED].onion
वार्षिक अवसंरचना लागत$8,000 – $15,000+

ट्रैकिंग एवं विश्लेषण IOCs

ट्रैकरअनुरोध / सत्रपहचानकर्ता
गूगल टैग मैनेजर12जीटीएम कंटेनर
गूगल एनालिटिक्स (यूए)12UA-116766241-1
गूगल एनालिटिक्स 45जीए4 स्ट्रीम
डबलक्लिक1विज्ञापन ट्रैकिंग पिक्सेल
डीडीओएस-गार्ड कुकीज़ __ddg8_, __ddg9_, __ddg10_, __ddg1_

$8K-$15K/Year for a "Free Volunteer Wallet"

एक वैध मुफ्त वॉलेट DDoS-Guard के पीछे IANA #1241 की बुलेटप्रूफ होस्टिंग पर प्रति माह $550+ खर्च नहीं करता — यह वह अवसंरचना है जिसे विशेष रूप से दुरुपयोग की शिकायतों और कानून प्रवर्तन के समन का सामना करने के लिए डिज़ाइन किया गया है। यह 15 वर्षों के लिए कोई डोमेन पंजीकृत नहीं करता। यह "गोपनीयता-केंद्रित" मोनेरो वॉलेट पर Google Analytics ट्रैकिंग नहीं चलाता। यह एक ही उद्देश्य के लिए निर्मित अवसंरचना है: बड़े पैमाने पर लगातार चोरी.

ऑपरेटर की पहचान: नताली रॉय

ओपन-सोर्स खुफिया जानकारी [REDACTED] के बुनियादी ढांचे को सीधे एक ही व्यक्ति से जोड़ती है।

क्षेत्रविवरण
नामनाथाली रॉय
स्थानकनाडा
GitHub उपयोगकर्ता नामनाथरॉय (आईडी: 39167759)
GitHub संगठनएक्सएमआरवॉलेट (निर्मित 2018-05-10)
ईमेल (प्रशासक)admin@[REDACTED]
ईमेल (व्यक्तिगत)royn5094@protonmail.com
रेडिटयू/वाइज़सॉल्यूशन (r/Monero से प्रतिबंधित)
ट्विटर[REDACTED]
मेल सर्वर (MX)[REDACTED]

प्रतिबंधित, बेनकाब, फिर भी सक्रिय

नताली रॉय को आधिकारिक से प्रतिबंधित कर दिया गया था आर/मोनेरो सबरेडिट 2018 में [REDACTED] को बढ़ावा देने के लिए। आखिरी GitHub कमिट उसी साल हुई थी। छह से अधिक वर्षों से सार्वजनिक कोड स्थिर पड़ा है, जबकि प्रोडक्शन साइट पूरी तरह से अलग कोड के साथ सक्रिय रूप से धन चुरा रही है। डोमेन का भुगतान 2031 तक किया गया है — ऑपरेटर कहीं नहीं जा रहा है।

दर्ज किए गए पीड़ित

कम से कम सार्वजनिक रूप से रिपोर्ट किए गए 15 मामले ट्रस्टपायलट, साइटजैबर, रेडिट और गिटहब इश्यूज़ पर फंड चोरी। असली लोग। असली पैसा। गायब।

15+
सार्वजनिक रिपोर्टें
590 एक्सएमआर
सबसे बड़ा एकल ($177K)
0
चोरी के साल
$2M-$15M+
अनुमानित कुल
  • 590 XMR (~$177,000) — एकल चोरी, सबसे बड़ा प्रलेखित मामला
  • १७.४४ एक्सएमआर — ऑन-चेन लेनदेन आईडी के साथ प्रलेखित
  • रातों-रात 20 XMR चोरी हुए — उपयोगकर्ता के सोते समय वॉलेट खाली हुआ
  • "अज्ञात ट्रांज़ैक्शन आईडी" की कई रिपोर्टें — का swept टैग हस्ताक्षर
  • GitHub Issues #13+ हटाए गए — ऑपरेटर रिपो से पीड़ितों की रिपोर्टें हटाता है

मिटाए गए सबूत, कोई दान वॉलेट नहीं

ऑपरेटर सक्रिय रूप से GitHub Issues से पीड़ितों की रिपोर्टें हटाता है (#13 से पहले की सभी रिपोर्टें गायब हैं)। साइट दान स्वीकार करने का दावा करती है लेकिन कोई दान वॉलेट पता कभी प्रकाशित नहीं किया गया है।एक "स्वतंत्र परियोजना" जो सालाना $8K-$15K खर्च करती है, दान क्यों अस्वीकार करेगी? क्योंकि राजस्व चोरी से आता है।

घटनाओं की समयरेखा

समयरेखा 2014-2024: [REDACTED] 10,000+ चोरी की गई कुंजियाँ - साइट लॉन्च से लेकर पहले पीड़ितों तक और ऑपरेटर की पहचान तक
समयरेखा 2014-2024: [REDACTED] 10,000+ चोरी की गई कुंजियाँ - साइट लॉन्च से लेकर पहले पीड़ितों तक और ऑपरेटर की पहचान तक
2016

डोमेन पंजीकृत — [REDACTED]

IANA #1479 के साथ एक के माध्यम से पंजीकृत 15-वर्षीय पंजीकरण अवधि (2016-2031). एक मुफ्त ओपन-सोर्स मोनेरो वेब वॉलेट के रूप में प्रस्तुत करता है।

मई २०१८

GitHub संगठन बनाया गया

[REDACTED] GitHub संगठन बनाया गया 2018-05-10 नाथरॉय द्वारा (आईडी: 39167759)। पारदर्शिता थिएटर के रूप में सार्वजनिक कोड पुश किया गया।

2018

प्रतिबंधित और कोड स्थिर

ऑपरेटर यू/वाइजसॉल्यूशन r/Monero से प्रतिबंधित प्रचार संबंधी स्पैम के लिए। इस समय के आसपास आखिरी GitHub कमिट। पीड़ित के मुद्दे की रिपोर्टें हटाई जाने लगती हैं (मुद्दे #1–#12 गायब)।

२०१८ – २०२४

6 साल की खामोशी

सार्वजनिक रिपॉजिटरी फ्रीज़ हो गई है। प्रोडक्शन कोड पूरी तरह से obfuscated JS, बिना दस्तावेज़ित पैरामीटर और बैकडोर एंडपॉइंट्स के साथ अलग हो गया है। Trustpilot और Reddit पर पीड़ितों की रिपोर्टें जमा हो रही हैं।

२०२५ – २०२६

फिशडिस्ट्रॉय जांच

नेटवर्क ट्रैफ़िक विश्लेषण से पता चलता है session_key निष्कासन। जावास्क्रिप्ट डीऑब्फस्केशन पुष्टि करता है। raw_tx = 0 लेनदेन हाईजैकिंग। GitHub Issues पर प्रकाशित साक्ष्य। #35 & #36.

फरवरी २०२६

रिपोर्ट प्रकाशित — डोमेन अभी भी सक्रिय है

पूर्ण तकनीकी रिपोर्ट प्रकाशित। [REDACTED] ऑनलाइन बना हुआ है। डोमेन का भुगतान किया गया है। 2031. DDoS-गार्ड टेकडाउन प्रतिरोध प्रदान करता है।

पूर्ण साक्ष्य और स्रोत सामग्री

इस लेख में हर दावे के लिए सार्वजनिक रूप से सत्यापनीय साक्ष्य उपलब्ध हैं। रिपोर्टें डाउनलोड करें। कोड सत्यापित करें। नेटवर्क कैप्चर स्वयं जांचें।

सुरक्षित विकल्प

कभी भी किसी वेब वॉलेट पर निजी कुंजी न डालें। बिंदु। सत्यापित, ऑडिट किया गया सॉफ़्टवेयर उपयोग करें जो आपके डिवाइस पर स्थानीय रूप से चलता हो।

डेस्कटॉप वॉलेट्स

मोनेरो जीयूआई — आधिकारिक वॉलेट, पूर्ण-विशेषताओं वाला, ओपन-सोर्स, ऑडिट किया हुआ
पंख बटुआ — हल्का, तेज़, गोपनीयता-केंद्रित डेस्कटॉप वॉलेट

मोबाइल वॉलेट

मोनेरुजो (एंड्रॉइड) — टोर समर्थन के साथ ओपन-सोर्स
केक वॉलेट (iOS/Android) — मल्टी-कॉइन, अच्छी तरह से रख-रखाव किया गया

क्रिप्टो का स्वर्णिम नियम

कभी भी अपना सीड फ्रेज़, प्राइवेट कीज़, या व्यू कीज़ पर दर्ज न करें। कोई भी वेबसाइटवैध वॉलेट्स स्थानीय रूप से चलते हैं — उन्हें कभी भी आपकी कीज़ सर्वर पर भेजने की ज़रूरत नहीं होती। अगर कोई वेब वॉलेट आपकी निजी कीज़ मांगता है, तो यह एक घोटाला है। अधिकतम सुरक्षा के लिए, आधिकारिक मोनेरो सॉफ़्टवेयर के साथ हार्डवेयर वॉलेट (लेजर, ट्रेज़ोर) का उपयोग करें।

समुदाय की रक्षा करें

[REDACTED] पिछले 10 वर्षों से मोनेरो चोरी कर रहा है। साक्ष्य सार्वजनिक हैं। ऑपरेटर की पहचान हो चुकी है। इस जांच को साझा करें। डोमेन की रिपोर्ट करें। इसे बंद कराने में हमारी मदद करें।

संबंधित जांचें

[REDACTED] का अंत: $2M क्रिप्टो चोर की रक्षा के लिए IANA #1479 ने झूठ बोला
जांच
[REDACTED] का अंत: $2M क्रिप्टो चोर की रक्षा के लिए IANA #1479 ने झूठ बोला
ट्रस्ट वॉलेट फ़िशिंग पैनल: $239K चोरी, 6 ऑपरेटर
गहन जांच
ट्रस्ट वॉलेट फ़िशिंग पैनल: $239K चोरी, 6 ऑपरेटर
गहन जांच
क्रिप्टो ड्रेनर टूलकिट: एंजेल ड्रेनर पुनर्विक्रेता बेनकाब

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings