Archive LiveRead-only public record · No ads · No tracking
CASE / HI / XMRWALLET EXPOSED
[REDACTED] बेनकाब: चोरी की चाबियों के 10 साल
The Enablers Registry·Editorial mirror·/hi/xmrwallet-exposed
Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.
एक मोनेरो वेब वॉलेट में गहन फोरेंसिक जांच जो आपकी निजी व्यू की को Base64 में एन्कोड करती है। session_key
टोकन, इसे प्रति सत्र 40+ API अनुरोधों में लीक करता है, फिर आपके लेनदेन को रद्द कर देता है
raw_tx = 0
और आपके फंड चुराने के लिए इसे फिर से बनाता है। 2016 से सक्रिय। ऑपरेटर की पहचान हो गई है।
~9 मिनट में पढ़ें·
अद्यतन किया गया मार्च २०२६·
फिश को नष्ट करो खुफिया जानकारी
2016 से सक्रिय40+ मुख्य लीक / सत्रडीडीओएस-गार्ड सुरक्षित
0
सक्रिय वर्षों
40+
प्रति सत्र प्रमुख रिसाव
$2M-$15M+
अनुमानित कुल चोरी
0
2018 से गिटहब अपडेट्स
मुखौटा
एक्सएमआरवॉलेट डॉट कॉम अपने आप को एक मुफ्त, ओपन-सोर्स, क्लाइंट-साइड मोनेरो वॉलेट के रूप में प्रस्तुत करता है। कोई डाउनलोड नहीं। कोई पंजीकरण नहीं। उनकी सेवा की शर्तें एक बहुत ही विशिष्ट दावा करती हैं:
सभी क्रिप्टोग्राफ़िक संचालन आपके ब्राउज़र में ही होते हैं। सर्वर के पास आपकी निजी कुंजियों तक पहुँचने की कोई क्षमता नहीं है।
यह झूठ है। हमारा फोरेंसिक विश्लेषण — नेटवर्क कैप्चर, जावास्क्रिप्ट डीऑब्फस्केशन, और प्रोडक्शन कोड की तुलना — इसके ठीक विपरीत साबित करता है। [REDACTED] पर दर्ज की गई हर कुंजी चोरी हो जाती है। हर लेनदेन को हाईजैक किया जा सकता है।
प्रोडक्शन बनाम गिटहब:
पूर्ण विचलन
द
सार्वजनिक गिटहब रिपॉजिटरी
तब से एक भी कमिट प्राप्त नहीं हुआ है
नवंबर 2018. उत्पादन साइट पूरी तरह से अलग कोड चलाती है, जिसमें रेपो में मौजूद नहीं
अनुपालित पैरामीटर शामिल हैं:
session_key — Base64-एन्कोडेड व्यू की एक्सफिल्ट्रेशन टोकन
verification — द्वितीयक निकासी मार्ग
timestamp — सत्र ट्रैकिंग पैरामीटर
data — अतिरिक्त पेलोड कंटेनर
द्वारा पंजीकृत डोमेन नेमसाइलो 2016 में — प्री-पेड के माध्यम से 2031. एक "मुक्त स्वतंत्र परियोजना" के लिए पंद्रह वर्षों का पंजीकरण।
हमला #1: व्यू की एक्सफिल्ट्रेशन
जब आप [REDACTED] में लॉग इन करते हैं, तो आपकी निजी व्यू कुंजी Base64-एनकोड की जाती है और एक में एम्बेड की जाती है। session_key टोकन। यह टोकन फिर सर्वर को के साथ प्रेषित किया जाता है। प्रत्येक एपीआई अनुरोध — एक ही सत्र में 40+ बार।
session_key संरचना
सत्र कुंजी = [एन्क्रिप्टेड ब्लॉब]:[बेस64_पता]:[बेस64_निजी_व्यूकी]
// Decoded example: // blob: a3f8c2... (session identifier) // address: 4A1BxN... (your Monero public address) // viewkey: आपकी निजी दृश्य कुंजी सादा पाठ में
[REDACTED] वेबएक्सटेंशन नेटवर्क कैप्चर से यह पुष्टि होती है कि यह टोकन भेजा गया है। 6 विशिष्ट एपीआई एंडपॉइंट्स प्रति सत्र कुल 40+ POST अनुरोध:
एपीआई एंडपॉइंट
अनुरोध / सत्र
लीक session_key
/api/getheightsync
12
हाँ
/api/gettransactions
10
हाँ
/api/getbalance
6
हाँ
/api/getsubaddresses
4
हाँ
/api/getoutputs
3
हाँ
/api/support_login
1
हाँ
आपकी निजी कुंजी की 40+ प्रतियाँ
एक ही लॉगिन सत्र आपकी निजी दृश्य कुंजी को सर्वर पर भेजता है। कम से कम 36 बार. सर्वर को इन सभी ऑपरेशनों के लिए आपकी कुंजी की आवश्यकता नहीं है — बैलेंस चेक और हाइट सिंक सार्वजनिक ब्लॉकचेन क्वेरीज़ हैं। कुंजी सामग्री प्रसारित करने का कोई वैध कारण नहीं है। पूर्ण नेटवर्क कैप्चर साक्ष्य: [REDACTED] गिटहब इश्यू #36 — कुंजी चोरी के सबूत देखें.
हमला #2: लेनदेन अपहरण
मुख्य चोरी हमलावर को अनुमति देती है देखो आपकी जेब। लेकिन [REDACTED] इससे भी आगे जाता है — यह वास्तविक समय में आपके फंड चुरा लेता है। डीऑब्फस्क्ड प्रोडक्शन जावास्क्रिप्ट एक 5-चरणीय हमले की श्रृंखला प्रकट करती है:
आपका वॉलेट "लेनदेन भेजा गया" दिखाता है। आपके फंड हमलावर के पते पर पहुँच जाते हैं। पीड़ित देखते हैं अज्ञात लेनदेन आईडी जब वे ब्लॉक एक्सप्लोरर्स पर सत्यापित करने की कोशिश करते हैं। लेनदेन आंतरिक रूप से टैग किए गए हैं swept चोरी किए हुए हैं।
आपका लेनदेन कभी हुआ ही नहीं
raw_tx_and_hash.raw = 0 इसका मतलब है कि क्लाइंट द्वारा उत्पन्न लेनदेन को रद्द कर दिया जाता है। सर्वर आपकी कुंजियों का उपयोग करके एक पूरी तरह से नया लेनदेन बनाता है और आपका XMR हमलावर को भेज देता है। जो "success" संदेश आप देखते हैं वह झूठ है। विस्तृत कोड विश्लेषण: [REDACTED] गिटहब इश्यू #35 — ट्रांजैक्शन हाईजैकिंग का प्रमाण.
छिपा हुआ उत्पादन कोड
[REDACTED] वैध दिखने के लिए एक सार्वजनिक GitHub रिपॉजिटरी बनाए रखता है। यह रिपॉजिटरी एक झांसा है। तब से इसमें कोई छेड़छाड़ नहीं की गई है। नवंबर 2018उत्पादन साइट पूरी तरह से अलग, अस्पष्ट कोड चलाती है।
सार्वजनिक गिटहब (डिकॉय)
अंतिम कमिट: नवम्बर 2018
नहीं session_key परिमाण
नहीं verification पैरामीटर
नहीं /support_login.html
कोई गूगल टैग मैनेजर नहीं
स्वच्छ, लेखा-परीक्षण योग्य कोड
उत्पादन स्थल (वास्तविक)
सक्रिय रूप से अद्यतन 2024-2026
session_key बेस64 व्यूकी के साथ
verification निकास चैनल
/support_login.html पछवाड़ा
जीटीएम रिमोट जेएस इंजेक्शन
अस्पष्ट, अडिट न हो सकने वाला कोड
बैकडोर और रिमोट कोड इंजेक्शन
उत्पादन स्थल में शामिल हैं /support_login.html — एक छिपा हुआ प्रशासनिक एंडपॉइंट जो GitHub रिपॉजिटरी में पूरी तरह से अनुपस्थित है। के साथ संयुक्त गूगल टैग मैनेजर (जीटीएम-कंटेनर) एकीकरण के दौरान, ऑपरेटर सार्वजनिक कोडबेस को अपडेट किए बिना किसी भी समय लाइव साइट पर दूरस्थ रूप से जावास्क्रिप्ट इंजेक्ट और संशोधित कर सकता है। यह एनालिटिक्स के भेष में एक दूरस्थ कोड निष्पादन वेक्टर है।
गोलीबारी-रोधी बुनियादी ढांचा
[REDACTED] सस्ती साझा होस्टिंग का उपयोग नहीं करता है। यह प्रीमियम बुलेटप्रूफ इन्फ्रास्ट्रक्चर पर चलता है, जिसे विशेष रूप से टकडाउन अनुरोधों और कानून प्रवर्तन का सामना करने के लिए चुना गया है।
होस्टिंग और नेटवर्क IOCs
सूचक
मूल्य
डोमेन
एक्सएमआरवॉलेट डॉट कॉम
पंजीयक
नेमसाइलो (2016 – 2031, 15-वर्षीय पंजीकरण)
होस्टिंग प्रदाता
आईक्यूवेब एफजेड-एलएलसी ($550+/माह)
आईपी पता
186.2.165.49
एएसएन
एएस59692
सीडीएन / डीडीओएस सुरक्षा
डीडीओएस-गार्ड
वेब सर्वर
अपाचे 2.4.58 (उबंटू)
बैकएंड
PHP 8.2.29
एसएसएल प्रमाणपत्र
लेट्स एन्क्रिप्ट (स्वचालित नवीनीकृत)
टोर मिरर
[REDACTED].onion
वार्षिक अवसंरचना लागत
$8,000 – $15,000+
ट्रैकिंग एवं विश्लेषण IOCs
ट्रैकर
अनुरोध / सत्र
पहचानकर्ता
गूगल टैग मैनेजर
12
जीटीएम कंटेनर
गूगल एनालिटिक्स (यूए)
12
UA-116766241-1
गूगल एनालिटिक्स 4
5
जीए4 स्ट्रीम
डबलक्लिक
1
विज्ञापन ट्रैकिंग पिक्सेल
डीडीओएस-गार्ड कुकीज़
—
__ddg8_, __ddg9_, __ddg10_, __ddg1_
$8K-$15K/Year for a "Free Volunteer Wallet"
एक वैध मुफ्त वॉलेट DDoS-Guard के पीछे IANA #1241 की बुलेटप्रूफ होस्टिंग पर प्रति माह $550+ खर्च नहीं करता — यह वह अवसंरचना है जिसे विशेष रूप से दुरुपयोग की शिकायतों और कानून प्रवर्तन के समन का सामना करने के लिए डिज़ाइन किया गया है। यह 15 वर्षों के लिए कोई डोमेन पंजीकृत नहीं करता। यह "गोपनीयता-केंद्रित" मोनेरो वॉलेट पर Google Analytics ट्रैकिंग नहीं चलाता। यह एक ही उद्देश्य के लिए निर्मित अवसंरचना है: बड़े पैमाने पर लगातार चोरी.
ऑपरेटर की पहचान: नताली रॉय
ओपन-सोर्स खुफिया जानकारी [REDACTED] के बुनियादी ढांचे को सीधे एक ही व्यक्ति से जोड़ती है।
नताली रॉय को आधिकारिक से प्रतिबंधित कर दिया गया था आर/मोनेरो सबरेडिट 2018 में [REDACTED] को बढ़ावा देने के लिए। आखिरी GitHub कमिट उसी साल हुई थी। छह से अधिक वर्षों से सार्वजनिक कोड स्थिर पड़ा है, जबकि प्रोडक्शन साइट पूरी तरह से अलग कोड के साथ सक्रिय रूप से धन चुरा रही है। डोमेन का भुगतान 2031 तक किया गया है — ऑपरेटर कहीं नहीं जा रहा है।
दर्ज किए गए पीड़ित
कम से कम सार्वजनिक रूप से रिपोर्ट किए गए 15 मामले ट्रस्टपायलट, साइटजैबर, रेडिट और गिटहब इश्यूज़ पर फंड चोरी। असली लोग। असली पैसा। गायब।
15+
सार्वजनिक रिपोर्टें
590 एक्सएमआर
सबसे बड़ा एकल ($177K)
0
चोरी के साल
$2M-$15M+
अनुमानित कुल
590 XMR (~$177,000) — एकल चोरी, सबसे बड़ा प्रलेखित मामला
१७.४४ एक्सएमआर — ऑन-चेन लेनदेन आईडी के साथ प्रलेखित
रातों-रात 20 XMR चोरी हुए — उपयोगकर्ता के सोते समय वॉलेट खाली हुआ
"अज्ञात ट्रांज़ैक्शन आईडी" की कई रिपोर्टें — का swept टैग हस्ताक्षर
GitHub Issues #13+ हटाए गए — ऑपरेटर रिपो से पीड़ितों की रिपोर्टें हटाता है
मिटाए गए सबूत, कोई दान वॉलेट नहीं
ऑपरेटर सक्रिय रूप से GitHub Issues से पीड़ितों की रिपोर्टें हटाता है (#13 से पहले की सभी रिपोर्टें गायब हैं)। साइट दान स्वीकार करने का दावा करती है लेकिन कोई दान वॉलेट पता कभी प्रकाशित नहीं किया गया है।एक "स्वतंत्र परियोजना" जो सालाना $8K-$15K खर्च करती है, दान क्यों अस्वीकार करेगी? क्योंकि राजस्व चोरी से आता है।
घटनाओं की समयरेखा
समयरेखा 2014-2024: [REDACTED] 10,000+ चोरी की गई कुंजियाँ - साइट लॉन्च से लेकर पहले पीड़ितों तक और ऑपरेटर की पहचान तक
IANA #1479 के साथ एक के माध्यम से पंजीकृत 15-वर्षीय पंजीकरण अवधि (2016-2031). एक मुफ्त ओपन-सोर्स मोनेरो वेब वॉलेट के रूप में प्रस्तुत करता है।
मई २०१८
GitHub संगठन बनाया गया
[REDACTED] GitHub संगठन बनाया गया 2018-05-10 नाथरॉय द्वारा (आईडी: 39167759)। पारदर्शिता थिएटर के रूप में सार्वजनिक कोड पुश किया गया।
2018
प्रतिबंधित और कोड स्थिर
ऑपरेटर यू/वाइजसॉल्यूशन r/Monero से प्रतिबंधित प्रचार संबंधी स्पैम के लिए। इस समय के आसपास आखिरी GitHub कमिट। पीड़ित के मुद्दे की रिपोर्टें हटाई जाने लगती हैं (मुद्दे #1–#12 गायब)।
२०१८ – २०२४
6 साल की खामोशी
सार्वजनिक रिपॉजिटरी फ्रीज़ हो गई है। प्रोडक्शन कोड पूरी तरह से obfuscated JS, बिना दस्तावेज़ित पैरामीटर और बैकडोर एंडपॉइंट्स के साथ अलग हो गया है। Trustpilot और Reddit पर पीड़ितों की रिपोर्टें जमा हो रही हैं।
२०२५ – २०२६
फिशडिस्ट्रॉय जांच
नेटवर्क ट्रैफ़िक विश्लेषण से पता चलता है session_key निष्कासन। जावास्क्रिप्ट डीऑब्फस्केशन पुष्टि करता है। raw_tx = 0 लेनदेन हाईजैकिंग। GitHub Issues पर प्रकाशित साक्ष्य। #35 & #36.
फरवरी २०२६
रिपोर्ट प्रकाशित — डोमेन अभी भी सक्रिय है
पूर्ण तकनीकी रिपोर्ट प्रकाशित। [REDACTED] ऑनलाइन बना हुआ है। डोमेन का भुगतान किया गया है। 2031. DDoS-गार्ड टेकडाउन प्रतिरोध प्रदान करता है।
पूर्ण साक्ष्य और स्रोत सामग्री
इस लेख में हर दावे के लिए सार्वजनिक रूप से सत्यापनीय साक्ष्य उपलब्ध हैं। रिपोर्टें डाउनलोड करें। कोड सत्यापित करें। नेटवर्क कैप्चर स्वयं जांचें।
कभी भी किसी वेब वॉलेट पर निजी कुंजी न डालें। बिंदु। सत्यापित, ऑडिट किया गया सॉफ़्टवेयर उपयोग करें जो आपके डिवाइस पर स्थानीय रूप से चलता हो।
डेस्कटॉप वॉलेट्स
मोनेरो जीयूआई — आधिकारिक वॉलेट, पूर्ण-विशेषताओं वाला, ओपन-सोर्स, ऑडिट किया हुआ पंख बटुआ — हल्का, तेज़, गोपनीयता-केंद्रित डेस्कटॉप वॉलेट
मोबाइल वॉलेट
मोनेरुजो (एंड्रॉइड) — टोर समर्थन के साथ ओपन-सोर्स केक वॉलेट (iOS/Android) — मल्टी-कॉइन, अच्छी तरह से रख-रखाव किया गया
क्रिप्टो का स्वर्णिम नियम
कभी भी अपना सीड फ्रेज़, प्राइवेट कीज़, या व्यू कीज़ पर दर्ज न करें। कोई भी वेबसाइटवैध वॉलेट्स स्थानीय रूप से चलते हैं — उन्हें कभी भी आपकी कीज़ सर्वर पर भेजने की ज़रूरत नहीं होती। अगर कोई वेब वॉलेट आपकी निजी कीज़ मांगता है, तो यह एक घोटाला है। अधिकतम सुरक्षा के लिए, आधिकारिक मोनेरो सॉफ़्टवेयर के साथ हार्डवेयर वॉलेट (लेजर, ट्रेज़ोर) का उपयोग करें।
समुदाय की रक्षा करें
[REDACTED] पिछले 10 वर्षों से मोनेरो चोरी कर रहा है। साक्ष्य सार्वजनिक हैं। ऑपरेटर की पहचान हो चुकी है। इस जांच को साझा करें। डोमेन की रिपोर्ट करें। इसे बंद कराने में हमारी मदद करें।