ユーザーのプライベートビューキーをBase64エンコードして session_key
トークンを、セッションごとに40件以上のAPIリクエストを通じて漏洩させ、その後
あなたのトランザクションを無効化します
raw_tx = 0
そして、それを再構築して資金を盗み出します。2016年から活動中。運営者は
特定済みです。
2016年から活動中
1セッションあたり40件以上のキー漏洩
DDoS-Guardによる保護
ファサード
[REDACTED] は、無料の
オープンソースのクライアントサイドMoneroウォレットとして提供されています。ダウンロードも
登録も不要です。同サービスの利用規約には、次のような非常に具体的な記載があります:
「すべての暗号処理はブラウザ内で行われます。サーバーには
ユーザーの秘密鍵にアクセスする権限は一切ありません。」
—
[REDACTED] 利用規約(明らかに虚偽)
これは嘘です。私たちのフォレンジック分析――ネットワークキャプチャ、
JavaScriptの難読化解除、および本番コードの比較――
は、まったく逆の事実を証明しています。[REDACTED] で入力されたすべての鍵は
盗まれています。すべての取引は乗っ取られる可能性があります。
Production 対 GitHub:
完全な乖離
その
公開GitHubリポジトリ
それ以来、コミットは1件も行われていない
2018年11月 . 本番環境では、
リポジトリには含まれていない、ドキュメント化されていないパラメータを持つ、
まったく異なるコードが実行されています:
session_key — Base64エンコードされたビューキーの流出トークン verification — 二次的な情報流出経路 timestamp — セッション追跡パラメータ data — 追加のペイロードコンテナ ドメインは以下を通じて登録されました IANA #1479 2016年 — 以下の方法で前払い済み 2031 。「自由研究」として15年間登録されている。
攻撃その1:ビューキーの流出 [REDACTED] にログインすると、秘密鍵は Base64 エンコードされ、 session_key トークン。このトークンは、その後、 すべてのAPIリクエスト — 1回のセッションで40回以上。
session_key 構造体 session_key = [encrypted_blob] :[base64_address] :[base64_private_viewkey]
[REDACTED] WebExtensionのネットワークキャプチャにより、このトークンが送信されていることが確認された 6つの異なるAPIエンドポイント 1セッションあたり合計40件以上のPOSTリクエスト:
APIエンドポイント リクエスト/セッション session_key が漏洩する /api/getheightsync12 はい /api/gettransactions10 はい /api/getbalance6 はい /api/getsubaddresses4 はい /api/getoutputs3 はい /api/support_login1 はい
秘密鍵のコピーを40以上 1回のログインセッションで、ユーザーのプライベートビューキーがサーバーに送信されます 少なくとも36回 . これらの操作のいずれにおいても、サーバーはユーザーの鍵を必要としません。残高の確認や高さの同期は、ブロックチェーンに対する公開クエリです。鍵情報を送信する正当な理由は一切ありません。ネットワーク通信の完全なキャプチャ記録: [REDACTED] GitHub イシュー #36 — 鍵の流出に関する証拠の確認 .
攻撃その2:トランザクションハイジャック キーの盗み見により、攻撃者は 視聴 あなたのウォレット。しかし、[REDACTED] はそれにとどまらず、リアルタイムで資金を盗み出します。難読化が解除された本番環境の JavaScript コードからは、5 段階の攻撃手順が明らかになっています:
cnUtil .create_transaction () → raw_tx_and_hash raw_tx_and_hash .raw = 0 ;投稿 /api/submit_raw_tx { raw: 0 , メタデータ: {...} }もし (タイプ == 「一掃された」 ) → 攻撃者によるリダイレクトされたトランザクション
ウォレットには「取引が送信されました」と表示されます。資金は攻撃者のアドレスに送金されます。被害者は 「不明なトランザクションID」 ブロックエクスプローラーで確認しようとすると。内部で次のようにタグ付けされたトランザクションは swept これらは盗まれたものです。
隠された制作コード [REDACTED] は、正当なサイトであるかのように見せかけるため、GitHub の公開リポジトリを運営しています。このリポジトリは囮です。それ以来、一度も更新されていません。 2018年11月 。その生産環境では、まったく異なる、難読化されたコードが実行されています。
公開GitHub(おとり) 最後のコミット: 2018年11月 いいえ session_key パラメータ いいえ verification param いいえ /support_login.html Google タグ マネージャーを使用していない クリーンで監査可能なコード 生産拠点(実在) 2024年~2026年に随時更新中 session_key Base64形式のviewkey付き verification 情報流出経路 /support_login.html バックドア GTMによるリモートJSインジェクション 難読化され、監査不可能なコード バックドアとリモートコードインジェクション 生産拠点には以下が含まれます /support_login.html — GitHubリポジトリには一切記載されていない、隠された管理用エンドポイント。これと組み合わせて Google タグマネージャー(GTM コンテナ) この統合機能により、オペレーターは、公開されているコードベースを更新することなく、いつでも稼働中のサイトにJavaScriptをリモートで挿入・変更することができます。これは、分析機能に偽装されたリモートコード実行の攻撃経路です。
堅牢なインフラ [REDACTED] は、安価な共有ホスティングサービスを利用していません。当サイトは、テイクダウン要請や法執行機関の介入に耐えられるよう特別に選定された、堅牢なプレミアムインフラ上で稼働しています。
ホスティングおよびネットワークのIOC 指標 値 ドメイン [REDACTED] 登録担当者 IANA #1479 (2016年~2031年、15年間の登録)ホスティングプロバイダー IANA #1241 (月額550ドル以上)IPアドレス 186.2.165.49ASN AS59692 CDN / DDoS対策 DDoS-Guard Webサーバー Apache 2.4.58 (Ubuntu) バックエンド PHP 8.2.29 SSL証明書 Let's Encrypt(自動更新) Torミラー [REDACTED] .onionインフラの年間コスト $8,000 – $15,000+
トラッキングおよび分析に関するIOC トラッカー リクエスト/セッション 識別子 Google タグ マネージャー 12 GTMコンテナ Google アナリティクス (UA) 12 UA-116766241-1Google アナリティクス 4 5 GA4 ストリーム ダブルクリック 1 広告トラッキングピクセル DDoS-Guardのクッキー — __ddg8_, __ddg9_, __ddg10_, __ddg1_
$8K-$15K/Year for a "Free Volunteer Wallet" 正当な無料ウォレットであれば、DDoS-Guardの背後でIANA #1241 が提供する「バレットプルーフ」ホスティングに月額550ドル以上を費やすことはありません。これは、不正利用の苦情や法執行機関からの召喚状に対抗するために特別に設計されたインフラです。また、15年間有効なドメインを登録することもありません。 また、「プライバシー重視」を謳うモネロウォレットでGoogleアナリティクスのトラッキングを行うこともありません。このインフラは、ただ一つの目的のために構築されたものです: 大規模かつ継続的な窃盗 .
オペレーターの氏名:ナタリー・ロイ オープンソース情報分析によると、[REDACTED] のインフラは、ある特定の個人に直接結びついていることが判明した。
禁止された、暴露された、それでも活動中 ナタリー・ロイは公式大会への出場を禁止された r/Monero サブレディット 2018年に[REDACTED] の宣伝を目的として公開されました。GitHubへの最後のコミットも同年に実施されています。6年以上もの間、公開されているコードは更新されていない一方で、本番サイトでは全く異なるコードを用いて積極的に資金を盗み続けています。ドメインの有効期限は2031年まで支払済みであり、運営者は当分ここを離れるつもりはないようです。
記録された犠牲者 少なくとも 公表された症例は15件 Trustpilot、Sitejabber、Reddit、GitHub Issuesなどで報告されている資金盗難の事例。実在する人々。実在のお金。すべて失われてしまった。
590 XMR
単一案件としては最大額(17万7千ドル)
590 XMR(約177,000ドル) — 単一の窃盗事件としては、記録上最大規模の事例 17.44 XMR — オンチェーン上でトランザクションIDとともに記録される 一夜のうちに20 XMRが盗まれた — ユーザーが寝ている間に財布の中身が空になった 「不明なトランザクションID」に関する複数の報告 — その swept タグの署名 GitHubのイシュー #13 以上が削除されました — オペレーターがリポジトリから被害者報告を削除する 証拠の削除、寄付用ウォレットなし 運営者はGitHub Issuesから被害報告を積極的に削除しています(#13より前のイシューはすべて削除されています)。このサイトは寄付を受け付けていると謳っていますが、 寄付用のウォレットアドレスはこれまで一度も公開されたことがない . なぜ、年間8,000~15,000ドルを費やす「独立プロジェクト」が寄付を拒否するのだろうか? その収入が窃盗によるものだからだ。
出来事の年表 2014年~2024年の経緯:[REDACTED] で10,000件以上の秘密鍵が盗まれた件 ― サイト開設から最初の被害者の発生、そして運営者の特定に至るまで 2016
IANA #1479 を通じて、以下のドメインで登録済みです。 登録期間15年 (2016-2031)。無料のオープンソースのモネロ用ウェブウォレットとして提供されています。
2018年5月
GitHub 組織が作成されました [REDACTED] GitHub 組織の作成日: 2018-05-10 投稿者:nathroy(ID:39167759)。透明性を装った見せかけの措置として公開コードが公開された。
2018
利用停止・コード凍結 オペレーター u/WiseSolution r/Moneroから追放された 宣伝目的のスパムのため。この頃の最後のGitHubコミット。被害者による課題報告が削除され始める(課題#1~#12が消えた)。
2018年 – 2024年
6年間の沈黙 公開リポジトリが凍結された。本番環境のコードは、難読化されたJS、ドキュメントのないパラメータ、バックドアとなるエンドポイントを含み、元のコードとは完全に異なるものとなっている。TrustpilotやRedditには、被害者の報告が相次いでいる。
2025年~2026年
ネットワークトラフィックの分析によると、 session_key データ流出。JavaScriptの難読化解除により確認された raw_tx = 0 トランザクションハイジャック。GitHub Issues に公開された証拠 #35 & #36 .
2026年2月
レポートが公開されました — ドメインは現在も有効です 技術報告書の全文が公開されました。[REDACTED] は引き続き稼働中です。ドメインの支払いは 2031 . DDoS-Guardは、テイクダウンへの耐性を提供します。
証拠資料および出典資料の全容 この記事に記載されているすべての主張は、一般に検証可能な証拠によって裏付けられています。レポートをダウンロードしてください。コードを検証してください。ネットワークのキャプチャを自分で確認してください。
安全な代替案いかなるウェブウォレットでも、秘密鍵を入力してはいけません。 以上です。お使いのデバイス上でローカルに動作する、検証済みかつ監査済みのソフトウェアを使用してください。
モバイルウォレットモネルジョ (Android) — Torに対応したオープンソースアプリCake Wallet (iOS/Android) — 複数の通貨に対応、メンテナンスがしっかりしている
仮想通貨の黄金律 決して、シードフレーズ、秘密鍵、またはビューキーを 任意のウェブサイト . 正規のウォレットはローカルで動作するため、鍵をサーバーに送信する必要は一切ありません。もしウェブウォレットが秘密鍵の入力を求めてきたら、それは詐欺です。セキュリティを最大限に高めるためには、公式のMoneroソフトウェアを搭載したハードウェアウォレット([REDACTED] 、[REDACTED] )を使用してください。
地域社会を守る [REDACTED] は 10 年間にわたりモネロを盗み続けています。その証拠は公開されています。運営者も特定されています。この調査結果をシェアしてください。ドメインを通報してください。このサイトを閉鎖できるよう、ご協力をお願いします。