Archive LiveRead-only public record · No ads · No tracking
CASE / KO / XMRWALLET EXPOSED
[REDACTED]의 실체: 10년 동안 도난당한 키들
The Enablers Registry·Editorial mirror·/ko/xmrwallet-exposed
Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.
사용자의 개인 보기 키를 Base64로 인코딩하여 session_key
토큰을 세션당 40회 이상의 API 요청을 통해 유출한 뒤,
다음과 같이 귀하의 트랜잭션을 무효화합니다.
raw_tx = 0
그리고 이를 재구성하여 사용자의 자금을 탈취합니다. 2016년부터 활동 중입니다. 운영자
신원이 확인되었습니다.
파이어폭스 웹익스텐션 네트워크 캡처를 통해 이 토큰이 전송된다는 사실이 확인되었습니다. 6개의 서로 다른 API 엔드포인트 세션당 총 40회 이상의 POST 요청:
API 엔드포인트
요청 / 세션
session_key 유출
/api/getheightsync
12
네
/api/gettransactions
10
네
/api/getbalance
6
네
/api/getsubaddresses
4
네
/api/getoutputs
3
네
/api/support_login
1
네
개인 키 40개 이상
단일 로그인 세션에서 사용자의 개인 뷰 키가 서버로 전송됩니다. 최소 36회. 서버는 이러한 작업들(잔액 조회 및 높이 동기화)을 수행하는 데 사용자의 키가 필요하지 않습니다. 이는 모두 공개 블록체인 쿼리이기 때문입니다. 키 정보를 전송해야 할 정당한 이유는 전혀 없습니다. 전체 네트워크 캡처 증거: [REDACTED] GitHub 이슈 #36 — 키 유출 증거 확인.
공격 유형 #2: 트랜잭션 탈취
키 도용 공격을 통해 공격자는 시청하기 사용자의 지갑. 하지만 [REDACTED]은 그보다 더 나아가 — 사용자의 자금을 실시간으로 훔쳐갑니다. 난독화가 해제된 프로덕션용 자바스크립트를 분석한 결과, 5단계로 이루어진 공격 순서가 드러났습니다:
지갑에 “거래 전송됨”이라고 표시됩니다. 자금은 공격자의 주소로 입금됩니다. 피해자들은 "알 수 없는 거래 ID" 블록 탐색기에서 확인하려고 할 때. 내부적으로 다음과 같이 태그가 지정된 트랜잭션은 swept 도난당한 것들입니다.
귀하의 거래는 존재한 적이 없습니다
raw_tx_and_hash.raw = 0 이는 클라이언트에서 생성된 트랜잭션이 무효화된다는 것을 의미합니다. 서버는 사용자의 키를 사용하여 완전히 새로운 트랜잭션을 생성하고, 사용자의 XMR을 공격자에게 전송합니다. 화면에 표시되는 “성공” 메시지는 거짓입니다. 상세한 코드 분석: [REDACTED] GitHub 이슈 #35 — 트랜잭션 탈취 방지 증명.
숨겨진 제작 코드
[REDACTED]은 합법적인 사이트로 보이기 위해 공개 GitHub 저장소를 운영하고 있습니다. 이 저장소는 미끼일 뿐입니다. 이 저장소는 그 이후로 한 번도 수정된 적이 없습니다. 2018년 11월. 해당 생산 환경에서는 완전히 다른, 난독화된 코드가 실행됩니다.
공개 GitHub (미끼)
마지막 커밋: 2018년 11월
아니요 session_key 매개변수
아니요 verification param
아니요 /support_login.html
Google 태그 관리자 없음
깔끔하고 추적 가능한 코드
생산 현장 (실제)
2024~2026년 동안 지속적으로 업데이트됨
session_key Base64 viewkey와 함께
verification 정보 유출 경로
/support_login.html 백도어
GTM 원격 JS 삽입
난독화되어 감사할 수 없는 코드
백도어 및 원격 코드 삽입
생산 현장에는 다음이 포함되어 있습니다. /support_login.html — GitHub 저장소에는 전혀 포함되어 있지 않은 숨겨진 관리용 엔드포인트입니다. 이와 더불어 Google 태그 관리자(GTM 컨테이너) 이 통합 기능을 통해 운영자는 공개 코드베이스를 업데이트하지 않고도 언제든지 운영 중인 사이트에 자바스크립트를 원격으로 삽입하거나 수정할 수 있습니다. 이는 분석 기능으로 위장한 원격 코드 실행 경로입니다.
철통 같은 인프라
[REDACTED]은 저가형 공유 호스팅을 사용하지 않습니다. 이 사이트는 제거 요청과 법 집행 기관의 압력에 견딜 수 있도록 특별히 선정된, 견고한 프리미엄 인프라를 기반으로 운영됩니다.
정당한 무료 지갑이라면, DDoS-Guard 뒤에 있는 IANA #1241의 ‘불가침’ 호스팅 서비스에 매달 550달러 이상을 지출하지 않습니다. 이 호스팅은 악용 신고와 법 집행 기관의 소환장에 대응하도록 특별히 설계된 인프라입니다. 또한 도메인을 15년 동안 등록하지도 않습니다. 또한 “개인정보 보호에 중점을 둔” 모네로(Monero) 지갑에서 구글 애널리틱스(Google Analytics) 추적 기능을 실행하지도 않습니다. 이 인프라는 오직 하나의 목적을 위해 구축된 것입니다: 대규모로 지속되는 절도.
확인된 운영자: 나탈리 로이
오픈소스 정보 분석 결과, [REDACTED]의 인프라가 한 개인에게 직접 연결되는 것으로 드러났다.
나탈리 로이는 공식 대회에서 출전 금지 조치를 받았다. r/Monero 서브레딧 2018년에 [REDACTED]을 홍보하기 위해 개설되었습니다. GitHub에 마지막으로 커밋된 시기도 같은 해였습니다. 6년 넘게 공개된 코드는 동결된 상태인 반면, 실제 운영 사이트는 완전히 다른 코드를 사용하여 적극적으로 자금을 훔치고 있습니다. 도메인 등록 기간은 2031년까지로 설정되어 있어, 운영자는 당분간 사라지지 않을 것입니다.
기록된 피해자들
적어도 공개적으로 보고된 15건의 사례 Trustpilot, Sitejabber, Reddit, GitHub Issues 등지에서 발생한 자금 도난 사건들. 실제 사람들. 실제 돈. 모두 사라졌습니다.
운영자는 GitHub 이슈에서 피해자 신고 내용을 적극적으로 삭제하고 있습니다(#13 이전의 모든 이슈가 사라졌습니다). 이 사이트는 기부금을 받고 있다고 밝히고 있지만 지금까지 기부용 지갑 주소가 공개된 적이 없습니다.. 연간 8,000~15,000달러를 지출하는 “독립 프로젝트”가 왜 기부금을 거절하겠는가? 그 수입이 절도에서 비롯되기 때문이다.
사건 연표
2014-2024 연표: [REDACTED]에서 10,000개 이상의 키 도난 사건 - 사이트 출시부터 첫 피해자 발생, 운영자 신원 확인까지
어떤 웹 지갑에서도 절대로 개인 키를 입력하지 마십시오. 그게 다입니다. 기기에서 로컬로 실행되는, 검증되고 감사를 거친 소프트웨어를 사용하십시오.
데스크톱 지갑
모네로 GUI — 공식 지갑, 모든 기능을 갖춘, 오픈소스, 감사 완료 깃털 지갑 — 가볍고 빠르며, 개인정보 보호에 중점을 둔 데스크톱 지갑
모바일 지갑
모네루조 (Android) — Tor를 지원하는 오픈소스 앱 케이크 월렛 (iOS/Android) — 다양한 코인을 지원하며, 관리가 잘 되어 있음
암호화폐의 황금률
다음 사이트에서는 절대로 시드 문구, 개인 키 또는 조회 키를 입력하지 마십시오. 어떤 웹사이트든. 정식 지갑은 로컬에서 실행되며, 사용자의 키를 서버로 전송할 필요가 전혀 없습니다. 웹 지갑에서 개인 키를 요구한다면 이는 사기입니다. 보안을 극대화하려면 공식 모네로 소프트웨어가 설치된 하드웨어 지갑([REDACTED], [REDACTED])을 사용하십시오.
지역사회 보호하기
[REDACTED]은 지난 10년 동안 모네로를 훔쳐왔습니다. 증거는 공개되어 있습니다. 운영자도 신원이 확인되었습니다. 이 조사 결과를 널리 알려주세요. 해당 도메인을 신고해 주세요. 이 사이트를 폐쇄할 수 있도록 도와주세요.