Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / TR / XMRWALLET EXPOSED

[REDACTED] Ortaya Çıktı: 10 Yıllık Çalınan Anahtarlar

The Enablers Registry·Editorial mirror·/tr/xmrwallet-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Özel görüntüleme anahtarınızı Base64 ile kodlayarak bir session_key token’ı, oturum başına 40’tan fazla API isteği yoluyla sızdırır, ardından işleminizi şu şekilde geçersiz kılar: raw_tx = 0 ve paranızı çalmak için onu yeniden oluşturur. 2016'dan beri faaldir. Operatör tespit edildi.

2016'dan beri faaliyette 40'tan fazla anahtar sızıntısı / Oturum DDoS-Guard Koruması Altında
[REDACTED] Ortaya Çıktı
0
Aktif Olduğu Yıllar
40+
Oturum Başına Anahtar Sızıntıları
$2M-$15M+
Tahmini Toplam Çalınan Miktar
0
2018'den Bu Yana GitHub'daki Güncellemeler

Cephe

[REDACTED] Kendisini ücretsiz, açık kaynaklı, istemci tarafında çalışan bir Monero cüzdanı olarak tanıtmaktadır. İndirme yok. Kayıt yok. Hizmet Şartları’nda çok net bir iddiada bulunulmaktadır:

"Tüm şifreleme işlemleri tarayıcınızda gerçekleşir. Sunucunun gizli anahtarlarınıza erişme imkânı yoktur."

[REDACTED] Hizmet Şartları (açıkça yanlış)

Bu bir yalan. Adli analizimiz — ağ verilerinin yakalanması, JavaScript şifrelemesinin kırılması ve üretim kodunun karşılaştırılması — tam tersini kanıtlıyor. [REDACTED]’da girilen her anahtar çalınmaktadır. Her işlem ele geçirilebilir.

Üretim ve GitHub: Toplam Sapma

Şu halka açık GitHub deposu o zamandan beri tek bir commit bile almadı Kasım 2018. Üretim ortamında, depo'da bulunmayan ve belgelenmemiş parametrelere sahip tamamen farklı bir kod çalıştırılıyor:

  • session_key — Base64 ile kodlanmış görünüm anahtarı sızdırma belirteci
  • verification — ikincil sızıntı kanalı
  • timestamp — oturum izleme parametresi
  • data — ek yük konteyneri

Alan adı şu yolla kaydedilmiştir: IANA #1479 2016 yılında — şu tarihe kadar peşin olarak ödenmiş 2031. “Özgür bağımsız proje” için on beş yıllık kayıt süresi.

Saldırı #1: Görüntü Anahtarının Dışarıya Aktarılması

[REDACTED]’a giriş yaptığınızda, özel görüntüleme anahtarınız Base64 ile kodlanır ve bir session_key jeton. Bu jeton daha sonra şu şekilde sunucuya iletilir: her bir API isteği — Tek bir oturumda 40'tan fazla kez.

session_key Yapısı

oturum anahtarı = [şifrelenmiş_blob]:[base64_address]:[base64_private_viewkey]

// Decoded example:
// blob: a3f8c2... (session identifier)
// address: 4A1BxN... (your Monero public address)
// viewkey: GİZLİ GÖRÜNTÜLEME ANAHTARINIZ DÜZ METİN HALİNDE

[REDACTED] WebExtension ağ yakalamaları, bu belirteçin iletildiğini doğrulamaktadır 6 farklı API uç noktası oturum başına toplam 40'tan fazla POST isteği:

API Uç Noktasıİstekler / Oturumsession_key sızdırıyor
/api/getheightsync12 Evet
/api/gettransactions10 Evet
/api/getbalance6 Evet
/api/getsubaddresses4 Evet
/api/getoutputs3 Evet
/api/support_login1 Evet

Özel Anahtarınızın 40'tan Fazla Kopyası

Tek bir oturum açma işlemi, özel görüntüleme anahtarınızı sunucuya gönderir en az 36 kez. Sunucu, bu işlemlerin hiçbirinde anahtarınıza ihtiyaç duymaz — bakiye kontrolleri ve yükseklik senkronizasyonları, blok zincirinde herkese açık sorgulardır. Anahtar bilgilerini iletmek için hiçbir meşru neden yoktur. Ağın tamamının yakalandığına dair kanıt: [REDACTED] GitHub Sorun #36 — Anahtar Çalınma Kanıtlarını Görüntüle.

Saldırı #2: İşlem Ele Geçirme

Anahtar çalma saldırısı, saldırganın izle cüzdanınız. Ancak [REDACTED] bunun da ötesine geçiyor — paranızı gerçek zamanlı olarak çalıyor. Şifresi kırılmış üretim JavaScript kodu, 5 adımlı bir saldırı dizisini ortaya koyuyor:

// Step 1: Client builds a legitimate transaction
cnUtil.işlem_oluştur() → raw_tx_and_hash

// Step 2: Client transaction is NULLIFIED
raw_tx_and_hash.raw = 0;

// Step 3: Only metadata sent to server (no real tx)
YAYIN /api/submit_raw_tx { ham: 0, meta veriler: {...} }

// Step 4: Server rebuilds its OWN transaction
// using your keys + its destination address

// Step 5: Stolen transactions tagged internally
eğer(tür == 'süpürüldü') → saldırgan tarafından yönlendirilmiş işlem

Cüzdanınızda “işlem gönderildi” yazısı görünüyor. Paranız saldırganın adresine ulaşıyor. Mağdurlar şunu görüyor: "Bilinmeyen işlem kimliği" blok gezginlerinde doğrulamaya çalıştıklarında. Dahili olarak şu şekilde etiketlenmiş işlemler: swept çalınanlardır.

İşleminiz Hiç Gerçekleşmedi

raw_tx_and_hash.raw = 0 Bu, istemci tarafından oluşturulan işlemin geçersiz kılınacağı anlamına gelir. Sunucu, anahtarlarınızı kullanarak tamamen yeni bir işlem oluşturur ve XMR’lerinizi saldırgana gönderir. Gördüğünüz “başarılı” mesajı bir yalandır. Ayrıntılı kod analizi: [REDACTED] GitHub Sorun #35 — İşlem Ele Geçirme Kanıtı.

Gizli Üretim Kodu

[REDACTED], meşru görünmek amacıyla halka açık bir GitHub deposu bulundurmaktadır. Bu depo bir tuzaktır. Şu tarihten beri hiç güncellenmemiştir: Kasım 2018. Üretim ortamında tamamen farklı, karmaşıklaştırılmış bir kod çalıştırılıyor.

Herkese açık GitHub (Yanıltıcı)

  • Son commit: Kasım 2018
  • Hayır session_key parametre
  • Hayır verification param
  • Hayır /support_login.html
  • Google Etiket Yöneticisi yok
  • Temiz, denetlenebilir kod

Üretim Tesisi (Gerçek)

  • 2024-2026 yılları arasında aktif olarak güncellenmektedir
  • session_key Base64 formatında görüntüleme anahtarı ile
  • verification veri sızdırma kanalı
  • /support_login.html arka kapı
  • GTM uzaktan JS enjeksiyonu
  • Gizlenmiş, denetlenemeyen kod

Arka Kapı ve Uzaktan Kod Enjeksiyonu

Üretim tesisi şunları içermektedir: /support_login.html — GitHub deposunda hiç yer almayan gizli bir yönetim uç noktası. Şununla birleştirildiğinde Google Etiket Yöneticisi (GTM-konteyneri) Bu entegrasyon sayesinde, operatör, halka açık kod tabanını güncellemeye gerek kalmadan, canlı sitede istediği zaman uzaktan JavaScript ekleyebilir ve değiştirebilir. Bu, analiz aracı kılığına girmiş bir uzaktan kod yürütme vektörüdür.

Güvenli Altyapı

[REDACTED], ucuz paylaşımlı barındırma hizmetleri kullanmaz. Site, kaldırma taleplerine ve kolluk kuvvetlerinin müdahalelerine karşı koymak üzere özel olarak seçilmiş, birinci sınıf ve sağlam bir altyapı üzerinde çalışır.

Barındırma ve Ağ IOC’leri

GöstergeDeğer
Etki Alanı[REDACTED]
Kayıt SorumlusuIANA #1479 (2016 – 2031, 15 yıllık kayıt süresi)
Barındırma SağlayıcısıIANA #1241 (aylık 550 $ ve üzeri)
IP Adresi186.2.165.49
ASNAS59692
CDN / DDoS KorumasıDDoS-Guard
Web SunucusuApache 2.4.58 (Ubuntu)
Arka uçPHP 8.2.29
SSL SertifikasıLet's Encrypt (otomatik yenileme)
Tor Aynası[REDACTED].onion
Yıllık Altyapı Maliyeti$8,000 – $15,000+

İzleme ve Analitik IOC’leri

İzleyiciİstekler / OturumTanımlayıcı
Google Etiket Yöneticisi12GTM konteyneri
Google Analytics (UA)12UA-116766241-1
Google Analytics 45GA4 akışı
DoubleClick1Reklam izleme pikseli
DDoS-Guard Çerezleri __ddg8_, __ddg9_, __ddg10_, __ddg1_

$8K-$15K/Year for a "Free Volunteer Wallet"

Meşru bir ücretsiz cüzdan, DDoS-Guard koruması altındaki IANA #1241’nin “bulletproof” barındırma hizmetine ayda 550 doların üzerinde bir harcama yapmaz — bu altyapı, kötüye kullanım şikayetlerine ve kolluk kuvvetlerinin celp taleplerine karşı koymak üzere özel olarak tasarlanmıştır. Ayrıca 15 yıllık bir alan adı kaydı da yapmaz. "Gizlilik odaklı" bir Monero cüzdanında Google Analytics izleme sistemi kullanmaz. Bu altyapı tek bir amaç için oluşturulmuştur: büyük ölçekli ve sürekli hırsızlık.

Operatörün Kimliği: Nathalie Roy

Açık kaynak istihbarat verileri, [REDACTED]’un altyapısının doğrudan tek bir kişiye ait olduğunu ortaya koyuyor.

AlanAyrıntılar
AdNathalie Roy
KonumKanada
GitHub Kullanıcı Adınathroy (ID: 39167759)
GitHub Kuruluşu[REDACTED] (oluşturulma tarihi: 10 Mayıs 2018)
E-posta (Yönetici)admin@[REDACTED]
E-posta (Kişisel)royn5094@protonmail.com
Redditu/WiseSolution (r/Monero'dan yasaklandı)
Twitter[REDACTED]
Posta Sunucusu (MX)[REDACTED]

Yasaklanmış, Açığa Çıkarılmış, Hâlâ Aktif

Nathalie Roy, resmi yarışlardan men edildi r/Monero altredditi 2018 yılında [REDACTED]'u tanıtmak amacıyla. GitHub'daki son commit aynı yıl gerçekleşti. 6 yılı aşkın bir süredir halka açık kod dondurulmuş durumda; oysa üretim sitesi tamamen farklı bir kodla aktif olarak para çalıyor. Alan adının ödemesi 2031 yılına kadar yapılmış durumda — siteyi işleten kişi ortadan kaybolacak gibi görünmüyor.

Kayıt Altına Alınan Mağdurlar

En azından Kamuoyuna bildirilen 15 vaka Trustpilot, Sitejabber, Reddit ve GitHub Issues’ta yaşanan fon hırsızlığı vakaları. Gerçek insanlar. Gerçek para. Kayboldu.

15+
Kamuya Açık Raporlar
590 XMR
En Büyük Tek İşlem (177 bin dolar)
0
Yıllar Boyu Süren Hırsızlık
$2M-$15M+
Tahmini Toplam
  • 590 XMR (~177.000 $) — tek bir hırsızlık olayı, kayıtlara geçen en büyük vaka
  • 17,44 XMR — zincir üzerinde işlem kimliği ile belgelenmiştir
  • Gece boyunca 20 XMR çalındı — kullanıcı uyurken cüzdanı boşaltıldı
  • "Bilinmeyen işlem kimliği" ile ilgili çok sayıda rapor — o swept etiket imzası
  • GitHub Sorunları #13 ve üzeri silindi — operatör, repo'dan mağdur bildirimlerini siler

Silinmiş Kanıtlar, Bağış Cüzdanı Yok

Operatör, GitHub Issues’daki mağdur raporlarını aktif olarak siliyor (#13’ten önceki tüm sorunlar silinmiş durumda). Site, bağış kabul ettiğini iddia ediyor ancak Şimdiye kadar hiçbir bağış cüzdanı adresi yayınlanmamıştır. Yıllık 8.000–15.000 dolar harcayan bir “bağımsız proje” neden bağışları reddediyor? Çünkü gelir kaynağı hırsızlıktan geliyor.

Olayların Zaman Çizelgesi

Zaman Çizelgesi 2014-2024: [REDACTED]’dan 10.000’den fazla anahtarın çalınması – sitenin açılışından ilk mağdurların ortaya çıkmasına ve operatörün tespit edilmesine kadar
Zaman Çizelgesi 2014-2024: [REDACTED]’dan 10.000’den fazla anahtarın çalınması – sitenin açılışından ilk mağdurların ortaya çıkmasına ve operatörün tespit edilmesine kadar
2016

Alan Adı Kaydedildi — [REDACTED]

IANA #1479 üzerinden şu bilgilerle kaydedilmiştir: 15 yıllık kayıt süresi (2016-2031). Ücretsiz, açık kaynaklı bir Monero web cüzdanı olarak sunulmaktadır.

Mayıs 2018

GitHub Kuruluşu Oluşturuldu

[REDACTED] GitHub kuruluşu şu tarihte oluşturuldu: 2018-05-10 Yazan: nathroy (ID: 39167759). Şeffaflık gösterisi olarak yayınlanan açık kaynak kod.

2018

Engellendi ve Kod Donduruldu

WiseSolution Operatörü r/Monero'dan yasaklandı tanıtım amaçlı spam. Bu dönemde yapılan son GitHub commit'i. Mağdurların sorun bildirimleri silinmeye başlıyor (Sorun Bildirimleri #1-#12 silindi).

2018 – 2024

6 Yıllık Sessizlik

Halka açık depo donduruldu. Üretim kodunda, şifrelenmiş JavaScript, belgelenmemiş parametreler ve arka kapı uç noktaları nedeniyle tamamen sapma gözleniyor. Trustpilot ve Reddit’te mağdurların şikayetleri birikiyor.

2025 – 2026

THE ENABLERS REGISTRY Soruşturması

Ağ trafiği analizi şunu ortaya koyuyor: session_key bilgi sızdırma. JavaScript şifresinin çözülmesi bunu doğruluyor raw_tx = 0 işlem ele geçirme. GitHub Issues'da yayınlanan kanıtlar #35 & #36.

Şubat 2026

Rapor Yayınlandı — Alan Adı Hâlâ Etkin

Teknik raporun tamamı yayınlandı. [REDACTED] hâlâ çevrimiçi durumda. Alan adı ödemesi şu yolla yapıldı: 2031. DDoS-Guard, kaldırma direnci sağlar.

Tüm Kanıtlar ve Kaynak Belgeler

Bu makaledeki her iddia, herkesin doğrulayabileceği kanıtlarla desteklenmektedir. Raporları indirin. Kodları doğrulayın. Ağ kayıtlarını kendiniz inceleyin.

Güvenli Alternatifler

Hiçbir web cüzdanına özel anahtarlarınızı asla girmeyin. Nokta. Cihazınızda yerel olarak çalışan, doğrulanmış ve denetlenmiş yazılımları kullanın.

Masaüstü Cüzdanlar

Monero GUI — Resmi cüzdan, tüm özelliklere sahip, açık kaynaklı, denetlenmiş
Tüy Cüzdan — Hafif, hızlı ve gizlilik odaklı bir masaüstü cüzdanı

Mobil Cüzdanlar

Monerujo (Android) — Tor desteğine sahip açık kaynaklı
Cake Cüzdanı (iOS/Android) — Çoklu para birimi desteği, iyi bakımlı

Kripto Dünyasının Altın Kuralı

Asla şu sitelerde tohum cümlenizi, özel anahtarlarınızı veya görüntüleme anahtarlarınızı girmeyin: herhangi bir web sitesi. Güvenilir cüzdanlar yerel olarak çalışır — anahtarlarınızı hiçbir zaman bir sunucuya göndermeleri gerekmez. Bir web cüzdanı sizden özel anahtarlarınızı isterse, bu bir dolandırıcılıktır. En üst düzeyde güvenlik için, resmi Monero yazılımıyla birlikte bir donanım cüzdanı ([REDACTED], [REDACTED]) kullanın.

Toplumu Koruyun

[REDACTED], 10 yıldır Monero çalıyor. Kanıtlar herkese açık. Sitenin işletmecisinin kimliği tespit edildi. Bu soruşturmayı paylaşın. Alan adını bildirin. Sitenin kapatılmasına yardımcı olun.

İlgili Soruşturmalar

[REDACTED]’un Sonu: IANA #1479, 2 milyon dolarlık kripto hırsızını korumak için yalan söyledi
SORUŞTURMA
[REDACTED]’un Sonu: IANA #1479, 2 milyon dolarlık kripto hırsızını korumak için yalan söyledi
[REDACTED] Kimlik Avı Paneli: 239 bin dolar çalındı, 6 operatör
KAPSAMLI SORUŞTURMA
[REDACTED] Kimlik Avı Paneli: 239 bin dolar çalındı, 6 operatör
KAPSAMLI SORUŞTURMA
Crypto Drainer Araç Seti: Angel Drainer Satıcıları Ortaya Çıktı

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings