对一款门罗币网络钱包的深入取证调查,该钱包将您的私有查看密钥通过Base64编码转换为一个 session_key
token,在每次会话中通过 40 多次 API 请求泄露该 token,随后通过
以下方式使您的交易失效:
raw_tx = 0
并对其进行重建以盗取您的资金。该活动自2016年起持续至今。运营者
身份已确认。
自2016年起活跃
40+ 密钥泄露 / 会话
受 DDoS-Guard 保护
《外墙》
[REDACTED] 该服务宣称是一款免费的、
开源的、客户端式的门罗币钱包。无需下载,无需
注册。其《服务条款》中明确声明:
“所有加密操作都在您的浏览器中进行。服务器
无法访问您的私钥。”
—
[REDACTED] 服务条款(经证实为虚假)
这是谎言。我们的取证分析——包括网络数据抓包、
JavaScript 去混淆以及生产环境代码对比——
证明了恰恰相反的情况。在 [REDACTED] 上输入的每个密钥都会
被窃取。每笔交易都可能被劫持。
生产环境与 GitHub:
完全不一致
该
公开的 GitHub 仓库
自那时以来,该分支尚未收到任何提交
2018年11月 . 生产环境运行的
代码与代码库中完全不同,且包含代码库中未记录的参数:
:
session_key — Base64 编码的视图密钥外泄令牌 verification — 次要数据外泄通道 timestamp — 会话跟踪参数 data — 附加有效载荷容器 通过以下方式注册的域名 IANA #1479 2016年——通过……预付 2031 . 注册“自由独立项目”已有十五年。
攻击 #1:密钥外泄 当您登录 [REDACTED] 时,您的私有查看密钥会被 Base64 编码并嵌入到一个 session_key 令牌。随后,该令牌将与 每一个 API 请求 — 单次训练中超过40次。
session_key 结构 session_key = [encrypted_blob] :[base64_address] :[base64_private_viewkey]
[REDACTED] WebExtension 的网络抓包结果证实,该令牌确实被发送了 6 个不同的 API 端点 每个会话共计 40 多次 POST 请求:
API 端点 请求 / 会话 泄露 session_key /api/getheightsync12 是的 /api/gettransactions10 是的 /api/getbalance6 是的 /api/getsubaddresses4 是的 /api/getoutputs3 是的 /api/support_login1 是的
攻击 #2:交易劫持 密钥窃取使攻击者能够 观看 你的钱包。但 [REDACTED] 更进一步——它会实时窃取你的资金。经过去混淆处理的正式版 JavaScript 代码揭示了一套 5 步攻击流程:
cnUtil .create_transaction () → raw_tx_and_hash raw_tx_and_hash .raw = 0 ;POST /api/submit_raw_tx { 原始数据:0 , 元数据:{...} }如果 (类型 == “扫过” ) → 由攻击者重定向的交易
您的钱包显示“交易已发送”。您的资金到达了攻击者的地址。受害者看到 “未知交易 ID” 当他们在区块浏览器上尝试验证时。内部标记为 swept 是被盗的那些。
隐藏的制作代码 [REDACTED] 维护了一个公开的 GitHub 代码库,以显得合法。该代码库只是个幌子。自那时以来,它就再也没有被更新过 2018年11月 . 生产环境运行的是完全不同的、经过混淆的代码。
公开的 GitHub(诱饵) 最后一次提交: 2018年11月 不 session_key 参数 不 verification paramsimplified Chinese (大陆) 不 /support_login.html 未启用 Google 标签管理器 简洁、可审计的代码 生产基地(真实) 2024-2026年持续更新 session_key 使用 Base64 视图密钥 verification 数据外泄通道 /support_login.html 后门 GTM 远程 JS 注入 经过混淆、无法审计的代码 后门与远程代码注入 生产基地包括 /support_login.html — 一个完全未出现在 GitHub 代码库中的隐藏管理端点。结合 Google 标签管理器(GTM 容器) 通过该集成,运维人员可以随时在运行中的网站上远程注入和修改 JavaScript 代码——而无需更新公开的代码库。这是一种伪装成分析功能的远程代码执行途径。
坚不可摧的基础设施 [REDACTED] 并未使用廉价的共享主机。它运行在经过精心挑选的高端、坚不可摧的基础设施上,旨在抵御关停请求和执法部门的干预。
主机与网络 IOC 指标 值 域名 [REDACTED] 注册处 IANA #1479 (2016 – 2031,15年注册期)主机服务商 IANA #1241 (每月550美元起)IP地址 186.2.165.49ASN AS59692 CDN / DDoS防护 DDoS-Guard Web 服务器 Apache 2.4.58(Ubuntu) 后端 PHP 8.2.29 SSL证书 Let's Encrypt(自动续期) Tor 镜像 [REDACTED] .onion年度基础设施成本 $8,000 – $15,000+
跟踪与分析 IOCs 追踪器 请求 / 会话 标识符 Google 标签管理器 12 GTM 容器 Google Analytics (UA) 12 UA-116766241-1Google Analytics 4 5 GA4 数据流 DoubleClick 1 广告跟踪像素 DDoS-Guard Cookie — __ddg8_, __ddg9_, __ddg10_, __ddg1_
$8K-$15K/Year for a "Free Volunteer Wallet" 一个合法的免费钱包不会每月花费550美元以上,使用由DDoS-Guard保护的IANA #1241 防弹主机——这套基础设施专为抵御滥用投诉和执法部门的传票而设计。它也不会注册一个有效期长达15年的域名。 它也不会在一款“注重隐私”的门罗币钱包上运行 Google Analytics 追踪功能。这一基础设施的构建仅有一个目的: 大规模且持续的盗窃行为 .
已确认操作员:娜塔莉·罗伊 开源情报显示,[REDACTED] 的基础设施可直接追溯到某位个人。
被封禁、曝光,仍在活跃 娜塔莉·罗伊被禁止参加官方 r/Monero 子版块 2018年,该网站曾用于推广 [REDACTED] 。GitHub 上的最后一次提交发生在同年。6年多来,公开的源代码一直处于冻结状态,而实际运行的网站却使用完全不同的代码积极窃取资金。该域名的注册有效期已续至2031年——运营方显然不会轻易离开。
有记录的受害者 至少 15例公开报告的病例 在Trustpilot、Sitejabber、Reddit和GitHub Issues上,有关资金被盗的报告层出不穷。真实的人。真金白银。一去不复返。
590 XMR(约177,000美元) — 单起盗窃案,有记录以来最大的一起 17.44 XMR — 通过链上交易 ID 记录 一夜之间被盗20 XMR — 用户睡觉时钱包被清空 多份报告显示“未知交易 ID” — 该 swept 标签签名 已删除 GitHub 问题 #13 及以上 — 操作员从报告库中删除了受害者报告 证据被删除,没有捐赠钱包 该运营方正在主动删除GitHub Issues上的受害者报告(#13之前的所有问题都已消失)。该网站声称接受捐赠,但 从未公布过任何捐赠钱包地址 . 一个每年花费8K-$15K的“独立项目”为什么会拒绝捐款?因为其收入来自盗窃。
事件时间线 2014-2024年时间线:[REDACTED] 10,000+个密钥被盗——从网站上线到出现首批受害者,直至运营者身份被确认 2016
通过 IANA #1479 注册,使用 15年的注册期限 (2016-2031)。作为一款免费的开源门罗币网络钱包推出。
2018年5月
已创建 GitHub 组织 [REDACTED] GitHub 组织创建于 2018-05-10 作者:nathroy(ID:39167759)。以“透明度作秀”为名推送的公开代码。
2018
封禁与代码冻结 操作员 u/WiseSolution 被r/Monero禁言 用于推广垃圾信息。大约在这个时间点的最后一次 GitHub 提交。受害者的问题报告开始被删除(问题 #1-#12 已消失)。
2018 – 2024
6年的沉默 公开代码库已被冻结。生产环境代码与之完全不同,包含混淆的 JavaScript 代码、未记录的参数以及后门端点。Trustpilot 和 Reddit 上关于受害者的报告不断增加。
2025 – 2026
网络流量分析显示 session_key 数据外泄。JavaScript 去混淆结果证实了这一点 raw_tx = 0 事务劫持。相关证据已发布在 GitHub Issues 上 #35 & #36 .
2026年2月
报告已发布——域名仍处于活跃状态 完整技术报告已发布。[REDACTED] 仍可访问。域名已通过 2031 . DDoS-Guard 具备抗关停能力。
全部证据及原始资料 本文中的每一项论点都有公开可验证的证据作为依据。请下载相关报告,验证代码,并亲自检查网络抓包数据。
安全的替代方案切勿在任何网络钱包中输入私钥。 就这样。请使用经过验证和审计、并在您的设备上本地运行的软件。
移动钱包莫内鲁霍 (Android) — 开源,支持 TorCake 钱包 (iOS/Android) — 支持多种加密货币,维护良好
加密货币的黄金法则 切勿在以下位置输入您的助记词、私钥或查看密钥: 任何网站 . 正规的钱包在本地运行——它们绝不会将您的密钥发送至服务器。如果某个网页钱包要求您提供私钥,那肯定是骗局。为了获得最高安全性,请使用配备官方门罗币软件的硬件钱包(如[REDACTED] 、[REDACTED] )。
保护社区 [REDACTED] 已经盗取门罗币长达10年之久。相关证据已公开。运营者身份已确认。请分享此调查报告。举报该域名。帮助我们将其关闭。