Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / ZH / XMRWALLET EXPOSED

[REDACTED] 内幕曝光:10年来被盗的密钥

The Enablers Registry·Editorial mirror·/zh/xmrwallet-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

对一款门罗币网络钱包的深入取证调查,该钱包将您的私有查看密钥通过Base64编码转换为一个 session_key token,在每次会话中通过 40 多次 API 请求泄露该 token,随后通过 以下方式使您的交易失效: raw_tx = 0 并对其进行重建以盗取您的资金。该活动自2016年起持续至今。运营者 身份已确认。

自2016年起活跃 40+ 密钥泄露 / 会话 受 DDoS-Guard 保护
[REDACTED] 内幕曝光
0
活跃年份
40+
每次会话的关键信息泄露
$2M-$15M+
被盗总金额估计为
0
2018 年以来的 GitHub 更新

《外墙》

[REDACTED] 该服务宣称是一款免费的、 开源的、客户端式的门罗币钱包。无需下载,无需 注册。其《服务条款》中明确声明:

“所有加密操作都在您的浏览器中进行。服务器 无法访问您的私钥。”

[REDACTED] 服务条款(经证实为虚假)

这是谎言。我们的取证分析——包括网络数据抓包、 JavaScript 去混淆以及生产环境代码对比—— 证明了恰恰相反的情况。在 [REDACTED] 上输入的每个密钥都会 被窃取。每笔交易都可能被劫持。

生产环境与 GitHub: 完全不一致

公开的 GitHub 仓库 自那时以来,该分支尚未收到任何提交 2018年11月. 生产环境运行的 代码与代码库中完全不同,且包含代码库中未记录的参数: :

  • session_key — Base64 编码的视图密钥外泄令牌
  • verification — 次要数据外泄通道
  • timestamp — 会话跟踪参数
  • data — 附加有效载荷容器

通过以下方式注册的域名 IANA #1479 2016年——通过……预付 2031. 注册“自由独立项目”已有十五年。

攻击 #1:密钥外泄

当您登录 [REDACTED] 时,您的私有查看密钥会被 Base64 编码并嵌入到一个 session_key 令牌。随后,该令牌将与 每一个 API 请求 — 单次训练中超过40次。

session_key 结构

session_key = [encrypted_blob]:[base64_address]:[base64_private_viewkey]

// Decoded example:
// blob: a3f8c2... (session identifier)
// address: 4A1BxN... (your Monero public address)
// viewkey: 您的私有查看密钥(明文)

[REDACTED] WebExtension 的网络抓包结果证实,该令牌确实被发送了 6 个不同的 API 端点 每个会话共计 40 多次 POST 请求:

API 端点请求 / 会话泄露 session_key
/api/getheightsync12 是的
/api/gettransactions10 是的
/api/getbalance6 是的
/api/getsubaddresses4 是的
/api/getoutputs3 是的
/api/support_login1 是的

40多份您的私钥副本

单次登录会话会将您的私有查看密钥发送至服务器 至少36次. 服务器在执行这些操作时并不需要您的密钥——余额查询和高度同步都是公开的区块链查询。没有任何正当理由需要传输密钥材料。完整的网络抓包证据: [REDACTED] GitHub 问题 #36 — 查看密钥外泄证据.

攻击 #2:交易劫持

密钥窃取使攻击者能够 观看 你的钱包。但 [REDACTED] 更进一步——它会实时窃取你的资金。经过去混淆处理的正式版 JavaScript 代码揭示了一套 5 步攻击流程:

// Step 1: Client builds a legitimate transaction
cnUtil.create_transaction() → raw_tx_and_hash

// Step 2: Client transaction is NULLIFIED
raw_tx_and_hash.raw = 0;

// Step 3: Only metadata sent to server (no real tx)
POST /api/submit_raw_tx { 原始数据:0, 元数据:{...} }

// Step 4: Server rebuilds its OWN transaction
// using your keys + its destination address

// Step 5: Stolen transactions tagged internally
如果(类型 == “扫过”) → 由攻击者重定向的交易

您的钱包显示“交易已发送”。您的资金到达了攻击者的地址。受害者看到 “未知交易 ID” 当他们在区块浏览器上尝试验证时。内部标记为 swept 是被盗的那些。

您的交易从未发生过

raw_tx_and_hash.raw = 0 这意味着客户端生成的交易会被丢弃。服务器会使用你的密钥构建一个全新的交易,并将你的 XMR 发送给攻击者。你看到的“成功”提示其实是虚假的。详细代码分析: [REDACTED] GitHub 问题 #35 — 交易劫持证明.

隐藏的制作代码

[REDACTED] 维护了一个公开的 GitHub 代码库,以显得合法。该代码库只是个幌子。自那时以来,它就再也没有被更新过 2018年11月. 生产环境运行的是完全不同的、经过混淆的代码。

公开的 GitHub(诱饵)

  • 最后一次提交: 2018年11月
  • session_key 参数
  • verification paramsimplified Chinese (大陆)
  • /support_login.html
  • 未启用 Google 标签管理器
  • 简洁、可审计的代码

生产基地(真实)

  • 2024-2026年持续更新
  • session_key 使用 Base64 视图密钥
  • verification 数据外泄通道
  • /support_login.html 后门
  • GTM 远程 JS 注入
  • 经过混淆、无法审计的代码

后门与远程代码注入

生产基地包括 /support_login.html — 一个完全未出现在 GitHub 代码库中的隐藏管理端点。结合 Google 标签管理器(GTM 容器) 通过该集成,运维人员可以随时在运行中的网站上远程注入和修改 JavaScript 代码——而无需更新公开的代码库。这是一种伪装成分析功能的远程代码执行途径。

坚不可摧的基础设施

[REDACTED] 并未使用廉价的共享主机。它运行在经过精心挑选的高端、坚不可摧的基础设施上,旨在抵御关停请求和执法部门的干预。

主机与网络 IOC

指标
域名[REDACTED]
注册处IANA #1479(2016 – 2031,15年注册期)
主机服务商IANA #1241(每月550美元起)
IP地址186.2.165.49
ASNAS59692
CDN / DDoS防护DDoS-Guard
Web 服务器Apache 2.4.58(Ubuntu)
后端PHP 8.2.29
SSL证书Let's Encrypt(自动续期)
Tor 镜像[REDACTED].onion
年度基础设施成本$8,000 – $15,000+

跟踪与分析 IOCs

追踪器请求 / 会话标识符
Google 标签管理器12GTM 容器
Google Analytics (UA)12UA-116766241-1
Google Analytics 45GA4 数据流
DoubleClick1广告跟踪像素
DDoS-Guard Cookie __ddg8_, __ddg9_, __ddg10_, __ddg1_

$8K-$15K/Year for a "Free Volunteer Wallet"

一个合法的免费钱包不会每月花费550美元以上,使用由DDoS-Guard保护的IANA #1241防弹主机——这套基础设施专为抵御滥用投诉和执法部门的传票而设计。它也不会注册一个有效期长达15年的域名。 它也不会在一款“注重隐私”的门罗币钱包上运行 Google Analytics 追踪功能。这一基础设施的构建仅有一个目的: 大规模且持续的盗窃行为.

已确认操作员:娜塔莉·罗伊

开源情报显示,[REDACTED] 的基础设施可直接追溯到某位个人。

字段详情
姓名娜塔莉·罗伊
位置加拿大
GitHub 用户名nathroy (ID: 39167759)
GitHub 组织[REDACTED] (创建于 2018-05-10)
电子邮件(管理员)admin@[REDACTED]
电子邮件(个人)royn5094@protonmail.com
Redditu/WiseSolution (被r/Monero禁言)
Twitter[REDACTED]
邮件服务器 (MX)[REDACTED]

被封禁、曝光,仍在活跃

娜塔莉·罗伊被禁止参加官方 r/Monero 子版块 2018年,该网站曾用于推广 [REDACTED]。GitHub 上的最后一次提交发生在同年。6年多来,公开的源代码一直处于冻结状态,而实际运行的网站却使用完全不同的代码积极窃取资金。该域名的注册有效期已续至2031年——运营方显然不会轻易离开。

有记录的受害者

至少 15例公开报告的病例 在Trustpilot、Sitejabber、Reddit和GitHub Issues上,有关资金被盗的报告层出不穷。真实的人。真金白银。一去不复返。

15+
公开报告
590 XMR
单笔最大金额(17.7万美元)
0
多年的盗窃
$2M-$15M+
估计总额
  • 590 XMR(约177,000美元) — 单起盗窃案,有记录以来最大的一起
  • 17.44 XMR — 通过链上交易 ID 记录
  • 一夜之间被盗20 XMR — 用户睡觉时钱包被清空
  • 多份报告显示“未知交易 ID” — 该 swept 标签签名
  • 已删除 GitHub 问题 #13 及以上 — 操作员从报告库中删除了受害者报告

证据被删除,没有捐赠钱包

该运营方正在主动删除GitHub Issues上的受害者报告(#13之前的所有问题都已消失)。该网站声称接受捐赠,但 从未公布过任何捐赠钱包地址. 一个每年花费8K-$15K的“独立项目”为什么会拒绝捐款?因为其收入来自盗窃。

事件时间线

2014-2024年时间线:[REDACTED] 10,000+个密钥被盗——从网站上线到出现首批受害者,直至运营者身份被确认
2014-2024年时间线:[REDACTED] 10,000+个密钥被盗——从网站上线到出现首批受害者,直至运营者身份被确认
2016

域名已注册 — [REDACTED]

通过 IANA #1479 注册,使用 15年的注册期限 (2016-2031)。作为一款免费的开源门罗币网络钱包推出。

2018年5月

已创建 GitHub 组织

[REDACTED] GitHub 组织创建于 2018-05-10 作者:nathroy(ID:39167759)。以“透明度作秀”为名推送的公开代码。

2018

封禁与代码冻结

操作员 u/WiseSolution 被r/Monero禁言 用于推广垃圾信息。大约在这个时间点的最后一次 GitHub 提交。受害者的问题报告开始被删除(问题 #1-#12 已消失)。

2018 – 2024

6年的沉默

公开代码库已被冻结。生产环境代码与之完全不同,包含混淆的 JavaScript 代码、未记录的参数以及后门端点。Trustpilot 和 Reddit 上关于受害者的报告不断增加。

2025 – 2026

THE ENABLERS REGISTRY”调查

网络流量分析显示 session_key 数据外泄。JavaScript 去混淆结果证实了这一点 raw_tx = 0 事务劫持。相关证据已发布在 GitHub Issues 上 #35 & #36.

2026年2月

报告已发布——域名仍处于活跃状态

完整技术报告已发布。[REDACTED] 仍可访问。域名已通过 2031. DDoS-Guard 具备抗关停能力。

全部证据及原始资料

本文中的每一项论点都有公开可验证的证据作为依据。请下载相关报告,验证代码,并亲自检查网络抓包数据。

安全的替代方案

切勿在任何网络钱包中输入私钥。 就这样。请使用经过验证和审计、并在您的设备上本地运行的软件。

桌面钱包

门罗币图形用户界面 — 官方钱包,功能齐全,开源,经过审计
羽毛钱包 — 轻量、快速、注重隐私的桌面钱包

移动钱包

莫内鲁霍 (Android) — 开源,支持 Tor
Cake 钱包 (iOS/Android) — 支持多种加密货币,维护良好

加密货币的黄金法则

切勿在以下位置输入您的助记词、私钥或查看密钥: 任何网站. 正规的钱包在本地运行——它们绝不会将您的密钥发送至服务器。如果某个网页钱包要求您提供私钥,那肯定是骗局。为了获得最高安全性,请使用配备官方门罗币软件的硬件钱包(如[REDACTED][REDACTED])。

保护社区

[REDACTED] 已经盗取门罗币长达10年之久。相关证据已公开。运营者身份已确认。请分享此调查报告。举报该域名。帮助我们将其关闭。

相关调查

[REDACTED] 的终结:IANA #1479 为庇护一名盗取 200 万美元加密货币的窃贼而撒谎
调查
[REDACTED] 的终结:IANA #1479 为庇护一名盗取 200 万美元加密货币的窃贼而撒谎
[REDACTED] 钓鱼攻击小组:23.9万美元被盗,6名操作者
深度调查
[REDACTED] 钓鱼攻击小组:23.9万美元被盗,6名操作者
深度调查
加密货币盗币工具包:Angel Drainer 经销商曝光

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings