硬幣的核心開發團隊在11月19日發布的Reddit帖子中說,在Monero(XMR)官方網站上可以下載的軟件被盜竊了加密貨幣。
在過去的24小時內,getmonero.org上可用的命令行界面(CLI)工具可能已受到攻擊。在公告中,團隊注意到可下載的二進製文件的哈希值與預期的哈希值不匹配。
該軟件是惡意軟件
在GitHub上,一位名叫Serhack的專業研究人員表示,服務器受到威脅後分發的軟件確實是惡意的,並指出:
“我可以確認惡意二進製文件正在竊取硬幣。我運行二進製文件大約9個小時後,單筆交易耗盡了錢包。我昨天是太平洋時間下午6點左右下載的版本。”
重要的安全實踐
哈希是不可逆的數學函數,在這種情況下,哈希函數用於從文件生成字母數字字符串,如果有人要對該文件進行更改,則該字母數字字符串會有所不同。
在開源社區中,一種流行的做法是保存從可下載的軟件生成的哈希並將其保存在單獨的服務器上。由於採取了這種措施,用戶可以從下載的文件中生成哈希值,並對照預期的值進行檢查。
如果從下載文件生成的哈希值不同,則很可能是由服務器分發的版本已被替換—可能是惡意變體。Reddit公告內容如下:
“看來該盒子確實遭到入侵,並且不同的CLI二進製文件運行了35分鐘。現在可以從安全的備用來源提供下載。[…]如果您在過去24小時內下載了二進製文件,但沒有檢查文件的完整性,請立即進行操作。如果哈希值不匹配,請不要運行您下載的內容。”
一般而言,區塊鏈開發社區會警惕跟踪可能的漏洞並維護網絡完整性。
9月中旬,以太坊去中心化交換協議的開發商AirSwap的開發商宣布了一項針對其項目安全性的重要開發項目。更準確地說,他們揭示了在系統的新智能合約中發現了一個嚴重漏洞。
為了激勵網絡完整性,一些組織已經建立了賞金計劃,獎勵賞識漏洞的所謂白黑客。
來源 : Cointelegraph.com
Telegram : https://t.me/blockchainsdaily