调查人员发现Monero官方网站上的恶意软件可以窃取加密货币

 
硬币的核心开发团队在11月19日发布的Reddit帖子中说，可在Monero(XMR)官方网站上下载的软件被盗窃了加密货币。
在过去的24小时内，getmonero.org上可用的命令行界面(CLI)工具可能已受到攻击。在公告中，团队注意到可下载的二进制文件的哈希值与预期的哈希值不匹配。
该软件是恶意软件
在GitHub上，一位名叫Serhack的专业研究人员表示，服务器受到攻击后分发的软件确实是恶意的，并指出：“我可以确认恶意二进制文件正在窃取硬币。我运行二进制文件大约9个小时后，单笔交易耗尽了钱包。我昨天是太平洋时间下午6点左右下载的版本。”
重要的安全实践
哈希是不可逆的数学函数，在这种情况下，哈希函数用于从文件生成字母数字字符串，如果有人要对该文件进行更改，则该字母数字字符串会有所不同。
在开源社区中，一种流行的做法是保存从可下载的软件生成的哈希并将其保存在单独的服务器上。由于采取了这种措施，用户可以从下载的文件中生成哈希值，并对照预期的值进行检查。
如果从下载文件生成的哈希值不同，则很可能是由服务器分发的版本已被替换—可能是恶意变体。 Reddit公告内容如下：“看来该盒子确实遭到入侵，并且不同的CLI二进制文件运行了35分钟。现在可以从安全的备用来源提供下载。 […]如果您在过去24小时内下载了二进制文件，但没有检查文件的完整性，请立即进行操作。如果哈希值不匹配，请不要运行您下载的内容。”
一般而言，区块链开发社区会警惕跟踪可能的漏洞并维护网络完整性。
9月中旬，以太坊去中心化交换协议的开发商AirSwap的开发商宣布了一项针对其项目安全性的重要开发项目。更准确地说，他们揭示了系统新的智能合约中一个关键漏洞的发现。
为了激励网络完整性，一些组织已经建立了赏金计划，奖励赏识漏洞的所谓白黑客。