上星期,有用戶反映,指其從 Monero 官網 GetMonero下載的指令行介面(CLI)電子錢包,其二進制檔密碼雜湊值和 GitHub 上的版本不同,比對不成功。幾小時後,用戶發現原因不是計算錯誤,而是 Monero 官網上的版本是惡意程式。其後,Monero 方面證實,網上的 CLI 二進制檔遭到竄改,故用戶下載到的是惡意版本,對此,Monero 表示已經移除惡意版本,而相關惡意程式在官方網站出現的總時間為 35 分鐘。
根據網絡安全公司 BartBlaze 分析,黑客的攻擊手法是在 Monero 合法檔案中注入數行新函式,這些新函式可在用戶開啟或建立錢包後執行,更會將用戶錢包中的密鑰傳給到攻擊者設立的伺服器,使其得以竊取加密貨幣。
據現有報導,至少已有一名用戶受害:該用戶於 Reddit 表示,自己在執行程式後 9 小時,錢包內等值於 7000 美元的幣被全數偷光。
Monero 亦發表消息呼籲用戶,指用戶假如在 24 小時內下載了該二進制檔但無檢查其完整性,要盡快檢查;假如已作運作,則要立即使用安全版本的 Monero 錢包,將資金從當前使用(可能是惡意)可執行文件打開的所有錢包中轉出;並指將會發佈更多消息及已經對事件作深入調查。
