上星期,有用户反映,指其从 Monero 官网 GetMonero下载的指令行接口(CLI)电子钱包,其二进制档密码杂凑值和 GitHub 上的版本不同,比对不成功。几小时后,用户发现原因不是计算错误,而是 Monero 官网上的版本是恶意程式。其后,Monero 方面证实,网上的 CLI 二进制档遭到窜改,故用户下载到的是恶意版本,对此,Monero 表示已经移除恶意版本,而相关恶意程式在官方网站出现的总时间为 35 分钟。
根据网络安全公司 BartBlaze 分析,黑客的攻击手法是在 Monero 合法档案中注入数行新函式,这些新函式可在用户开启或建立钱包后执行,更会将用户钱包中的密钥传给到攻击者设立的服务器,使其得以窃取加密货币。
据现有报导,至少已有一名用户受害:该用户于 Reddit 表示,自己在执行程式后 9 小时,钱包内等值于 7000 美元的币被全数偷光。
Monero 亦发表消息呼吁用户,指用户假如在 24 小时内下载了该二进制档但无检查其完整性,要尽快检查;假如已作运作,则要立即使用安全版本的 Monero 钱包,将资金从当前使用(可能是恶意)可执行文件打开的所有钱包中转出;并指将会发布更多消息及已经对事件作深入调查。
