بر اساس پست منتشر شده توسط هسته مرکزی تیم توسعه کوین مونرو روی پلتفرم ردیت (Reddit) در تاریخ ۱۹ نوامبر، نرم افزار قابل دانلود بر روی وبسایت مونرو در معرض سوءظن دزدی ارزهای دیجیتال قرار دارد و احتمالا شامل یک نرم افزار مخرب است.
ممکن است ابزارهای رابط خط فرمان (CLI) که بر روی وبسایت getmonero.org در دسترس هستند، طی بیست و چهار ساعت گذشته به خطر افتاده باشند. تیم توسعهدهندهها در این بیانیه اظهار کردند که هش باینریهای موجود برای دانلود، با هشهای مورد انتظار مطابقت نداشتند.
نرم افزار مخرب بود
یک کارآگاه رسیدگی حرفهای که با نام Serhack در گیت هاب فعالیت میکند گفت نرم افزاری که بعد از در خطر افتادن سرور توزیع شد، در واقع مخرب است. وی بیان کرد:
من میتوانم تائید کنم که آن باینری مخرب در حال دزدیدن کوینها است. تقریبا ۹ ساعت بعد از اینکه من باینری را راهاندازی کردم، یک تراکنش کیف پول را خالی کرد. من این ساختار را دیروز حدود ساعت ۶ بعدازظهر به وقت ساعت اقیانوس آرام (که هشت ساعت از ساعت گرینویچ عقب است) دانلود کردم.
یک اقدام امنیتی مهم
هشها عملکردی ریاضی هستند که قابلیت برگشت پذیری ندارند که در این مورد برای ایجاد رشتهای شامل اعداد و حروف از یک فایل استفاده میشوند؛ یعنی اگر کسی بتواند تغییری روی فایل مورد نظر ایجاد کند، رشته به دست آمده متفاوت خواهد بود.
در جوامع متن باز (Open source) این یک اقدام امنیتی مشهور به حساب میآید که هش به دست آمده از نرم افزار را ذخیره کرده و آن را برای دانلود در دسترس قرار داد و آن را بر روی یک سرور جداگانه نگهداری کرد. به لطف این اقدام، کاربران قادر هستند یک هش از فایلی که دانلود میکنند ایجاد کنند و آن را در مقابل هش مورد انتظار بررسی کنند.
اگر هش ایجاد شده از فایل دانلود شده متفاوت باشد، احتمال دارد نسخه توزیع شده توسط سرور – احتمالا با یک نسخه مخرب – جا به جا شده باشد. اعلامیه منتشر شده روی ردیت بیان میکند:
به نظر میرسد به مدت ۳۵ دقیقه محفظه در معرض خطر قرار گرفته بود و باینریهای CLI متفاوت به کار رفتهاند. دانلودها حالا از یک منبع ذخیره امن انجام میشوند. اگر طی ۲۴ ساعت گذشته باینری دانلود کردهاید و درستی فایلها را بررسی نکردهاید، به سرعت این کار را انجام دهید. اگر هشها با هم مطابقت ندارند، چیزی که دانلود کردهاید را اجرا نکنید.
به طور کلی، جوامع توسعه بلاک چین در ردیابی آسیبپذیریهای ممکن و حفظ درستی شبکه، هوشیار هستند.
در اواسط ماه سپتامبر توسعهدهنده پروتکل صرافی غیرمتمرکز اتریوم، یک توسعه مهم و متفاوت برای امنیت پروژهشان را اعلام کردند. آنها کشف یک آسیبپذیری حیاتی در قرارداد هوشمند جدید سیستم را فاش کردند.
برای انگیزه بخشیدن به افزایش درستی شبکه، بعضی سازمانها برنامههایی به صورت اعانه تشکیل دادهاند که به هکرهای هک سفید بابت افشا کردن آسیبپذیریها جایزه میدهند.
