اخبار خارجی

نرم افزار مخرب روی وبسایت رسمی مونرو می‌تواند ارز دیجیتال بدزدد!

بر اساس پست منتشر شده توسط هسته مرکزی تیم توسعه کوین مونرو روی پلتفرم ردیت (Reddit) در تاریخ ۱۹ نوامبر، نرم‌ افزار قابل دانلود بر روی وبسایت مونرو در معرض سوءظن دزدی ارزهای دیجیتال قرار دارد و احتمالا شامل یک نرم افزار مخرب است.

ممکن است ابزارهای رابط خط فرمان (CLI) که بر روی وبسایت getmonero.org در دسترس هستند، طی بیست و چهار ساعت گذشته به خطر افتاده باشند. تیم توسعه‌دهنده‌ها در این بیانیه اظهار کردند که هش باینری‌های موجود برای دانلود، با هش‌های مورد انتظار مطابقت نداشتند.

نرم‌ افزار مخرب بود

یک کارآگاه رسیدگی حرفه‌ای که با نام Serhack در گیت هاب فعالیت می‌کند گفت نرم‌ افزاری که بعد از در خطر افتادن سرور توزیع شد، در واقع مخرب است. وی بیان کرد:

من می‌توانم تائید کنم که آن باینری مخرب در حال دزدیدن کوین‌ها است. تقریبا ۹ ساعت بعد از اینکه من باینری را راه‌اندازی کردم، یک تراکنش کیف پول را خالی کرد. من این ساختار را دیروز حدود ساعت ۶ بعدازظهر به وقت ساعت اقیانوس آرام (که هشت ساعت از ساعت گرینویچ عقب است) دانلود کردم.

یک اقدام امنیتی مهم

هش‌ها عملکردی ریاضی هستند که قابلیت برگشت پذیری ندارند که در این مورد برای ایجاد رشته‌ای شامل اعداد و حروف از یک فایل استفاده می‌شوند؛ یعنی اگر کسی بتواند تغییری روی فایل مورد نظر ایجاد کند، رشته به دست آمده متفاوت خواهد بود.

در جوامع متن باز  (Open source) این یک اقدام امنیتی مشهور به حساب می‌آید که هش به دست آمده از نرم‌ افزار را ذخیره کرده و آن را برای دانلود در دسترس قرار داد و آن را بر روی یک سرور جداگانه نگهداری کرد. به لطف این اقدام، کاربران قادر هستند یک هش از فایلی که دانلود می‌کنند ایجاد کنند و آن را در مقابل هش مورد انتظار بررسی کنند.

اگر هش ایجاد شده از فایل دانلود شده متفاوت باشد، احتمال دارد نسخه‌ توزیع شده توسط سرور – احتمالا با یک نسخه مخرب – جا به جا شده باشد. اعلامیه منتشر شده روی ردیت بیان می‌کند:

به نظر می‌رسد به مدت ۳۵ دقیقه محفظه در معرض خطر قرار گرفته بود و باینری‌های CLI متفاوت به کار رفته‌اند. دانلودها حالا از یک منبع ذخیره امن انجام می‌شوند. اگر طی ۲۴ ساعت گذشته باینری دانلود کرده‌اید و درستی فایل‌ها را بررسی نکرده‌اید، به سرعت این کار را انجام دهید. اگر هش‌ها با هم مطابقت ندارند، چیزی که دانلود کرده‌اید را اجرا نکنید.

به طور کلی، جوامع توسعه بلاک چین در ردیابی آسیب‌پذیری‌های ممکن و حفظ درستی شبکه، هوشیار هستند.

در اواسط ماه سپتامبر توسعه‌دهنده پروتکل صرافی غیرمتمرکز اتریوم، یک توسعه مهم و متفاوت برای امنیت پروژه‌شان را اعلام کردند. آنها کشف یک آسیب‌پذیری حیاتی در قرارداد هوشمند جدید سیستم را فاش کردند.

برای انگیزه بخشیدن به افزایش درستی شبکه، بعضی سازمان‌ها برنامه‌هایی به صورت اعانه تشکیل داده‌اند که به هکرهای هک سفید بابت افشا کردن آسیب‌پذیری‌ها جایزه می‌دهند.

منبع
cointelegraph

نوشته های مشابه

0 دیدگاه
Inline Feedbacks
View all comments
دکمه بازگشت به بالا