El software disponible para descargar en el sitio web oficial de Monero (XMR) se vio comprometido a robar criptomonedas, según una publicación de Reddit del 19 de noviembre. publicado por el equipo de desarrollo central de la moneda.
Las herramientas de la interfaz de línea de comandos (CLI) disponibles en getmonero.org pueden haberse visto comprometidas en las últimas 24 horas. En el anuncio, el equipo señala que el hash de los binarios disponibles para descargar no coincidía con el hashes esperados.
El software fue malicioso
En GitHub, un investigador profesional con el nombre de Serhack dijo que el software distribuido después de que el servidor se vio comprometido es de hecho malicioso, afirmando:
“Puedo confirmar que el binario malicioso está robando monedas. Aproximadamente 9 horas después de ejecutar el binario, una sola transacción drenó la billetera. Descargué la compilación ayer alrededor de las 6 p.m. hora del Pacífico ".
Una importante practica de seguridad
Los hashes son funciones matemáticas no reversibles que, en este caso, se utilizan para generar una cadena alfanumérica a partir de un archivo que habría sido diferente si alguien hubiera realizado cambios en el archivo.
Es una práctica popular en la comunidad de código abierto guardar el hash generado del software disponible para descargar y mantenerlo en un servidor separado. Gracias a esta medida, los usuarios pueden generar un hash del archivo que descargaron y compararlo con el esperado.
Si el hash generado del archivo descargado es diferente, entonces es probable que la versión distribuida por el servidor haya sido reemplazada, posiblemente con una variante maliciosa. El anuncio de Reddit dice:
"Parece que la caja se ha visto comprometida y diferentes binarios de CLI sirvieron durante 35 minutos. Las descargas ahora se sirven desde una fuente alternativa segura. (…) Si descargó archivos binarios en las últimas 24 horas y no verificó la integridad de los archivos, hágalo de inmediato. Si los hash no coinciden, NO ejecute lo que descargó ".
En general, las comunidades de desarrollo de blockchain están atentas para rastrear posibles vulnerabilidades y mantener la integridad de la red.
A mediados de septiembre, el desarrollador del protocolo de intercambio descentralizado Ethereum, los desarrolladores de AirSwap, anunciaron un desarrollo importante diferente para la seguridad de su proyecto. Más precisamente, revelaron el descubrimiento de una vulnerabilidad crítica en el nuevo contrato inteligente del sistema.
Con el fin de incentivar la integridad de la red, algunas organizaciones han fundado programas de recompensas que recompensan a los llamados piratas informáticos por exponer vulnerabilidades.