O software disponível para download no site oficial de Monero (XMR) foi comprometido para roubar criptomoeda, de acordo com uma postagem no Reddit de 19 de novembro publicada pela equipe de desenvolvimento do núcleo da moeda.

As ferramentas da interface da linha de comandos (CLI) disponíveis em getmonero.org podem ter sido comprometidas nas últimas 24 horas. No anúncio, a equipe observa que o hash dos binários disponíveis para download não corresponde aos hashes esperados.

O software era malicioso

No GitHub, um investigador profissional chamado Serhack disse que o software distribuído após o comprometimento do servidor é realmente malicioso, afirmando:

“Posso confirmar que o binário malicioso está roubando moedas. Aproximadamente 9 horas após eu executei o binário, uma única transação esgotou a carteira. Eu baixei a versão ontem por volta das 18h, horário do Pacífico.”

Uma importante prática de segurança

Hashes são funções matemáticas não reversíveis que, nesse caso, são usadas para gerar uma sequência alfanumérica de um arquivo que seria diferente se alguém fizesse alterações no arquivo.

É uma prática popular na comunidade de código aberto salvar o hash gerado a partir do software disponível para download e mantê-lo em um servidor à parte. Graças a essa medida, os usuários podem gerar um hash a partir do arquivo baixado e compará-lo com o esperado.

Se o hash gerado a partir do arquivo baixado for diferente, é provável que a versão distribuída pelo servidor tenha sido substituída - possivelmente por uma variante maliciosa. O anúncio do Reddit diz:

“Parece que a caixa foi realmente comprometida e diferentes binários da CLI foram servidos por 35 minutos. Agora, os downloads são fornecidos a partir de uma fonte segura de fallback. [...] Se você baixou binários nas últimas 24h e não verificou a integridade dos arquivos, faça-o imediatamente. Se os hashes não corresponderem, NÃO rode o que você baixou.”

Em geral, as comunidades de desenvolvimento de blockchain estão vigilantes no rastreamento de possíveis vulnerabilidades e na manutenção da integridade da rede.

Em meados de setembro, o desenvolvedor do protocolo de exchange descentralizada de Ethereum AirSwap, anunciaram um desdobramento importante diferente para a segurança do projeto. Mais precisamente, eles revelaram a descoberta de uma vulnerabilidade crítica no novo contrato inteligente do sistema.

Para incentivar a integridade da rede, algumas organizações criaram programas de recompensa que recompensam os chamados hackers white-hack por exposição de vulnerabilidades.