تم اختراق البرنامج المتاح للتنزيل على موقع مونيرو (XMR) الرسمي لسرقة العملة المشفرة، وذلك وفقًا لما نشره موقع ريديت بتاريخ ١٩ نوفمبر نشره فريق التطوير الأساسي للعملة.

وقد تكون أدوات واجهة سطر الأوامر (CLI) المتوفرة في getmonero.org قد تعرضت للاختراق على مدار الأربع وعشرين ساعة الماضية. وفي الإعلان، لاحظ الفريق أن تجزئة الثنائيات المتاحة للتنزيل لا تتطابق مع معدلات الهاش المتوقعة.

كان البرنامج ضارًا

على غيتهاب، قال محقق محترف يدعى Serhack أن البرنامج الموزع بعد تعرض الخادم للخطر هو في الواقع ضار، حيث قال:

"يمكنني أن أؤكد أن الثنائي الخبيث يسرق العملات. وبعد ٩ ساعات تقريبًا من تشغيل البرنامج الثنائي، استنزفت المعاملة محفظة واحدة. وقد قمت بتنزيل الإصدار أمس في حوالي الساعة ٦ مساءً بتوقيت المحيط الهادئ."

ممارسة أمنية مهمة

تعد معدلات الهاش دالات رياضية غير قابلة للانعكاس يتم استخدامها، في هذه الحالة، لإنشاء سلسلة أبجدية رقمية من ملف كان يمكن أن يكون مختلفًا إذا قام شخص ما بإجراء تغييرات على الملف.

ومن الممارسات الشائعة في مجتمع المصادر المفتوحة حفظ الهاش المتولد من البرامج المتاحة للتنزيل والاحتفاظ بها على خادم منفصل. وبفضل هذا التدبير، يمكن للمستخدمين إنشاء معدل هاش من الملف الذي قاموا بتنزيله والتحقق من ذلك مقارنةً بالبرنامج المتوقع.

وإذا كانت علامة التجزئة الناتجة عن الملف الذي تم تنزيله مختلفة، فمن المحتمل أن النسخة التي وزعها الخادم قد تم استبدالها - ربما باستخدام متغير ضار. وينص إعلان رديت على ما يلي:

"يبدو أن الصندوق قد تم اختراقه بالفعل وتم تقديم ثنائيات CLI مختلفة لمدة ٣٥ دقيقة. ويتم تقديم التنزيلات الآن من مصدر احتياطي آمن. [...] إذا قمت بتنزيل الثنائيات في آخر ٢٤ ساعة ولم تتحقق من سلامة الملفات، فقم بذلك على الفور. وإذا كانت معدلات الهاش غير متطابقة، فلا تقم بتشغيل ما قمت بتنزيله."

من أجل تحفيز تكامل الشبكة، أنشأت بعض المنظمات برامج مكافآت تكافئ ما يسمى بالمخترقين الأخلاقيين على كشف الثغرات الأمنية.