門羅幣官網遭黑客攻擊:CLI安裝包被替換為惡意版本
在官方下載頁面下載的64位Linux命令行(CLI)門羅幣(Monero)安裝包中發現盜幣程序之後,Monero Project宣布已經對其進行調查。門羅幣團隊在推特上表示:“在過去24小時中,從http://getmonero.org網站下載的CLI安裝包可能已經遭到了破壞。目前已經在調查中。”
根據GitHub、Reddit和Twitter上多位用戶的報告和確認,門羅幣官網所提供的安裝包可能存在惡意軟件,其HASH值的不匹配時間超過30分鐘。目前,所有二進製文件都是乾淨的,因為它們當前是從安全的備用主機服務器交付的。
在Reddit社區,Monero subreddit版主鼓勵用戶“檢查二進製文件的完整性,並驗證它們是否是由Fluffypony的GPG密鑰簽名”。儘管尚未報告Windows和macOS文件受到破壞,但是所有平台的用戶都應檢查所有下載的Monero二進製文件的哈希值,因為它們可能都已被惡意版本切換。
可以在官方網站上下載所有Monero二進製文件的正確哈希值:https://web.getmonero.org/downloads/hashes.txt。
門羅幣發布消息稱:“如果您在最近24小時內下載了二進製文件,但沒有檢查文件的完整性,請立即進行操作。如果哈希值不匹配,請不要運行您下載的內容。如果您已經運行過它們,請立即使用安全版本的Monero錢包將資金從您使用(可能是惡意)可執行文件打開的所有錢包中轉出(我們所說的在線錢包是安全的-但請檢查哈希值) 。更多信息將發布,目前已經對此事進行深入調查。”
在美國東部時間11月19日17:31的時候,門羅幣發布了更新,警告“CLI錢包的安裝包在短時間內遭到入侵”:
昨天,有關此網站的哈希值不匹配的GitHub問題已初步明朗。快速調查發現,CLI錢包的安裝包已被盜用,並且正在提供惡意版本。該問題立即得到解決,這意味著受感染的文件僅在很短的時間出現。現在可以從另一個安全的來源提供安裝文件。請參閱核心團隊成員binaryfate的reddit帖子。
強烈建議在UTC星期一18:30到UTC的4:30之間從本網站下載CLI錢包的任何人檢查其二進製文件的哈希值。如果它們與官方文件不匹配,請刪除文件並重新下載。不要出於任何原因運行受損的二進製文件。
我們有兩個指南可用來幫助用戶檢查二進製文件的真實性:在Windows上驗證二進製文件(入門)和在Linux,Mac或Windows命令行上驗證二進製文件(高級)。簽名的哈希值可以在這裡找到:https://getmonero.org/downloads/hashes.txt。