Die Software, die auf der offiziellen Website von Monero (XMR) zum Herunterladen zur Verfügung steht, wurde kompromittiert, um Kryptowährung zu stehlen, so ein Reddit-Post vom 19. November, der vom Entwicklungsteam der Münze veröffentlicht wurde.

Die unter getmonero.org verfügbaren Tools für die Befehlszeilenschnittstelle (CLI) wurden in den letzten 24 Stunden möglicherweise beschädigt. In der Ankündigung stellt das Team fest, dass der Hash der zum Download verfügbaren Binärdateien nicht mit den erwarteten Hashes übereinstimmt.

Die Software Bitcoin Circuit war bösartig

Auf GitHub sagte ein professioneller Bitcoin Circuit Ermittler namens Serhack, dass die Software, die nach der Kompromittierung des Servers verteilt wurde, tatsächlich bösartig sei:

„Ich kann bestätigen, dass die bösartige Binärdatei Münzen stiehlt. Ungefähr 9 Stunden nachdem ich die Binärdatei ausgeführt hatte, leerte eine einzelne Transaktion die Brieftasche. Ich habe den Build gestern gegen 18 Uhr Pazifikzeit heruntergeladen.“

Eine wichtige Sicherheitspraxis

Hashes sind nicht umkehrbare mathematische Funktionen, die in diesem Fall verwendet werden, um eine alphanumerische Zeichenkette aus einer Datei zu erzeugen, die anders gewesen wäre, wenn jemand Änderungen an der Datei vorgenommen hätte.

Es ist eine beliebte Praxis in der Open-Source-Community, den von der zum Download verfügbaren Software erzeugten Hash zu speichern und auf einem separaten Server aufzubewahren. Dank dieser Maßnahme können Benutzer aus der heruntergeladenen Datei einen Hash erzeugen und ihn mit der erwarteten vergleichen.

Wenn der aus der heruntergeladenen Datei generierte Hash anders ist, dann ist es wahrscheinlich, dass die vom Server verteilte Version ersetzt wurde – möglicherweise durch eine bösartige Variante. Die Reddit-Ankündigung lautet:

„Es scheint, dass die Box tatsächlich kompromittiert wurde und verschiedene CLI-Binaries 35 Minuten lang bedient wurden. Downloads werden nun von einer sicheren Rückfallquelle bereitgestellt. Wenn Sie Binärdateien in den letzten 24 Stunden heruntergeladen haben und die Integrität der Dateien nicht überprüft haben, tun Sie es sofort. Wenn die Hashes nicht übereinstimmen, führen Sie NICHT das aus, was Sie heruntergeladen haben.“

Bitcoin Circuit Geschenk

Im Allgemeinen sind Blockchain-Entwicklungsgemeinschaften wachsam bei der Verfolgung möglicher Schwachstellen und der Aufrechterhaltung der Netzwerkintegrität.

Mitte September kündigten die Entwickler des dezentralen Austauschprotokolls Ethereum von AirSwap eine andere wichtige Entwicklung für die Sicherheit ihres Projekts an. Genauer gesagt, offenbarten sie die Entdeckung einer kritischen Schwachstelle im neuen Smart Contract des Systems.

Um die Netzwerkintegrität zu erhöhen, haben einige Unternehmen Bounty-Programme ins Leben gerufen, die sogenannte White-Hack-Hacker für die Aufdeckung von Schwachstellen belohnen.