Il software disponibile sul sito ufficiale di Monero (XMR) è stato compromesso: a rivelarlo è un post pubblicato su Reddit dal team di sviluppo della moneta.

Nelle ultime 24 ore, i tool CLI (command-line interface) disponibili su getmonero.org potrebbero essere stati compromessi. Nell'annuncio, il team osserva che l'hash dei file disponibili per il download non corrispondeva agli hash previsti.

Il software era dannoso

Su GitHub, un investigatore professionista chiamato Serhack ha affermato che il software distribuito dopo che il server è stato compromesso è effettivamente dannoso:

“Posso confermare che i file binari sono dannosi e rubano monete. Circa 9 ore dopo aver aperto il file, una singola transazione ha svuotato il wallet. Ho scaricato la build ieri intorno alle 18:00 PST. ”

Un'importante pratica di sicurezza

Gli hash sono funzioni matematiche non reversibili che, in questo caso, vengono utilizzate per generare una stringa alfanumerica a partire da un file, che diventa diversa se qualcuno apporta delle modifiche a tale file.

Quella di salvare l'hash generato a partire dal software su un server separato è una pratica molto popolare nella comunità open-source. Grazie a questa misura, gli utenti sono in grado di generare un hash dal file scaricato e confrontarlo con quello previsto.

Se l'hash generato dal file scaricato è diverso, è probabile che la versione distribuita dal server sia stata sostituita, possibilmente con una variante dannosa. L'annuncio su Reddit recita:

"Sembra che il server sia stato effettivamente compromesso, e per 35 minuti sono stati distribuiti dei file binari diversi. I download sono ora gestiti da una fonte di fallback sicura. [...] Se avete scaricato file binari nelle ultime 24 ore e non ne avete verificato l'integrità, fatelo immediatamente. Se gli hash non corrispondono, NON aprire quello che avete scaricato."

In generale, le comunità di sviluppo del settore blockchain sono piuttosto vigili nel tracciare le possibili vulnerabilità e nel difendere l'integrità della rete.

A metà settembre, lo sviluppatore del protocollo AirSwap ha rivelato di aver scoperto una vulnerabilità critica nel nuovo smart contract del sistema.

Al fine di incentivare l'integrità della rete, alcune organizzazioni hanno istituito dei programmi di ricompensa che premiano i cosiddetti white hat hacker che espongono tali problemi.