Theo một bài đăng trên Reddit của đội ngũ phát triển, phần mềm trong phần tải xuống trong website chính thức của Monero dính một mã độc mà có thể bị lợi dụng để đánh cắp tiền điện tử.
Công cụ giao diện tại getmonero.org đã bị tấn công trong vòng 24 giờ qua. Theo thông cáo chính thức, đội ngũ cho biết hash của các phần mềm tải về không khớp với các hash được kỳ vọng.
Phần mềm đã dính mã độc
Trên GitHub, một chuyên gia có nickname Serhack cho biết phần mềm do máy chủ này phân phối đã bị nhiễm mã độc:
“Tôi có thể xác nhận mã độc này có thể đánh cắp coin. Gần 9 giờ sau khi tôi chạy chương trình này, tất cả tiền đã bay mất sau một giao dịch. Tôi đã tải về ngày hôm qua khoảng 6h tối.”
Biện pháp bảo mật cần thiết
Hash là chức năng không thể đảo ngược, và trong trường hợp này được dùng để tạo ra các chuỗi ký tự và số ngẫu nhiên.
Cộng đồng nguồn mở thường lưu dãy hash được tạo ra từ phần mềm và giữ trên một máy chủ tách biệt. Nhờ biện pháp này, người dùng có thể tạo hash từ các tệp họ đã tải và kiểm tra với những tệp khác.
Nếu dãy hash tạo ra từ tệp tải về khác, điều đó đồng nghĩa là phiên bản đã bị máy chủ thay thế bằng mã do mã độc tạo ra. Thông cáo nêu như sau:
“Dường như trang web đã bị tấn công và một CLI đã chiếm sóng trong vòng 35 phút. Các bản tải về hiện đã được trả về nguồn an toàn […] Nếu bạn tải về bản binaries trong 24 giờ vừa qua, hãy kiểm tra độ tin cậy của các tệp này, làm ngay lập tức. Nếu hash không khớp, đừng khởi động.”
Nhìn chung, cộng đồng phát triển blockchain hiện đang theo dõi sát sao những lỗi khác và đang cố duy trì độ bảo mật của mạng lưới.
Vào giữa tháng 9, nhà phát triển sàn giao dịch phân quyền Ethereum AirSwap tuyên bố phát triển giao thức bảo mật riêng cho dự án. Nói chính xác hơn, họ đã phát hiện ra một lỗ hỏng rất lớn trong hợp đồng thông minh mới của hệ thống.
Và để bảo toàn tính bảo mật của mạng lưới, một số tổ chức đã tổ chức chương trình bounty để thưởng cho những hacker mũ trăng phát hiện ra các lỗ hỏng này sớm nhất có thể.
Theo Cointelegraph
Có thể bạn quan tâm:
