
Một vi phạm gần đây nhắm vào Monero ví huy động vốn cộng đồng của cộng đồng, rút hết số tiền tổng cộng là 2,675.73 XMR, tương đương khoảng 460,000 USD.
Vụ vi phạm xảy ra vào ngày 1 tháng 2, nhưng phải đến ngày XNUMX tháng XNUMX, nhà phát triển Luigi của Monero mới tiết lộ vụ việc trên GitHub. Ông báo cáo rằng nguồn gốc của vi phạm vẫn chưa được biết.
“Vào ngày đầu tiên của tháng 2023 năm 2,675.73, Ví CCS đã bị rút hết tổng số tiền, lên tới 244 XMR, ngay trước nửa đêm. Ví nóng, dành riêng để thanh toán cho những người đóng góp của chúng tôi, không bị ảnh hưởng và hiện nắm giữ khoảng XNUMX XMR. Chúng tôi vẫn đang điều tra và chưa xác định được nguồn gốc của vụ vi phạm an ninh”, Luigi nói.
Hệ thống huy động vốn từ cộng đồng Monero (CCS) chịu trách nhiệm tài trợ cho các sáng kiến phát triển của cộng đồng. Ricardo “Fluffypony” Spagni, một nhà phát triển khác của Monero, bày tỏ sự thất vọng trong cuộc thảo luận, chỉ ra hành vi vi phạm đạo đức vì những khoản tiền bị đánh cắp này có thể rất quan trọng đối với chi phí sinh hoạt cơ bản của ai đó.
Luigi và Spagni là những cá nhân duy nhất có quyền truy cập vào cụm từ hạt giống của ví. Luigi đã đề cập rằng ví CCS ban đầu được thiết lập trên nền tảng Ubuntu vào năm 2020, nền tảng này cũng chạy nút Monero. Để thực hiện thanh toán cho các thành viên cộng đồng, Luigi đã vận hành ví nóng trên hệ thống Windows 10 Pro kể từ năm 2017. Ví nóng đã nhận tiền từ ví CCS khi cần thiết. Tuy nhiên, vào ngày 1 tháng XNUMX, ví CCS đã trống rỗng sau XNUMX giao dịch riêng biệt. Đáp lại, nhóm nòng cốt Monero đã đề xuất rằng Quỹ chung nên bồi thường cho các nghĩa vụ tài chính trước mắt.
Spagni cho rằng sự cố này có thể liên quan đến một chuỗi các cuộc tấn công đã xảy ra kể từ tháng 4, liên quan đến nhiều thỏa hiệp bảo mật khác nhau, bao gồm cả dữ liệu ví bị đánh cắp từ nhiều loại tiền điện tử.
Một số nhà phát triển khác suy đoán rằng vi phạm có thể xảy ra do bị lộ khóa ví trên máy chủ Ubuntu.
Nhà phát triển Marcovelon, dưới một bút danh, đã đưa ra giả thuyết rằng máy tính Windows của Luigi có thể đã bị xâm nhập và đăng ký vào mạng botnet mà không bị phát hiện. Ông đưa ra giả thuyết rằng những kẻ tấn công có thể đã thực hiện vụ trộm bằng cách sử dụng thông tin đăng nhập SSH bị đánh cắp hoặc bằng cách khai thác trojan để giành quyền kiểm soát máy tính từ xa trong khi Luigi không hề hay biết. Ông nhấn mạnh rằng những tình huống như vậy về việc máy của nhà phát triển bị xâm phạm và dẫn đến vi phạm an ninh doanh nghiệp nghiêm trọng không phải là chưa từng có.