Thomas Daniels
In resinte ynbreuk rjochte op de Monero mienskip syn crowdfunding wallet, folslein draining syn fûnsen yn totaal 2,675.73 XMR, lykweardich oan likernôch $ 460,000.
De brek barde op 1 septimber, mar it wie net oant 2 novimber dat Monero-ûntwikkelder Luigi it ynsidint iepenbiere op GitHub. Hy melde dat de oarsprong fan 'e brek ûnbekend bliuwt.
"Op 'e earste septimber 2023 waard de CCS Wallet leechmakke fan har totale fûnsen, in bedrach fan 2,675.73 XMR, krekt foar de slach fan middernacht. De hot wallet, reservearre foar betellingen oan ús meiwurkers, waard net beynfloede en hâldt op it stuit sawat 244 XMR. Wy binne noch oan it ûndersykjen en hawwe de boarne fan 'e befeiligingsbreuk noch net fêststeld, "sei Luigi.
It Monero Community Crowdfunding System (CCS) is ferantwurdlik foar de finansiering fan 'e ûntwikkelingsinisjativen fan' e mienskip. Ricardo "Fluffypony" Spagni, in oare ûntwikkelder foar Monero, spruts syn ûntefredenens út yn 'e diskusje, en wiisde op' e etyske oertrêding, om't dizze stellen fûnsen kritysk kinne west hawwe foar ien syn basis libbenskosten.
Luigi en Spagni wiene de ienige persoanen mei tagong ta de siedfrase fan 'e beurs. Luigi neamde dat de CCS-wallet yn earste ynstânsje waard oprjochte op in Ubuntu-platfoarm yn 2020, dat ek in Monero-knooppunt rûn. Om betellingen út te fieren oan leden fan 'e mienskip, hat Luigi in hot wallet operearre op in Windows 10 Pro-systeem sûnt 2017. De hot wallet ûntfong fûnsen fan' e CCS-wallet as nedich. Op 1 septimber waard de CCS-wallet lykwols lege troch njoggen aparte transaksjes. As antwurd hat it Monero-kearnteam suggerearre dat it Algemiene Fûns de direkte finansjele ferplichtingen kompensearje moat.
Spagni suggerearre dat dit ynsidint ferbûn wêze koe mei in searje oanfallen dy't sûnt april tsjûge binne, wêrby't ferskate befeiligingskompromissen belutsen binne, ynklusyf stellen portemonneegegevens fan meardere cryptocurrencies.
Guon oare ûntwikkelders spekulearje dat de brek koe hawwe resultearre út de bleatstelling fan 'e wallet-kaaien op' e Ubuntu-tsjinner.
Untwikkelder Marcovelon, ûnder in skûlnamme, hypoteze dat de Windows-komputer fan Luigi miskien kompromittearre is en ynskreaun yn in botnet sûnder deteksje. Hy teoretisearre dat de oanfallers de oerfal koenen hawwe útfierd mei stole SSH-bewizen of troch in trojan te brûken om kontrôle op ôfstân te krijen, wylst Luigi it net wist. Hy markearre dat sokke senario's fan ûntwikkelmasines dy't kompromitteare wurde en liede ta wichtige ynbreuken op bedriuwsfeiligens net ongeëvenaard binne.
