【轉數快】Monero電子錢包暗藏指令 用家亂裝一開清袋
供應鏈(supply chain)攻擊,可以話係最易令人中招嘅攻擊手法,因為一般人對放喺官網嘅嘢都比較有信心,好少會懷疑提供下載嘅檔案會唔安全,當然如果所謂官網係細公司製作又或做得流流哋,咁又另當別論啦。今次出事嘅係加密貨幣門羅(Monero)幣,有用家話喺檢查由 GetMonero 下載落嚟嘅電子錢包時,發現同官網列出嘅雜湊值(hash)唔一致,懷疑電子錢包俾人做咗手腳。經調查後,發現呢個並唔係錯誤,而係針對 GetMonero 用家嘅惡意攻擊,目的係偷走佢哋嘅門羅幣。
事件發生後,GetMonero 即刻對自己網站上嘅各種版本電子錢包進行分析,發現 Linux 版本俾黑客加入咗幾項特別功能,其中一項係當用家開啟或創建一個電子錢包時,就會自動將用嚟進入錢包嘅 key,傳送去黑客嘅伺服器,黑客就可以用呢條 key 入受害者帳戶轉帳。GetMonero 證實喺 11 月 18 日凌晨兩點半至同日下午四點半期間,下載嘅電子錢包都可能存在問題,建議用家檢查清楚 hash 值,如發現唔同就要即刻刪除。
GetMonero 官網入面嘅電子錢包被加料,暫時都未有原因公布,到底純粹係採用嘅開源程式碼出事,定係網站嘅防線被攻破?不過,呢次事故至少有一個用家報稱遭殃,當佢喺上述時間內下載咗 Linux 版電子錢包及安裝後,喺九個鐘內 Monero 帳戶即被清空,損失約價值 7000 美元嘅門羅幣,認真無辜。
其實而家供應鏈攻擊事件咁猖獗,唔想中招,大家就要留意下官方有無提供軟件雜湊值,如果有,咁大家下載完軟件,喺安裝前都可以檢查下載版本同官網版本係咪一致,減少中招風險。