Un malware en el sitio web oficial de Monero podría robar criptos, según investigador

El software disponible para descargar en el sitio web oficial de Monero (XMR) se vio comprometido con robo de criptomonedas, según una publicación de Reddit del 19 de noviembre publicada por el equipo central de desarrollo de la moneda.

Las herramientas de la interfaz de línea de comandos (CLI) disponibles en getmonero.org pueden haberse visto comprometidas en las últimas 24 horas. En el anuncio, el equipo señala que el hash de los binarios disponibles para descargar no coincidía con los hash esperados.

El software fue malicioso

En GitHub, un investigador profesional con el nombre de Serhack dijo que el software distribuido después de que el servidor se vio comprometido es, de hecho, malicioso, afirmando:

“Puedo confirmar que el binario malicioso está robando monedas. Aproximadamente 9 horas después de ejecutar el binario, una sola transacción drenó la billetera. Descargué la compilación ayer alrededor de las 6 p.m. hora del Pacífico".

Una importante práctica de seguridad

Los hashes son funciones matemáticas no reversibles que, en este caso, se utilizan para generar una cadena alfanumérica a partir de un archivo que habría sido diferente si alguien hubiera realizado cambios en el archivo.

Es una práctica popular en la comunidad de código abierto guardar el hash generado del software disponible para descargar y mantenerlo en un servidor separado. Gracias a esta medida, los usuarios pueden generar un hash del archivo que descargaron y compararlo con el esperado.

Si el hash generado del archivo descargado es diferente, entonces es probable que la versión distribuida por el servidor haya sido reemplazada, posiblemente con una variante maliciosa. El anuncio de Reddit dice:

"Parece que la caja se ha visto comprometida y diferentes binarios de CLI estuvieron durante 35 minutos. Las descargas ahora se sirven desde una fuente alternativa segura. [...] Si descargaste archivos binarios en las últimas 24 horas y no verificaste la integridad de los archivos, hazlo de inmediato. Si los hash no coinciden, NO ejecutes lo que descargaste".

En general, las comunidades de desarrollo de blockchain están atentas para rastrear posibles vulnerabilidades y mantener la integridad de la red.

A mediados de septiembre, los desarrolladores de AirSwap, el protocolo de intercambio descentralizado de Ethereum, anunciaron un desarrollo importante diferente para la seguridad de su proyecto. Específicamente, revelaron el descubrimiento de una vulnerabilidad crítica en el nuevo contrato inteligente del sistema.

Con el fin de incentivar la integridad de la red, algunas organizaciones han fundado programas de recompensas que premian a los llamados hackers de sombrero blanco por exponer vulnerabilidades.

Sigue leyendo: