昨日，快雾安全性团队监测到 Monero 官方社区和官方 GitHub 经常出现安全类 issue 警告，据用户对系统从 Monero 门罗币官网 getmonero.org iTunes的 CLI 二进制钱包文件和长时间 hash 不完全一致，疑为被蓄意更换！而且用户被盗大约价值 7000 美金的门罗币。快雾安全性团队第一时间公布预警并展开了涉及安全性分析与本源：在 Reddit 上的对系统地址：https://www.reddit.com/r/Monero/comments/dyfozs/security_warning_cli_binaries_available_on/GitHub 上的辩论地址：https://github.com/monero-project/monero/issues/6151Linux 二进制文件：用户 nikitasius 获取了需要检索到的蓄意二进制文件信息：https://www.reddit.com/r/Monero/comments/dyfozs/security_warning_cli_binaries_available_on/此二进制文件是有以下属性的 ELF 文件：MD5：d267be7efc3f2c4dde8e90b9b489ed2aSHA-1：394bde8bb86d75eaeee69e00d96d8daf70df4b0aSHA-256：ab9afbc5f9a1df687558d570192fbfe9e085712657d2cfa5524f2c8caccca31File type：ELFMagic: ELF 64-bit LSB shared object, x86-64, version 1 (GNU/Linux), dynamically linked (uses shared libs), for GNU/Linux 3.2.0, from 'x)', not strippedFile size: 27.63 MB (28967688 bytes)对比合法文件和此 ELF 文件时，我们找到文件大小有所不同，并加到了一些新功能代码，如：cryptonote :: simple_wallet :: send_seed在关上或创立新的钱包后不会立刻调用此功能，展开如下图右图的操作者：私钥将不会被发送到：node.hashmonero.comcryptonote :: simple_wallet :: send_to_cc该功能不会将数据发送到 CC 或 C2（命令掌控服务器）服务器，从而盗取用户资产。

用于向该 C2 服务器发送 HTTP POST 催促，将资金涉及脆弱信息发送到以下蓄意 C2：node.xmrsupport.co45.9.148.65从分析来看，或许并没创立任何其他文件或文件夹，只是盗取私钥并企图从钱包中盗取资产。Windows 二进制文件:C2 服务器45.9.148.65 还具备以下属性：MD5: 72417ab40b8ed359a37b72ac8d399bd7SHA-1: 6bd94803b3487ae1997238614c6c81a0f18bcbb0SHA-256: 963c1dfc86ff0e40cee176986ef9f2ce24fda53936c16f226c7387e1a3d67f74File type: Win32 EXEMagic: PE32+ executable for MS Windows (console) Mono/.Net assemblyFile size: 65.14 MB (68302960 bytes)Windows 版实质上与 Linux 版有完全相同的功能: 盗取私钥和钱包资产。只是函数名称有所不同而已，例如 _ZN10cryptonote13simple_wallet9send_seedERKN4epee15wipeable_stringE如果你有用于防火墙或代理（硬件或软件），请求检验否有网络流量与以下域名、IP再次发生相连：node.hashmonero.comnode.xmrsupport.co45.9.148.6591.210.104.245移除此文中所列的所有二进制文件；检验 Monero 安装程序或安装程序文件的 hash 值。针对初学者：https://src.getmonero.org/resources/user-guides/verification-windows-beginner.html高级用法：https://src.getmonero.org/resources/user-guides/verification-allos-advanced.html留意：哈希列表坐落于：https://web.getmonero.org/downloads/hashes.txt什么是哈希？哈希是唯一的标识符。

这可以是一个文件、一个单词等，最差用于 SHA256 哈希展开文件检查。你还可以用于以下 Yara 规则来检测蓄意或不受病毒感染的二进制文件：Monero_Compromise.yariTunes Yara（和文档）：https://github.com/VirusTotal/yara建议加装杀毒软件，并尽量用于防火墙（免费或收费的都行）；如果早已在用于防病毒软件：用于 Monero（或其他矿工）时，网卓新闻网，最差不要在防病毒软件中回避特定的文件夹，如果必须，请求在检验 hash 值之后再行用于；重置你的种子或帐户；如何重置帐户：https://web.getmonero.org/resources/user-guides/restore_account.html用于助记词完全恢复钱包：https://monero.stackexchange.com/questions/10/how-can-i-recover-a-wallet-using-the-mnemonic-seed监控你的帐户/钱包，证实没蓄意交易。如果有，随时联系门罗团队以提供反对。请求移除并iTunes近期版本：https://web.getmonero.org/downloads/门罗官方团队声明：Warning: The binaries of the CLI wallet were compromised for a short time：https://web.getmonero.org/2019/11/19/warning-compromised-binaries.html快雾团队警告：针对供应链反击，鉴于研发、运维人员安全意识严重不足等问题，快雾安全性团队很幸之前早已意识到了这类反击的可能性，Monero 不是第一个受到反击的加密货币或钱包，也不有可能是最后一个受到反击的加密货币或钱包。

所以请求官方人员留意自身账户安全性，请求用于强劲密码，并且一定尽量用于 MFA（或2FA），时刻维持安全意识；针对各类应用程序有能用新版本改版时留意检验 hash 值。有问题可以第一时间邮件联系快雾安全性团队 [emailprotected]所附：Domain Name: xmrsupport.coRegistry Domain ID: D9E3AC179ACA44FE4B81F274517F8F47E-NSRRegistrar WHOIS Server: whois.opensrs.netRegistrar URL: Updated Date: 2019-11-14T16:02:52ZCreation Date: 2019-11-14T16:02:51ZIP HISTORY for hashmonero.com45.9.148.65 from 2019-11-15 to 2019-11-1791.210.104.245 from 2019-11-19 to 2019-11-19感激nikitasius 获取的样本binaryFate from:https://www.reddit.com/r/Monero/comments/dyfozs/security_warning_cli_binaries_available_on/bartblaze from:https://bartblaze.blogspot.com/2019/11/monero-project-compromised.。

本文来源：乐动体育app安卓-www.suvabeauty.cn