调查员发现Monero官方网站上的恶意程序可能会窃取密码

核心硬币开发团队在11月19日发布的Reddit帖子中说，该软件可在Monero官方网站（XMR）上下载，并被黑客窃取了加密货币。

getmonero.org上可用的命令行界面（CLI）工具可能已在最近24小时内遭到破坏，在声明中，该命令指出可供下载的二进制文件的哈希值与预期的哈希值不匹配。

该软件是恶意软件

在GitHub上，名为Serhack的专业研究人员表示，服务器被黑客入侵后分发的软件确实是恶意的，并指出：

“我可以确认恶意二进制文件正在窃取硬币。二进制文件启动后约9个小时，一笔交易清空了钱包。我昨天在太平洋标准时间下午6:00下载了程序集。

重要安全实践

哈希是不可逆的数学函数，在这种情况下，哈希函数用于从文件中创建字母数字字符串，如果有人对文件进行更改，则哈希函数会有所不同。

在开源社区中，一种流行的做法是将由可下载的软件创建的哈希存储在单独的服务器上，然后用户可以从下载的文件生成哈希并将其与预期的哈希进行比较。

如果从下载的文件生成的哈希值不同，则很可能是服务器分发的版本已被替换-可能是恶意的选项。

“看来该盒子确实遭到黑客入侵，并且各种CLI二进制文件的服务时间都为35分钟。现在可以从安全备份源提供下载内容。（…）如果您在过去24小时内下载了二进制文件，但没有检查文件的完整性，请立即进行操作。如果哈希值不匹配，请勿运行您下载的内容。”

总的来说，区块链开发者社区要警惕可能的漏洞并维护网络完整性。

9月中旬，以太坊去中心化交易所协议开发商AirSwap开发商宣布了一项针对其项目安全性的重要开发，或者更确切地说，他们透露了系统新智能合约中关键漏洞的检测。

为了鼓励网络完整性，一些组织已经建立了奖励计划，以奖励所谓的黑客黑客以识别漏洞。