Bei einem kürzlichen Angriff wurde das Monero-Crowdfunding-Wallet kompromittiert und der gesamte Saldo von 2.675,73 Monero (XMR) im Wert von fast 460.000 US-Dollar wurde gestohlen.
Der Vorfall ereignete sich am 1. September, wurde aber erst am 2. November vom Monero-Entwickler Luigi auf GitHub entdeckt angekündigt. Er sagte, die Quelle des Angriffs sei noch nicht identifiziert worden.
„Aus dem CCS-Wallet, kurz vor Mitternacht am 1. September 2023, 2.675,73
Das Community Crowdfunding System (CCS) von Monero finanziert Entwicklungsvorschläge seiner Mitglieder. „Dieser Angriff ist skrupellos, weil Geld gestohlen wurde, mit dem Spender Miete bezahlen oder Lebensmittel kaufen“, sagte Monero-Entwickler Ricardo „Fluffypony“ Spagni in dem Thread.
Luigi und Spagni waren die einzigen beiden Personen, die Zugang zum Wallet-Seed-Sinn hatten. Laut Luigis Beitrag wurde das CCS-Wallet im Jahr 2020 auf einem Ubuntu-System inklusive eines Monero-Knotens eingerichtet.
Um Zahlungen an Community-Mitglieder zu tätigen, nutzte Luigi ein Hot Wallet, das sich seit 2017 auf einem Windows 10 Pro-Desktop befindet. Bei Bedarf wurde das Hot Wallet über das CCS-Wallet mit Geld aufgeladen. Am 1. September wurde das CCS-Wallet jedoch in neun Transaktionen geleert. Das Kernteam von Monero verlangt, dass der Allgemeine Fonds kurzfristige Schulden abdeckt.
„Es ist durchaus möglich, dass dies mit den anhaltenden Angriffen zusammenhängt, die wir seit April gesehen haben, da es sich dabei um mehrere kompromittierte Schlüssel (einschließlich Bitcoin wallet.dats, mit allen Arten von Hardware und Software generierte Seeds, Ethereum-Vorverkaufs-Wallets usw.) und den Diebstahl von XMR handelt“, sagte Spagni in dem Thread.
Anderen Entwicklern zufolge könnte die Schwachstelle dadurch entstanden sein, dass die Wallet-Schlüssel online auf dem Ubuntu-Server verfügbar waren.
„Es würde mich nicht wundern, wenn Luigis Windows-Rechner bereits Teil eines unentdeckten Botnetzes wäre und die Betreiber diesen Angriff über SSH-Sitzungsdaten auf diesem Rechner ausführen würden (entweder durch Diebstahl des SSH-Schlüssels oder durch Live-Nutzung der Remote-Desktop-Steuerungsfunktion des Trojaners, während das Opfer davon nichts wusste). Es ist nicht ungewöhnlich, dass kompromittierte Windows-Rechner von Entwicklern zu größeren Angriffen führen“, sagte Entwickler Marcovelon.
