Um ataque recente comprometeu a carteira de financiamento comunitário da Monero, drenando todo seu saldo de 2.675,73 Monero (XMR), no valor de quase US$ 460 mil.
O incidente ocorreu em 1º de setembro, mas só foi divulgado no GitHub em 2 de novembro pelo desenvolvedor da Monero, Luigi. Segundo ele, a fonte da violação ainda não foi identificada.
“A carteira do CCS foi drenada em 2.675,73 XMR (o saldo total) em 1º de setembro de 2023, pouco antes da meia-noite. A carteira online, usada para pagamentos aos contribuintes, permaneceu intacta; seu saldo é de aproximadamente 244 XMR. Até o momento, não conseguimos identificar a fonte da violação.”
O Sistema de Financiamento Comunitário da Monero (CCS, na sigla em inglês) financia propostas de desenvolvimento de seus membros. “Esse ataque é inaceitável, pois eles pegaram fundos que um contribuinte pode estar contando para pagar o aluguel ou comprar comida”, observou no tópico o desenvolvedor da Monero, Ricardo “Fluffypony” Spagni.
Luigi e Spagni eram as únicas duas pessoas que tinham acesso às seeds da carteira. De acordo com a publicação de Luigi, a carteira CCS foi configurada em um sistema Ubuntu em 2020, junto com um nó da Monero.
Para fazer pagamentos aos membros da comunidade, Luigi usava uma carteira online que estava em um desktop com Windows 10 Pro desde 2017. Conforme necessário, a carteira online era financiada pela carteira CCS. No entanto, em 1º de setembro, a carteira CCS foi esvaziada em nove transações. A equipe central da Monero está pedindo que o Fundo Geral cubra suas responsabilidades atuais.
“É completamente possível que isso esteja relacionado aos ataques contínuos que temos visto desde abril, pois eles incluem uma variedade de chaves comprometidas (incluindo carteiras Bitcoin.dats, seeds geradas com todos os tipos de hardware e software, carteiras de pré-venda de Ethereum, etc.) e incluem XMR que foram drenadas”, observou Spagni no tópico.
Segundo outros desenvolvedores, a violação pode ter origem nas chaves da carteira estarem disponíveis online no servidor Ubuntu.
“Não ficaria surpreso se a máquina Windows de Luigi já fizesse parte de algum botnet não detectado e seus operadores realizaram esse ataque via detalhes da sessão SSH naquela máquina (roubando a chave SSH ou usando a capacidade de controle remoto do trojan enquanto a vítima não sabia). Máquinas Windows de desenvolvedores comprometidos resultando em grandes violações corporativas não é algo incomum”, observou o desenvolvedor pseudônimo Marcovelon.