隐私币之王Monero最近透露,自9月以来,社区众筹系统(CCS)遭到了攻击。
原本用于支持开发者的2,675.73枚门罗币(XMR)全部丢失,涉及金额46万美元。此事也在社会上引起了争议,引发了一直被认为牢不可破的门罗币隐私问题的争议。
该漏洞的来源尚未确定。
CCS钱包泄露事故是Monero开发者Luigi于2日在GitHub上公开的,早在9月1日就发生了。目前还没有找到该安全漏洞的具体来源,不过好在是用来支付核心开发者的热钱包。
其中大约有244颗XMRs幸存了下来。过去门罗币一直用这个钱包从外界筹集资金支持核心开发者。
根据Github上的帖子,Luigi和Spagni(又名Fluffypony)是唯一掌握CCS钱包私钥的人,该钱包是在2020年与Ubuntu一起建立在一个系统上的。
系统还运行一个Monero节点。必要时,Luigi会从CCS钱包中划拨资金到一个热钱包中,用于支付社区成员。这个热门钱包从2017年开始在Windows10 Pro台式电脑上运行。
但9月1日CCS钱包在9次交易中被清空,因此Monero核心团队现在正在寻求其他通用基金来解决目前核心团队的债务问题。
斯帕尼指出,这次攻击可能与4月份以来的一系列黑客事件有关,这些事件涉及多种被盗私钥,包括比特币钱包文件(wallet.dats)、硬件和软件生成的多种密码种子以及以太坊的预售钱包。
现在甚至还有XMR基金被一扫而空。
另一位匿名开发者Marcovelon评论说,如果Luigi的Windows电脑已经被僵尸网络控制而没有被发现,
攻击者可能在用户毫无察觉的情况下,通过窃取SSH密钥或利用木马的远程桌面客户端功能来发动这种攻击,因此由开发者电脑入侵引发的大规模企业安全事件并不少见;其他开发者推测,
这次失窃的原因可能是Ubuntu服务器上可能泄露的钱包密钥。
提议解散核心团队
昨晚(5)Spagni在GitHub上发布了另一份讨论解散Monero核心团队的提案,称最近的CCS钱包事件就是核心团队可能成为风险源的例子之一。
因此,提案将核心团队改造为6个自组建的工作组,在2025年1月1日前完成改造。
这一提议得到了DouglasTuman的支持,他说这让人们看到了进步的希望,坚信CCS事件将是Monero项目发展的转折点,使开发治理方式和融资方式更加分散化。
更能抵御攻击和安全漏洞。不过,他也表示,他并不完全确定目前的提议是否是最好的,但很高兴看到这样的讨论。
社区怀疑内鬼在偷东西。
该漏洞的可能来源也在社会上引起了广泛的讨论。研究员ChrisBlec怀疑最有可能是控制钱包的人(Luigi和/或fluffy)偷了钱。
另一位网友毫不客气地说,斯帕尼是主要嫌疑人:说到可信度,路威是明显的嫌疑人。从路飞以往的行为来看,他是一个明显的嫌疑人。
这些年来,我一直在强调,毛毛是#Monero面临的最大风险。
对此,图曼发表了声明。除非有确凿的证据证明斯帕尼对莫内罗有害,否则基于他对莫内罗的巨大贡献,他会一直尊重和信任他。Spagn自己回答说,
过去投入数十万美元开发门罗币,自己的支出明细也公开。
隐私币还能保护隐私吗?
值得关注的是,Moonstone Research发布了一份报告,调查本次事件的攻击者是如何转移这些资金的,最终确认了三笔可能包含被盗资金的门罗币交易,并表示所有门罗币交易所和服务都应检查是否收到了以下交易。
所以可能会被交易所冻结。但可追踪的资金流向与隐私币的概念并不相符,因此也引起了社会各界对隐私币是否足够私密的广泛讨论。
对此,Seth For Privacy发文称,月光石研究的分析方法并不适用于几乎所有使用Monero的人,并重申Monero仍然是预设隐私。
用户无需额外操作即可避免大量监控,并可在大多数常见情况下抵制目标跟踪。此外,还透露Monero未来还会继续改进,比如在Seraphis全球匿名集实现之后。
月光石研究目前的追踪方法将几乎(或完全)不可能实现。
对此,克里斯再次回应,虽然隐私保护技术,比如Monero,是在不断进化的。但是,我们今天的所作所为,以及目前应用的隐私技术,都将成为历史记录,被未来的数据考古学家挖掘和研究。
他想表达的就像他之前的推文一样:没有永恒的隐私,所有的隐私技术都是转瞬即逝的。今天有效,但不会永远有效。