在发现官方下载页面下载的64位Linux命令行(CLI) Monero安装包中的偷钱程序后,Monero Project宣布已对其进行调查。门罗团队在推特上写道:“在过去的24小时里,从http://getmonero.org网站下载的CLI安装包可能已经被损坏。已经在调查了。”
根据GitHub、Reddit、Twitter上众多用户的举报和确认,门罗币官网提供的安装包可能含有恶意软件,哈希值错配时间超过30分钟。目前,所有二进制文件都是干净的,因为它们目前是从一个安全的备用主机服务器交付的。
在Reddit社区,Monero subreddit版主鼓励用户“检查二进制文件的完整性,验证它们是否由Fluffypony的GPG密钥签名”。虽然尚未有Windows和macOS文件损坏的报道,但所有平台的用户都应该检查所有下载的Monero二进制文件的哈希值,因为它们可能都被恶意版本切换过。
你可以在官方网站:https://web.getMonero.org/downloads/hashes.txt.下载所有Monero二进制文件的正确哈希值
“如果你在最近24小时内下载了二进制文件,但没有检查文件的完整性,请立即这样做,”门罗币发布了一条消息。如果哈希值不匹配,请不要运行您下载的内容。如果您已经运行了它们,请立即使用Monero钱包的安全版本将资金从您用(可能是恶意的)可执行文件打开的所有钱包中转出(我们所说的在线钱包是安全的-但请检查哈希值)。更多的信息将被公布,此事已被彻底调查。\”
美国东部时间11月19日17:31,门罗币发布更新警告“CLI钱包安装包短时间被入侵”:
昨天,关于该网站哈希值不匹配的GitHub问题初步明朗。快速调查发现,CLI wallet的安装包已被盗,并正在提供恶意版本。问题马上就解决了,也就是说被感染的文件只是在很短的时间内出现。现在可以从另一个安全的来源提供安装文件。见核心团队成员binaryfate的reddit帖子。
强烈建议在世界协调时周一18:30至4:30之间从该网站下载CLI wallet的任何人检查其二进制文件的哈希值。如果与官方文件不符,请删除文件并重新下载。不要出于任何原因运行损坏的二进制文件。
我们有两个指南可以帮助用户检查二进制文件的真实性:在Windows上验证二进制文件(初学者)和在Linux、Mac或Windows命令行上验证二进制文件(高级)。签名的哈希值可以在这里找到:https://getmonero.org/downloads/hashes.txt.