Monero coin’in çekirdek geliştirme ekibi tarafından 19 Kasım tarihinde Reddit üzerinden gönderilen mesaja göre, Monero’nun (XMR) resmi web sitesinden indirilebilen yazılım, kripto para hırsızlığına alet oldu.
Getmonero.org adresinde bulunan komut satırı arayüzü (CLI) araçlarının, son 24 saatte tehlikeye girdiğine dair söylentiler dolanıyor. Geliştirici ekip tarafından yapılan duyuruda, indirilen dosyadaki hash değerleri ile beklenen hash değerlerinin birbirini tutmadığı ifade edildi.
Yazılıma virüs bulaşmış olabilir
GitHub'da profesyonel bir araştırmacı olan Serhack isimli kullanıcı, sunucunun güvenliği ihlal edildikten sonra dağıtılan yazılımın virüslü olduğunu söyledi:
“Kötü niyetli kişilerce kodları değiştirilen yazılımın kripto para çaldığını doğrulayabilirim. Yazılım çalıştırdıktan yaklaşık 9 saat sonra cüzdanının boşaltıldığına şahit oldum. Yazılımı, öğleden sonra, Pasifik saatine göre 6.00’da indirdim.”
Önemli bir güvenlik uygulaması
Hash'ler, birinin dosyada değişiklik yapması durumunda farklı sonuç veren, dosyadan alfanümerik bir dize oluşturmak için kullanılan ve tersine çevrilemeyen matematiksel işlevlerdir.
Açık kaynak kodlu bir toplulukta, indirilebilecek yazılımdan elde edilen hash’i kaydetmek ve ayrı bir sunucuda tutmak popüler bir yöntemdir. Bu önlem sayesinde kullanıcılar, indirdikleri dosyadan bir hash oluşturabilir ve dosyanın beklenen hash koduna göre kontrol edebilirler.
İndirilen dosyadan oluşturulan hash farklıysa, sunucu tarafından dağıtılan sürümün kötü niyetli biri tarafından değiştirilmiş olması muhtemeldir. Reddit duyurusunda şu sözler yer alıyor:
“Görünüşe göre yazılım gerçekten tehlikeye girmiş ve 35 dakika boyunca farklı CLI binary dosyaları görev yapmış. Download dosyaları artık güvenli bir kaynak üzerinden sunuluyor. [...] Son 24 saatte binary dosyaları indirdiyseniz ve dosyaların bütünlüğünü kontrol etmediyseniz, hemen yapın. Hash eşleşmiyorsa, indirdiklerinizi çalıştırmayın.”
Genel olarak, blockchain geliştirme toplulukları olası güvenlik açıklarını izleme ve ağ bütünlüğünü koruma konusunda tehlikelere karşı uyanık davranırlar.
Eylül ayının ortalarında, Ethereum’un merkezi olmayan değişim protokolü geliştiricisi AirSwap’ın yazılımcıları, projelerinin güvenliği için önemli geliştirme yayımladıklarını açıklamışlardı. Daha doğrusu, sistemin yeni akıllı sözleşmesinde kritik bir güvenlik açığı bulunduğunu ortaya çıkardılar.
Ağ bütünlüğünü teşvik etmek için bazı kuruluşlar, güvenlik açıklarını açığa çıkaran “White-hacker” denilen iyi niyetli bilgisayar korsanlarını ödüllendiren programlar hayata geçirdiler.