Bei einem kürzlichen Angriff wurde die Crowdfunding-Wallet von Monero kompromittiert und das gesamte Guthaben von 2.675,73 Monero (XMR) im Wert von fast 460.000 US-Dollar gestohlen.
Der Vorfall ereignete sich am 1. September, wurde aber erst am 2. November vom Monero-Entwickler Luigi auf GitHub bekannt gegeben. Ihm zufolge ist die Quelle des Angriffs noch nicht identifiziert worden.
“Von der CCS-Wallet wurden am 1. September 2023, kurz vor Mitternacht, 2.675,73 XMR (das gesamte Guthaben) gestohlen. Die Hot Wallet, die für Zahlungen an Spender verwendet wird, ist nicht betroffen. Ihr Guthaben beträgt rund 244 XMR. Bisher konnten wir die Quelle des Angriffs noch nicht ermitteln.”
Moneros Community Crowdfunding System (CCS) finanziert Entwicklungsvorschläge seiner Mitglieder. “Dieser Angriff ist skrupellos, da hier Gelder gestohlen wurden, mit denen Mitwirkende ihre Miete bezahlen oder Essen kaufen”, so der Monero-Entwickler Ricardo “Fluffypony” Spagni in dem Thread.
Luigi und Spagni waren die einzigen beiden Personen, die Zugriff auf die Wallet-Seed-Phrase hatten. Laut Luigis Beitrag wurde die CCS-Wallet auf einem Ubuntu-System im Jahr 2020 eingerichtet, dazu auch ein Monero-Node.
Um Zahlungen an Community-Mitglieder zu tätigen, nutzte Luigi eine Hot Wallet, die sich seit 2017 auf einem Windows 10 Pro Desktop befindet. Bei Bedarf wurde die Hot Wallet durch die CCS-Wallet mit Geld aufgeladen. Am 1. September wurde die CCS-Wallet jedoch in neun Transaktionen leergeräumt. Das Kernteam von Monero fordert vom General Fund, die aktuellen Verbindlichkeiten zu decken.
“Es ist durchaus möglich, dass das mit den laufenden Angriffen zusammenhängt, die wir seit April beobachten, da sie verschiedene kompromittierte Schlüssel umfassen (einschließlich Bitcoin wallet.dats, Seeds, die mit allen Arten von Hard- und Software generiert wurden, Ethereum pre-sale wallets, usw.) und XMR umfassen, die gestohlen wurden”, so Spagni in dem Thread.
Nach Angaben anderer Entwickler könnte die Sicherheitslücke dadurch entstanden sein, dass die Wallet-Schlüssel online auf dem Ubuntu-Server verfügbar waren.
“Es würde mich nicht überraschen, wenn Luigis Windows-Rechner bereits Teil eines unentdeckten Botnetzes war und seine Betreiber diesen Angriff über SSH-Sitzungsdaten auf diesem Rechner durchgeführt haben (indem sie entweder den SSH-Schlüssel gestohlen oder die Remote-Desktop-Steuerungsfunktion des Trojaners live genutzt haben, während das Opfer nichts davon wusste). Dass kompromittierte Windows-Rechner von Entwicklern zu großen Angriffen führen, ist keine Seltenheit”, so der Entwickler Marcovelon.