De gemeenschapswallet van Monero verliest al het geld na een aanval

In een recente cyberaanval werd de financiële integriteit van Monero’s crowdfundingwallet ernstig bedreigd. De aanvallers slaagden erin het volledige saldo van 2.675,73 Monero, met een geschatte waarde van bijna $460.000, weg te vagen, waardoor de privacygerichte cryptocurrency-gemeenschap met aanzienlijke verliezen te maken kreeg.

Bron van inbreuk nog onbekend

Alhoewel het voorval zich op 1 september voordeed, bleef het onopgemerkt tot 2 november, toen Monero-ontwikkelaar Luigi het op GitHub openbaar maakte. Luigi meldde dat de oorsprong van de inbreuk tot op heden nog niet is geïdentificeerd.

Op 1 september 2023, net voor middernacht, werd 2.675,73 XMR (het gehele saldo) van de CCS Wallet leeggemaakt. De hot wallet, die wordt gebruikt voor betalingen aan bijdragers, is onaangetast; het saldo is ~244 XMR. Tot nu toe hebben wij de bron van de inbreuk nog niet kunnen achterhalen.

Scherpe veroordeling

Het Community Crowdfunding System (CCS) van Monero fungeert als de financieringsbron voor ontwikkelingsvoorstellen die worden ingediend door de leden van de Monero-gemeenschap. De recente aanval op dit systeem wordt scherp veroordeeld vanwege zijn gewetenloze karakter, omdat het geld heeft weggenomen dat wellicht bedoeld was om essentiële kosten, zoals huur en voedsel, te dekken voor bijdragende leden. Monero’s vooraanstaande ontwikkelaar, Ricardo “Fluffypony” Spagni, benadrukte het morele aspect van de aanval en de financiële impact ervan op individuen.

Het belangrijke detail hierbij is dat zowel Luigi als Spagni de enige twee personen waren met toegang tot de seedphrase van de wallet. Volgens het bericht van Luigi werd de CCS-wallet in 2020 geïnstalleerd op een Ubuntu-systeem, waarbij het naast een Monero-knooppunt functioneerde.

Voor het uitvoeren van betalingen aan leden van de Monero-gemeenschap, vertrouwde Luigi op een zogenaamde “hot wallet” die al sinds 2017 op een Windows 10 Pro-desktop was geïnstalleerd. In tijden van nood werd deze hot wallet gefinancierd vanuit de CCS-wallet. Echter, op 1 september, werd de CCS-wallet getroffen door negen afzonderlijke transacties, waarbij al het aanwezige saldo werd weggevaagd. In het licht van deze financiële tegenslag heeft het Monero-kernteam een dringende beroep gedaan op het Algemeen Fonds om de lopende financiële verplichtingen te dekken.

Mogelijk verband met eerdere aanvallen

Spagni, een prominente ontwikkelaar binnen de Monero-community, merkte op dat er een mogelijk verband bestaat tussen deze aanval en de voortdurende reeks aanvallen die sinds april hebben plaatsgevonden. Deze aanvallen omvatten een verscheidenheid aan gecompromitteerde sleutels, waaronder Bitcoin wallet.dats, zaden gegenereerd met diverse hardware en software, Ethereum pre-sale wallets, enzovoort, waarbij XMR werd buitgemaakt.

Volgens sommige andere ontwikkelaars zou de inbreuk kunnen zijn ontstaan doordat de sleutels van de wallet online beschikbaar waren op de Ubuntu-server. Een pseudonieme ontwikkelaar met de naam Marcovelon speculeerde over de mogelijkheid dat Luigi’s Windows-machine mogelijk al deel uitmaakte van een niet-gedetecteerd botnet.

De aanvallers zouden dan deze aanval hebben kunnen uitvoeren door middel van SSH-sessiegegevens op die machine, waarbij ze mogelijk SSH-sleutels stalen of live gebruikmaakten van de remote desktop-besturingsmogelijkheid via een trojan, terwijl de gebruiker zich niet bewust was van de aanval.

Het is niet ongebruikelijk dat gecompromitteerde Windows-machines van ontwikkelaars leiden tot aanzienlijke beveiligingsinbreuken, merkte Marcovelon als slot op.