Compromesso il wallet di Monero: controllate sempre gli hash!

Nei giorni scorsi sul sito web ufficiale di Monero è rimasta disponibile una versione edulcorata del wallet ufficiale, in grado di inviare a terzi criptovaluta all'insaputa dell'utente
di Andrea Bai pubblicata il 22 Novembre 2019, alle 11:21 nel canale SicurezzaNei giorni scorsi il sito web ufficiale della criptovaluta Monero è stato compromesso: hacker ad ora non meglio identificati hanno infatti modificato i pacchetti del wallet CLI (command line interface) sostituendo quello originale con una versione edulcorata e in grado di inviare fondi a terzi ad insaputa dell'utente.
Il problema è stato scoperto da un utente il quale ha notato che l'hash crittografico del pacchetto scaricato non corrispondeva a quello indicato sul sito: approfondendo ha poi scoperto che la mancata corrispondenza non era frutto di un errore ma di un'azione perpetrata a scopo criminale.
Il problema è stato riconosciuto e confermato dai responsabili del sito GetMonero.org, i quali hanno pubblicato un post sul blog ufficiale nella giornata di martedì 19 novembre. I pacchetti compromessi sono rimasti disponibili per il download per una finestra di tempo relativamente limitata, dalle 2:30 AM UTC alle 4:30 PM UTC del 18 novembre.
"E fortemente consigliato a chiunque abbia scaricato il wallet CLI da sito di controllare gli hash dei loro pacchetti. Se non corrispondono a quelli ufficiali, eliminare i file e scaricarli nuovamente. Non avviare i file compromessi per alcuna ragione" si legge sul blog.
I responsabili di GetMonero.org non hanno però divulgato ulteriori dettagli relativi al problema e fino ad ora non è dato sapere quale sia la vulnerabilità che abbia potato alla compromissione dei file. Il problema è sotto indagine, ma ancor oggi non sono stati comunicati aggiornamenti. Sono state messe a disposizione due risorse per aiutare gli utenti a controllare l'autenticità dei file: una per Windows e una, dedicata ad utenti più avazati, per Linux, Mac e Windows.
La vicenda dimostra l'importanza di verificare sempre gli hash crittografici dei file scaricati. Si tratta di un modo per esssere certi di usare un'applicazione autentica e non compromessa: gli sviluppatori mettono a disposizione l'hash crittografico del codice sorgente dei loro programmi. Un hash ha due caratteristiche peculiari: dato lo stesso input l'hash risultante sarà sempre uguale, e una piccolissima modifica all'input restituirà un hash completamente differente. Per questo motivo l'utente può, una volta scaricato il programma, calcolarne l'hash e se questo dovesse non corrispondere avrebbe la prova che il codice è stato compromesso. Ecco un'ottima pagina di Wikipedia per chi volesse approfondire.
10 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info....e poi succede questo..... Avanti la Prossima......
Avranno violato solo il repository dove sono archiviati i pacchetti compilati e non il sito
Basta pubblicare o rendere noto un indirizzo di una crypto e si può ricevere denaro.
Poi ci sono anche dei risvolti su cui fare attenzione come questo.
Avranno anche delle procedure di sicurezza per mantenere distinti e in posti sicuri i due oggetti ovvero l'hash e l'app. Visto che il sito è facilmente compromissibile avranno delle procedure che spengano la pagina quando viene alterata.
Poi la realtà non la conosco ma noto che in pochissime ore hanno bloccato il malware. Quanti lo avranno scaricato in quella finestra temporale? sicuramente poche persone ma i malfattori avranno guadagnato cifre cospicue.
Basta pubblicare o rendere noto un indirizzo di una crypto e si può ricevere denaro.
Poi ci sono anche dei risvolti su cui fare attenzione come questo.
capisco che per terzo mondo e paesi in crisi possa essere un'ancora, un rifugio. ma in un paese civilizzato, cosa cambia da una banca? io i bonifici non li pago, arrivano ovunque in un giorno (certo non è istantaneo ma nemmeno ho bisogno che lo sia), i costi di ricezione sono ovviamente nulli.
da quello che mi pareva di aver letto (ma mi potrei sbagliare) ci vuole parecchia energia per effettuare i trasferimenti in cripto.
da quello che mi pareva di aver letto (ma mi potrei sbagliare) ci vuole parecchia energia per effettuare i trasferimenti in cripto.
I bonifici sono a pagamento. Molte banche li proponevano ad un euro a bonifico. Adesso so che molte banche offrono bonifici gratis ma... ma all'interno di un pacchetto a pagamento.
Le banche on line offrono bonifici gratis ma occorre tenere i soldi da loro, quindi è sempre una forma di pagamento con in più un pagamento allo Stato del bollo e altri piccoli pagamenti delle banche on line come il bancomat e le altre carte.
Quindi il bonifico è gratis all'interno di un pacchetto a pagamento. Invece le cripto sono gratuite all'interno di un pacchetto gratis.
Poi le crypto sono quasi istantanee, i bitcoin cash arrivano in una decina di minuti, 60 minuti per sei conferme quando le cifre sono cospicue mentre i bonifici impiegano uno o due giorni lavorativi, due giorni secondo la mia esperienza, partono subito ma chi li riceve mi avvisa in un paio di giorni.
I costi di ricezione del bonifico non sono ovviamente nulli perché non esiste un pacchetto che ti offre la banca per ricevere bonifici il cui costo sia zero. Ci sono le carte con l'IBAN ma non costano zero euro. Mentre un wallet bitcoin costa zero euro.
Poi io volevo fare bonifici verso un exchange in Europa ma la mia banca non me lo permette. In pratica dovendo passare per le banche i bonifici SEPA sono filtrati da una loro lista di buoni o cattivi. Questo non avviene per le crypto.
Io posso inviare crypto dove voglio in tutta Europa e in tutto il mondo. Con i bonifici puoi inviarli in quasi tutta Europa e in una gran parte del mondo. C'è differenza che per quasi tutti è trascurabile, io noto la differenza.
Realtà: la Blockchain non previene hackeraggi (evita solo che in hacker non si generi denaro dal nulla), per niente facile (spiegate ad un anziano come si controlla l'hash), costi abnormi e superiori alle vie ufficiali (ridotti se accetti una transazione in giorni durante i quali il valore della moneta sarà sicuramente cambiato al ribasso), banche che si sfregano le mani per la totale deregolamentazione del settore che permette loro di fare una delle loro attività preferite (il riciclaggio del denaro). Non a caso la speculazione che ha rovinato le criptivalute (vedere l'intervista al padre dei dogecoin) viene dagli speculatori finanziari e dai bankster.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".