«Пакет действительно был скомпрометирован и чужие исполняемые CLI-файлы выдавались в течение 35 минут. На текущий момент проблема решена, скачивание идет из безопасного резервного источника», — пишут разработчики на сайте Reddit.
При этом, лишь благодаря бдительным пользователям была обнаружена подмена файлов — они проверили хэши компонентов клиента и оказалось, что они не совпадают с хэшами разработчиков.
Команда проекта проводит расследование инцидента и будет информировать общественность о ходе процесса. При этом они настоятельно рекомендуют всем, скачивавшим исполняемые файлы за последние сутки, проверить хэши файлов, и если они не совпадают, то не запускать их. Если же файлы были запущены, то необходимо переместить все XMR из кошелька на заведомо безопасные кошельки, либо создать такой кошелек на проверенной версии клиента на другом компьютере.
Ранее сообщалось, что Monero планирует перейти на новый алгоритм доказательства работы (PoW) до конца октября. Алгоритм, получивший название RandomX, будет препятствовать применению ASIC-майнеров. Обновление задерживается, но должно было быть активировано до конца ноября.
Интересно, что на днях группа Dragonfly Research обнаружила возможность раскрыть отправителей и получателей до 96% транзакций в блокчейне другой анонимной криптовалюты — Grin. Эта монета основана на протоколе Mimblewimble, который несколько уступает Monero и ZCash в уровне анонимности.