Cộng đồng Monero đã phải đối mặt với một thất bại đáng kể vào ngày 1 tháng 9 năm 2023, khi ví Hệ thống huy động vốn cộng đồng (CCS) của họ bị vi phạm an ninh, dẫn đến mất 2.675,73 XMR, tương đương khoảng 460.000 USD. Vụ việc được nhà phát triển Luigi tiết lộ vào ngày 2 tháng 11, đã khiến cộng đồng Monero phải vật lộn với hậu quả của cuộc tấn công.

Nguồn vi phạm không xác định và phản hồi của nhà phát triển

Vụ vi phạm nhắm vào ví CCS được sử dụng để tài trợ cho các đề xuất phát triển từ các thành viên cộng đồng, vẫn còn nằm trong vòng bí ẩn. Luigi và nhà phát triển Monero Ricardo "Fluffypony" Spagni là những cá nhân duy nhất có quyền truy cập vào cụm từ hạt giống ví. Bài đăng của Luigi tiết lộ rằng ví CCS đã được thiết lập trên hệ thống Ubuntu vào năm 2020, cùng với nút Monero.

Vụ vi phạm liên quan đến 9 giao dịch làm cạn kiệt toàn bộ số dư của ví CCS, đã gây lo ngại trong cộng đồng Monero. Spagni nhấn mạnh mức độ nghiêm trọng của tình hình, nói rằng, "Cuộc tấn công này là vô lương tâm, vì họ đã lấy đi số tiền mà một người đóng góp có thể dựa vào để trả tiền thuê nhà hoặc mua thực phẩm."

Spagni đề xuất mối liên hệ tiềm tàng với các cuộc tấn công đang diễn ra kể từ tháng 4, liên quan đến các khóa bị xâm phạm trên nhiều loại tiền điện tử khác nhau, bao gồm Bitcoin và Ethereum. Các nhà phát triển suy đoán rằng vi phạm có thể bắt nguồn từ các khóa ví có sẵn trực tuyến trên máy chủ Ubuntu. Nhà phát triển ẩn danh Marcovelon đã nêu ra khả năng kẻ tấn công khai thác một máy Windows bị xâm nhập, nhấn mạnh tính phổ biến của những lần xuất hiện như vậy trong các vụ vi phạm lớn.

Phân tích nghiên cứu Moonstone về vi phạm ví Monero CCS

Công ty phân tích chuỗi khối Moonstone Research đã tiến hành phân tích chuyên sâu về vụ vi phạm ví Monero CCS, làm sáng tỏ các hoạt động và lỗ hổng tiềm ẩn của hacker.

Vụ vi phạm được thực hiện bởi các tin tặc lành nghề vào ngày 1 tháng 9, liên quan đến 9 giao dịch làm trống ví CCS. Moonstone đã xác định một giao dịch bất thường với 17 tiền điện tử đầu vào và 11 tiền điện tử đầu ra, gắn nhãn đó là giao dịch "bị đầu độc" hoạt động do cấu trúc đặc biệt của nó. Công ty tin rằng chỉ những kẻ tấn công mới thực hiện các giao dịch này và để lại dấu vết hoạt động của chúng.

Moonstone đã truy tìm dấu vết của cuộc tấn công từ một người dùng ví Monerujo đã kích hoạt tính năng PocketChange. Monerujo, một ví Monero không giám sát trên Android, cung cấp tính năng này để phân chia tiền thành nhiều "túi" cho phép chi tiêu ngay lập tức mà không bị chậm trễ 20 phút. Kẻ tấn công đã tạo ra 11 enote đầu ra, một điểm bất thường cho thấy việc sử dụng Monerujo phiên bản 3.3.7 hoặc 3.3.8.

Những thách thức về quyền riêng tư và mối quan tâm của cộng đồng

Vụ vi phạm và phân tích tiếp theo nhấn mạnh những thách thức mà ngay cả các loại tiền điện tử tập trung vào quyền riêng tư như Monero cũng phải đối mặt về mặt bảo mật. Mặc dù cơ chế bảo mật cốt lõi của Monero vẫn mạnh mẽ nhưng sự cố đã làm dấy lên các cuộc thảo luận trong cộng đồng về sự an toàn của các dự án phi tập trung và những rủi ro tiềm ẩn liên quan đến các tính năng nâng cao như PocketChange.

Moonstone Research đã theo dõi ba giao dịch của hacker, tiết lộ một số khía cạnh nhất định về tính năng bảo mật của Monero.

Khám nghiệm tử thi của Moonstone tiết lộ rằng, trong những trường hợp cụ thể, các giao dịch XMR có thể được theo dõi một phần bất chấp các tính năng bảo mật của chúng. Cuộc điều tra tập trung vào một giao dịch hợp nhất tiền từ chín giao dịch hack ban đầu, cho thấy khả năng truy tìm tiềm năng.

Mặc dù báo cáo thể hiện khả năng theo dõi một phần nhưng nó nhấn mạnh đến sự phức tạp của các giao dịch Monero, được thiết kế để tạo ra sự phức tạp trên biểu đồ giao dịch, dẫn đến kết quả dương tính giả và sự mơ hồ. Sự phát triển này đã làm dấy lên các cuộc thảo luận trong cộng đồng tiền điện tử, với một số người bày tỏ sự ngạc nhiên và lo ngại về những hạn chế về quyền riêng tư được nhận thấy.

Chuyên gia bảo mật Seth Simmons nhấn mạnh tính chất không điển hình của kịch bản truy tìm, nhấn mạnh rằng nó không áp dụng cho người dùng Monero thông thường. Simmons nhấn mạnh rằng XMR vốn dĩ vẫn mang tính riêng tư và có khả năng chống lại hầu hết các nỗ lực theo dõi. Ông cho rằng khả năng truy tìm là do các trường hợp bất thường, bao gồm việc chia sẻ khóa riêng với một công ty giám sát chuỗi và tự nguyện cung cấp siêu dữ liệu ngoài chuỗi đáng kể.

Cộng đồng Monero phải đối mặt với những thách thức liên tục trong việc giải quyết vi phạm, nhấn mạnh tầm quan trọng của những nỗ lực liên tục nhằm tăng cường các biện pháp bảo mật trong hệ thống tiền kỹ thuật số.