2023 年 9 月 1 日，Monero 社区遭遇重大挫折，其社区众筹系统（CCS）钱包遭遇安全漏洞，导致 2675.73 XMR 损失，相当于约 46 万美元。开发者路易吉（Luigi）于 11 月 2 日披露了这一事件，Monero 社区正努力应对攻击造成的后果。

不明来源的违约情况和开发商的回应

该漏洞针对的是用于资助社区成员开发提案的 CCS 钱包，但目前仍被蒙上了一层神秘的面纱。路易吉和Monero'开发者里卡多-斯帕尼（Ricardo "Fluffypony"Spagni）是唯一能访问钱包种子短语的人。Luigi'post 透露，CCS 钱包是 2020 年在 Ubuntu 系统上设置的，同时还有一个 Monero 节点。

这次漏洞涉及 9 笔交易，耗尽了 CCS 钱包的全部余额，引起了 Monero 社区的关注。斯帕格尼强调了事态的严重性，他说："这种攻击是毫无道理的，因为他们拿走了贡献者可能赖以支付房租或购买食物的资金；

Spagni 认为，这可能与 4 月份以来的持续攻击有关，涉及比特币和以太坊等多种加密货币的密钥泄露。开发人员推测，漏洞可能源于 Ubuntu 服务器上在线提供的钱包密钥。假名开发者 Marcovelon 提出了攻击者利用被入侵的 Windows 机器的可能性，并强调这种情况在重大漏洞中很常见。

Moonstone Research 对 Monero CCS 钱包漏洞的分析

区块链分析公司 Moonstone Research 对 Monero CCS 钱包漏洞进行了深入分析，揭示了黑客的活动和潜在漏洞。

9 月 1 日，技术娴熟的黑客进行了九次交易，清空了 CCS 钱包。Moonstone 发现了一笔不寻常的交易，其中有 17 个输入埃尼特币和 11 个输出埃尼特币，由于其结构独特，被称为 "中毒 "交易。该公司认为，只有攻击者执行了这些交易，并留下了活动痕迹。

Moonstone 追踪到这次攻击是由于 Monerujo 钱包用户激活了 PocketChange 功能。Monerujo是一款安卓非托管型Monero钱包，它提供的这一功能可将钱币分割成多个 "口袋"，允许即时消费，无需20分钟的延迟。攻击者生成了 11 个输出符号，这种异常情况表明使用的是 Monerujo 3.3.7 或 3.3.8 版本。

隐私挑战和社区关注

这次漏洞事件和随后的分析凸显了即使是像 Monero 这样注重隐私的加密货币在安全方面也面临着挑战。虽然Monero'的核心隐私机制依然强大，但这一事件在社区内引发了关于去中心化项目安全性以及与PocketChange等高级功能相关的潜在风险的讨论。

Moonstone Research追踪了黑客的三笔交易，揭示了Monero'隐私功能的某些方面。

月石（Moonstone'）的事后调查显示，在特定情况下，尽管 XMR 具有隐私功能，但其交易仍可被部分追踪。调查集中在一笔交易上，该交易合并了九笔初始黑客交易的资金，显示了潜在的追踪可能性。

虽然该报告展示了部分追踪功能，但它强调了 Monero 交易的复杂性，旨在给交易图带来复杂性，导致误报和模糊性。这一进展引发了加密货币社区的讨论，一些人对所认为的隐私限制表示惊讶和担忧。

安全专家塞斯-西蒙斯（Seth Simmons）强调了追踪场景的非典型性质，强调它不适用于典型的莫奈罗用户。西蒙斯强调，XMR本质上是私密的，可以抵御大多数追踪尝试。他将追踪能力归因于不寻常的情况，包括与链上监控公司共享私钥，以及自愿提供大量链外元数据。

Monero社区在应对漏洞方面面临着持续的挑战，这凸显了不断努力加强数字货币系统内安全措施的重要性。