股票知识学xue习网(www.vitai-group.cn):隐私币bi王者门罗币(Monero)近期揭露了社群众筹钱qian包(Community Crowdfunding System,CCS)自九月起qi遭攻击事件,总共损失shi了原先要支持开发者的2,675.73枚门罗币bi(XMR),涉及金额达为wei46万美元,事件也ye引起社群争议,让向xiang来认为牢不可破的门罗币隐私引起qi争议。
仍未查明漏洞dong源头
该CCS钱包泄漏事故是2日由Monero开发fa者Luigi在GitHub上公gong开,此事件早在9月1日就已发生,目前仍未查出安全quan漏洞的具体源头,而不幸中的大幸,用yong来支付给核心开发发者的热钱包,其内nei约有244枚XMR则幸免于难,过去门罗币一直zhi是使用该钱包向外界募款,借此来lai支持核心开发者。
据Github上的贴文,Luigi与Spagni(又名Fluffypony)两人是唯一yi掌握该CCS钱包私钥的人士,CCS钱包于2020年在一台装有youUbuntu的系统上建立,该系统同tong时也执行着一个Monero节点,有需要时Luigi就jiu会从CCS钱包中拨款至热钱包来对社she群成员进行付款,这个热钱包bao自2017年起就运行在一台Windows10Pro的de桌面电脑上,然而er在9月1日,CCS钱包却在九笔交易中被掏空,因yin此Monero核心团tuan队现在正寻求其他一般基ji金(General Fund)出面解决当前qian核心团队的债务问题。
Spagni指出,这次攻击可能neng与自四月份以来发生的一系列lie骇客事件有关,其中涉及到了多duo种被盗用的私钥,包括比特币钱包文wen件(wallet.dats)、多种硬软体生成的密mi码种子,以太坊预售钱包等,现在zai甚至还有已被扫空的XMR资zi金。
另一位匿名开发者Marcovelon评论道,如果guoLuigi的Windows电脑已被某botnet控kong制且未被发现的话hua,攻击者就可能通过窃取SSH密钥yao或利用木马远程桌面控制功能在用yong户毫无察觉的情qing况下发起了这次攻gong击,这样由开发者电脑被侵造成cheng的大型企业安全quan事件并不鲜见;另有其他开发者zhe推测,此次遭窃的起因可能neng是Ubuntu服务器qi上可能泄露的钱包密钥。
提案解散核心团队
昨(5)日晚间,Spagni在GitHub上发布了另一项提案,讨论解散Monero核he心团队,表示最近的CCS钱包事件就jiu是核心团队可能成为风feng险源头的实例之一,因此提案将核心团tuan队转型为六个自主形成的工作组zu,于2025年1月yue1日前转型。
这项提案获得Douglas Tuman支持,他表biao示这让人看到了进步的希望,坚信此次ciCCS事件将是Monero项目发展的一个转折点,促使开发和治理方式、以yi及资金筹措手段变得更加去中zhong心化,更能抵御攻击和安an全漏洞。不过,他也表示,不bu完全确定目前的提案是否最zui佳,但有看到这样yang的讨论是好事。
社群怀疑监守自盗
针对漏洞的可能源头,也引起qi社群广泛讨论。研究员ChrisBlec怀疑:「最有可能的情况是控制zhi钱包的人(Luigi和/或fluffy)偷了钱」。
另有网友毫不客气地di表示Spagni是主要嫌疑人:谈到dao信誉问题,fluffy是显而易见的de嫌疑人。从过往行为来看,luffy是显而易见的嫌疑人ren。这些年我一直zhi在强调fluffy是#Monero面临的最大风险。
对此,Tuman是表态tai,除非有确凿的de证据显示Spagni对Monero有害,否则基于yu他对Monero的巨大贡献,他将永远对他持敬意和he信任。Spagn自己也回hui覆道,过去投入了数十万美mei元的资金来开发门罗币,并公开了自己的花hua费明细。
隐私币还能保bao护隐私吗?
值得关注的de是,Moonstone Research发fa布报告,调查此次事件的攻击ji者如何转移这些资金jin,最后确认了三笔可能包含「被盗」资zi金的门罗币交易,并bing表示所有门罗币交易所和服fu务都应检查是否收到dao以下交易,这样yang它们就有可能被交易所冻结。然ran而,可以被追踪的资zi金流向与隐私币bi的概念不合,因此,也引起了社群对隐yin私币是否足够隐私的de广泛讨论。
对dui此,Seth For Privacy发文表示,Moonstone Research的分析xi方法并不适用于几乎所有使用Monero的人,重申Monero依然是预设隐私si的,用户无需额外操作即可规避大范围wei的监控,并且在大多数常chang见情境下能抵抗针zhen对性的追踪。此外,也透露luMonero未来还会持续改进,像是shi在实施Seraphis全球qiu匿名集之后,Moonstone Research现在的追踪zong方法将几乎(或完全)不可ke能实现。
对此,Chris再度发文回应,虽然隐私保护技ji术,如Monero,正zheng处于持续的进化之中。然而,我们今jin天所进行的操作,以yi及所应用的当前隐私技术,都会成为历li史记录并被未来的de数据考古学家挖掘和研yan究。他想表达的就如同他前一yi篇推文:不存在「永远yuan的隐私」,所有隐私技ji术都是转瞬即逝的。今天有效xiao,但不会永远有效。
