根据近期推特和Reddit上的帖子显示,MEGA Chrome插件3.39.4版现已被破解,除其它敏感信息外,用户的门罗币(Monero)也有被窃取的可能。 MEGA Chrome插件是一款号称通过缩短页面加载时间来改进浏览器性能,同时提供安全云存储服务的工具。
门罗币(XMR)的官方推特账号已发布一份警告,建议XMR持有人避免使用MEGA。
PSA: The official MEGA extension has been compromised and now includes functionality to steal your Monero: https://t.co/vzWwcM9E5k
— Monero || #xmr (@monero) September 4, 2018
PSA: 官方MEGA插件现已被破解,目前包含了可能窃取用户门罗币的功能。
另一位推特用户表示,除了窃取门罗币外,该插件也可能窃取用户敏感数据 :
!!! WARNING !!!!!!! PLEASE PAY ATTENTION!!
— SerHack (@serhack_) September 4, 2018
LATEST VERSION OF MEGA CHROME EXTENSION WAS HACKED.
Version: 3.39.4
It catches your username and password from Amazon, GitHub, Google, Microsoft portals!! It could catch #mega #extension #hacked@x0rz pic.twitter.com/TnPalqj1cz
!!! 警告 !!!!!!! 请注意!!最新版的MEGA CHROME EXTENSION已被破解。 版本: 3.39.4 。它能从你的亚马逊、GitHub、谷歌、Microsoft门户窃取账户和密码!!!
Reddit用户u/gattacus在门罗币官方Reddit页面发帖称
“在出现一项插件更新后,Chrome浏览器请求许可(读取所有网站的数据)。 我对此表示了怀疑,并查看了本地插件代码(主要是javascript)。 MEGA在github上也有插件的源代码(...)目前还没有任何表示。 我认为要么就是谷歌网上商店(Google Webstore)被黑了,要么就是MEGA的某个内部人员干的。 不过我是纯粹在猜测哦。”
截稿时,已经无法从Chrome Webstore下载MEGA Chrome插件。 该插件的链接点进去后会显示404 error报错。
一直被视为私密的、”不可追溯“的(尽管有人认为情况完全相反)门罗币从来都是加密货币领域非法活动和不法行为的目标。
在一些情况下,加密货币黑客曾利用网页访问者的计算机算力来秘密挖掘XMR。 6月,McAfee报告称其发现了2900万个加密货币挖矿恶意软件,其通过Coinhive 代码(一种用于在网页浏览器上挖掘XMR的程序)来实现。
去年九月,Cointelegraph曾报道称,一群俄罗斯黑客于两年多的时间内,在9000台电脑上安装了加密货币挖矿恶意软件。 在众多加密货币中,黑客主要通过劫持设备来挖掘XMR和Zcash (ZEC)。 而单单通过非法挖掘门罗币取得的利益就预计超过209000美元。
XMR目前是按市值排名第十的加密货币,截稿时市值超过20亿美元。 CoinMarketCap的数据显示,目前该加密货币交易价格超过138美元,过去24小时涨幅约0.47%。