您现在的位置是：主页 > TP钱包下载 >

TokenPocket钱包官方网站|门罗币众筹钱包遭骇「遗失2,675枚XMR」，社群提议解散核心开发团队

2023-11-06 14:32TP钱包下载人已围观

简介门罗币社群众筹钱包（CCS）传资金遭掏空，损失 2,675.73 枚门罗币，金额约为 46 万美元。社群怀疑是私钥管理者 Luigi 与 Spagni 两人自导自演，而这也引起了社群提出应该解散核心开发团...

门罗币社群众筹钱包（CCS）传资金遭掏空，损失 2,675.73 枚门罗币，金额约为 46 万美元。社群怀疑是私钥管理者 Luigi 与 Spagni 两人自导自演，而这也引起了社群提出应该解散核心开发团队的意见，并称这是门罗币当前最大个中心化风险。（前情提要：币安比利时9/21下架隐私币，禁门罗币XMR、MobileCoin等交易）（背景补充：隐私币始祖「门罗币 XMR」是什么？发展现状、未来展望、市场增长、监管危机）

本文目录

仍未查明漏洞源头
提案解散核心团队
社群怀疑监守自盗
隐私币还能保护隐私吗？

隐私币王者门罗币（Monero）近期揭露了社群众筹钱包（Community Crowdfunding System, CCS）自九月起遭攻击事件，总共损失了原先要支援开发者的 2,675.73 枚门罗币（XMR），涉及金额达为 46 万美元，事件也引起社群争议，让向来认为牢不可破的门罗币隐私引起争议。

仍未查明漏洞源头

该 CCS 钱包洩漏事故是 2 起由 Monero 开发者 Luigi 在 GitHub 上公开，此事件早在 9 月 1 日就已发生，目前仍未查出安全漏洞的具体源头，而不幸中的大幸，用来支付给核心开发发者的热钱包，其内约有 244 枚 XMR 则幸免于难，过去门罗币一直是使用该钱包向外界募款，藉此来支援核心开发者。

据 Github 上的贴文，Luigi 与 Spagni（又名 Fluffypony）两人是唯一掌握该 CCS 钱包私钥的人士，CCS 钱包于 2020 年在一台装有 Ubuntu 的系统上建立，该系统同时也执行着一个 Monero 节点，有需要时 Luigi 就会从 CCS 钱包中拨款至热钱包来对社群成员进行付款，这个热钱包自 2017 年起就运行在一台 Windows 10 Pro 的桌面电脑上，然而在 9 月 1 日，CCS 钱包却在九笔交易中被掏空，因此Monero 核心团队现在正寻求其他一般基金（General Fund ）出面解决当前核心团队的债务问题。

Spagni 指出，这次攻击可能与自四月份以来发生的一系列骇客事件有关，其中涉及到了多种被盗用的私钥，包括比特币钱包文件（wallet.dats）、多种硬软体生成的密码种子，以太坊预售钱包等，现在甚至还有已被扫空的 XMR 资金。

另一位匿名开发者 Marcovelon 评论道，如果 Luigi 的 Windows 电脑已被某 botnet控制且未被发现的话，攻击者就可能通过窃取 SSH 密钥或利用木马远程桌面控制功能在用户毫无察觉的情况下发起了这次攻击，这样由开发者电脑被侵造成的大型企业安全事件并不鲜见；另有其他开发者推测，此次遭窃的起因可能是 Ubuntu 伺服器上可能洩露的钱包密钥。

提案解散核心团队

昨（5）日晚间，Spagni 在 GitHub 上发布了另一项提案，讨论解散 Monero 核心团队，表示最近的 CCS 钱包事件就是核心团队可能成为风险源头的实例之一，因此提案将核心团队转型为六个自主形成的工作组，于 2025 年 1 月 1 日前转型。

这项提案获得 Douglas Tuman 支持，他表示这让人看到了进步的希望，坚信此次 CCS 事件将是 Monero 项目发展的一个转折点，促使开发和治理方式、以及资金筹措手段变得更加去中心化，更能抵御攻击和安全漏洞。不过，他也表示，不完全确定目前的提案是否最佳，但有看到这样的讨论是好事。

This looks like progress to me. https://t.co/xO7lbR4D5i

I’m confident the CCS incident will only strengthen the Monero project. Development/governance and means for funding development will evolve to be more decentralized and less prone to attack and security flaws. I don’t…

— Douglas Tuman (@DouglasTuman) November 5, 2023

社群怀疑监守自盗

针对漏洞的可能源头，也引起社群广泛讨论。研究员 Chris Blec 怀疑：「最有可能的情况是控制钱包的人（Luigi 和/或 fluffy）偷了钱」。

The most likely scenario is that the people controlling the wallet (Luigi and/or fluffy) stole the money.

Is there any way to rule this possibility out to clear their names (aside from good-will reputation-based stuff)?

— Chris Blec (@ChrisBlec) November 2, 2023

另有网友毫不客气地表示 Spagni 是主要嫌疑人：

谈到信誉问题，fluffy 是显而易见的嫌疑人。

从过往行为来看，luffy 是显而易见的嫌疑人。

这些年我一直在强调：fluffy 是 #Monero 面临的最大风险。

对此，Tuman 是表态，除非有确凿的证据显示 Spagni 对 Monero 有害，否则基于他对 Monero 的巨大贡献，他将永远对他持敬意和信任。Spagn 自己也回覆道，过去投入了数十万美元的资金来开发门罗币，并公开了自己的花费明细。

My guy. I poured hundreds of thousands of USD of my own money into Monero's development until we had the FFS running. Your positioning on this is absurd. pic.twitter.com/UmFCpoPdUv

— Ric “el pony esponjoso” (@fluffypony) November 2, 2023

隐私币还能保护隐私吗？

值得关注的是，Moonstone Research 发布报告，调查此次事件的攻击者如何转移这些资金，最后确认了三笔可能包含「被盗」资金的门罗币交易，并表示所有门罗币交易所和服务都应检查是否收到以下交易，这样它们就有可能被交易所冻结。然而，可以被追蹤的资金流向与隐私币的概念不合，因此，也引起了社群对隐私币是否足够隐私的广泛讨论。

对此，Seth For Privacy 发文表示，Moonstone Research 的分析方法并不适用于几乎所有使用 Monero 的人，重申 Monero 依然是预设隐私的，用户无需额外操作即可规避大範围的监控，并且在大多数常见情境下能抵抗针对性的追蹤。此外，也透露 Monero 未来还会持续改进，像是在实施 Seraphis 全球匿名集之后，Moonstone Research 现在的追蹤方法将几乎（或完全）不可能实现。

对此，Chris 再度发文回应，虽然隐私保护技术，如 Monero，正处于持续的进化之中。然而，我们今天所进行的操作，以及所应用的当前隐私技术，都会成为历史纪录并被未来的数据考古学家挖掘和研究。他想表达的就如同他前一篇推文：

不存在「永远的隐私」，所有隐私技术都是转瞬即逝的。今天有效，但不会永远有效。

To clarify some things here, this is not a scenario that applies to almost anyone using Monero.

Tl;dr – Monero is still private by default, defeats dragnet surveillance without any additional effort, and is resistant to targeted tracing in most common scenarios.

In detail:

1)… https://t.co/bdiz2ySyW1

— Seth For Privacy (@sethforprivacy) November 4, 2023