Schard-nologin schriebDas pkg.tar.xz Paket beinhaltet nicht nur die Binary, sondern auch eine PKGINFO Datei mit Metadaten, Konfigurationsdateien und womöglich eine .Install Datei.
Wie du richtig erkannt hast, bleibt die Prüfsumme der Binary in /usr/bin/dwm unverändert. Ergo ist es wahrscheinlich, dass sich im Paket andere Dateien verändert haben und xz dadurch günstiger komprimieren kann.
MD5 sollte aber eigentlich nicht mehr verwendet werden, da Kollisionen wahrscheinlicher als bei modernen Hash Algorithmen sind.
Nimm lieber SHA-1 oder SHA-256.
SHA-1? Dein Ernst? Bitte nicht auf schard-nologin hören, nimm lieber SHA-256 oder noch besser SHA-512