- Уязвимость в коде криптовалюты Monero позволила хакерам украсть с биржи Livecoin 1,8 млн долларов (15 108 XMR). Критический баг дал возможность манипулировать суммами транзакций.
Проблему обнаружили и описали участники Monero-хакатона HackerOne. Вскоре разработчики её устранили. Но, видимо, у хакеров было достаточно времени, чтобы эксплуатировать критический баг.
Представители Livecoin отметили, что первые некорректные транзакции стали появляться на бирже 20 июля:
Транзакции были на суммы в 100 раз больше фактических, и наша нода и наши сотрудники их видели именно такими (неверными), и они были зачислены клиентам автоматически именно так, как они отображались. То есть клиент послал 9,85 Monero, а получил на свой счет 985, и таких транзакций было достаточно.
Биржа обвинила разработчиков Monero в том, что они не оповестили о критической уязвимости, необходимости закрытия ввода-вывода или срочного апдейта:
Мы считаем, что когда разработчик узнает о такой уязвимости, которая позволяет менять сумму транзакции произвольно и по сути может разрушить всю сеть, он обязан предупредить в первую очередь биржи, что необходимо закрыть пополнение по их монете, а в данном случае и вывод, и только потом начинать работать над фиксами. Этого сделано не было.
На сайте монеты нет данных о критическом баге. Его описание опубликовали только в Twitter причем 26 июля и без пометки о степени повышенной важности. Представители биржи добавили:
…это был рутинный апдейт ноды, на их взгляд. Официальные обозреватели блоков, указанные на Coinmarketcap, не работают: последние таймстампы на Monero blockchain относятся к маю, на Monero Blocks — к 28 июля.
Биржа направила официальный запрос разработчикам криптовалюты. Те ответили в духе «сами виноваты»: «если биржа игнорировала все предупреждения об обновлении ноды до версии 0.12.3, то суммы для зачисления могут отображаться неправильно». О компенсации разработчики Monero ничего не сказали. Пока ввод и вывод криптовалюты с Livecoin остановлен.