Разработчики устранили уязвимость в коде Monero, которая позволяла сжигать монеты. Ранее злоумышленники могли ликвидировать средства на кошельках организаций, оплачивая лишь транзакционные комиссии.
Проблему обнаружили пользователи сабреддита Monero. Они разработали сценарий гипотетической атаки с использованием уязвимости:
Организатор атаки генерирует случайный приватный транзакционный ключ и меняет код, чтобы использовать только этот ключ. Это гарантирует ему отправку множества транзакций на один stealth-адрес. Затем он отправляет, например, тысячу транзакций по 1 XMR на биржу. Поскольку кошелек биржи не предупрежден о таком нестандартном поведении (средства принимаются на один stealth-адрес), биржа, как обычно, зачислит 1 000 XMR.
Разработчики подчеркнули, что такой сценарий не дает злоумышленникам получить монеты. Но они в силах вывести XMR через биткоины, причем биржа останется с 999 нерасходуемыми или «сожженными» выходами от 1 XMR.
Фикс бага разослали биржам и крупным мерчантам в частном порядке. Таким образом к уязвимости удалось не привлекать лишнего внимания.