Из кода Monero убрали баг, позволявший сжигать монеты

Разработчики устранили уязвимость в коде Monero, которая позволяла сжигать монеты. Ранее злоумышленники могли ликвидировать средства на кошельках организаций, оплачивая лишь транзакционные комиссии.

Проблему обнаружили пользователи сабреддита Monero. Они разработали сценарий гипотетической атаки с использованием уязвимости:

Организатор атаки генерирует случайный приватный транзакционный ключ и меняет код, чтобы использовать только этот ключ. Это гарантирует ему отправку множества транзакций на один stealth-адрес. Затем он отправляет, например, тысячу транзакций по 1 XMR на биржу. Поскольку кошелек биржи не предупрежден о таком нестандартном поведении (средства принимаются на один stealth-адрес), биржа, как обычно, зачислит 1 000 XMR.

Разработчики подчеркнули, что такой сценарий не дает злоумышленникам получить монеты. Но они в силах вывести XMR через биткоины, причем биржа останется с 999 нерасходуемыми или «сожженными» выходами от 1 XMR.

Фикс бага разослали биржам и крупным мерчантам в частном порядке. Таким образом к уязвимости удалось не привлекать лишнего внимания.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.