Разработчики криптовалюты Ryo обнаружили проблему в коде кошельков Monero. Она позволяет зачислять на биржи произвольный объем средств при создании депозитов.
Проект Ryo основан на кодовой базе Monero. Эксперты привели скриншот письма, отправленного участниками списка рассылки Monero. В нем сказано, что биржам, платёжным сервисам и прочим участникам экосистемы необходимо обратить внимание на найденный баг.
Суть проблемы заключается в манипулировании выходами coinbase-транзакций — первых транзакций каждого блока. Баг позволяет злоумышленникам отправлять на биржи фейковые депозиты и зачислять произвольное количество криптовалюты на свои счета. В письме приводятся параметры кошелька, которые необходимо указать, чтобы обезопасить себя. Официальный аккаунт Monero в Twitter также представил аналогичную инструкцию.
Фикс для уязвимости уже разработан и загружен на GitHub. Его включат в новые релизы ПО.
В коде Ryo разработчики устранили проблему ещё семь месяцев назад. Но так как сообщество Monero враждебно относится к исследователям проблем безопасности, информацию о баге предпочли не раскрывать.