Разработчики криптовалюты Monero устранили баг, который мог позволить злоумышленникам «сжигать» средства на кошельках организаций, жертвуя при этом лишь скромной суммой в виде транзакционных комиссий. Об этом сообщается в официальном анонсе проекта.
Выявить баг позволил сценарий гипотетической атаки, описанный одним из участником сабреддита Monero.
What happens if I spend from a specific stealth address and then someone sends more to it? Are the funds inaccessible as the key image has already been used? from r/Monero
«Организатор атаки генерирует случайный приватный транзакционный ключ и меняет код, чтобы использовать только этот ключ. Это гарантирует ему отправку множества транзакций на один stealth-адрес. Затем он отправляет, например, тысячу транзакций по 1 XMR на биржу. Поскольку кошелек биржи не предупрежден о таком нестандартном поведении (средства принимаются на один stealth-адрес), биржа, как обычно, зачислит 1 000 XMR».
Разработчики Monero отмечают, что описанный метод не позволяет организатору атаки напрямую получить внесенные таким образом монеты XMR. Однако злоумышленник может вывести XMR через биткоины, а биржа останется с 999 нерасходуемыми или «сожженными» выходами от 1 XMR.
Созданный фикс в частном порядке был разослан биржам и крупным мерчантам, чтобы не привлекать лишнего внимания на время устранения проблем. По утверждению разработчиков, для осуществления реальных атак эксплойт не использовался.
Напомним, в начале августа из-за критического бага в коде Monero, позволяющего манипулировать суммами транзакций, криптобиржа Livecoin понесла убытки, превышающие $1,8 млн.
Источник: forklog.com
Новое сообщение Разработчики Monero объявили об устранении бага, позволявшего «сжигать» монеты появилось на КриптоВики.
КриптоВики
Автор: admin