Разработчики Monero объявили об устранении бага, позволявшего «сжигать» монеты

Разработчики криптовалюты Monero устранили баг, который мог позволить злоумышленникам «сжигать» средства на кошельках организаций, жертвуя при этом лишь скромной суммой в виде транзакционных комиссий. Об этом сообщается в официальном анонсе проекта.

Выявить баг позволил сценарий гипотетической атаки, описанный одним из участником сабреддита Monero.

What happens if I spend from a specific stealth address and then someone sends more to it? Are the funds inaccessible as the key image has already been used? from r/Monero

«Организатор атаки генерирует случайный приватный транзакционный ключ и меняет код, чтобы использовать только этот ключ. Это гарантирует ему отправку множества транзакций на один stealth-адрес. Затем он отправляет, например, тысячу транзакций по 1 XMR на биржу. Поскольку кошелек биржи не предупрежден о таком нестандартном поведении (средства принимаются на один stealth-адрес), биржа, как обычно, зачислит 1 000 XMR».

Разработчики Monero отмечают, что описанный метод не позволяет организатору атаки напрямую получить внесенные таким образом монеты XMR. Однако злоумышленник может вывести XMR через биткоины, а биржа останется с 999 нерасходуемыми или «сожженными» выходами от 1 XMR.

Созданный фикс в частном порядке был разослан биржам и крупным мерчантам, чтобы не привлекать лишнего внимания на время устранения проблем. По утверждению разработчиков, для осуществления реальных атак эксплойт не использовался.

Напомним, в начале августа из-за критического бага в коде Monero, позволяющего манипулировать суммами транзакций, криптобиржа Livecoin понесла убытки, превышающие $1,8 млн.

Источник

[ ОБСУДИТЬ НА ФОРУМЕ ]