Вовремя исправили: ошибка в Монеро позволяла хакерам сжигать токены XMR на биржах

Создатели цифровой валюты Монеро, ориентированной на высокую анонимность транзакций, оперативно исправили уязвимость в коде, которая позволяла мошенникам сжигать XMR на балансах бирж и похищать огромные суммы.

Проблема затрагивала криптобиржи и организации, входящие в экосистему Монеро. В частности, она относилась к тому, как обменные площадки обрабатывали входящие транзакции. Обнаружили баг после того, как один из участников сообщества задал вопрос о том, что будет если на скрытый адрес отправить несколько транзакций.

Для справки. Скрытый адрес – это одноразовый адрес, который средства отправителя перенаправляет на реальный адрес получателя. Это позволяет пользователям получить дополнительный уровень приватности.

Разработчики Монеро при попытке ответить на заданный вопрос и обнаружили вышеупомянутый баг в коде сети. Он позволял злоумышленнику попросить криптобиржу создать 1 скрытый адрес и затем отправить на него 1 монету XMR хоть тысячу раз. В результате хакер должен получить эквивалентное количество монет, что является частью процесса обмена.

«Сперва атакующий создает случайный закрытый ключ. Затем модифицируется код, что дает возможность ипользоваться только этим закрытым ключом для проведения большого количества переводов на некий публичный адрес, к примеру, на горячий кошелек торговой платформы, через скрытый адрес. Далее злоумышленник, предположим, отправляет 1 000 переводов XMR на биржу. Ее кошелек при этом не предупреждает о том, что средства с нарушением получены с одного и того же скрытого адреса, и площадка стандартно кредитует мошенника на 1 тысячу монет. Их уже можно оперативно обменять на другие валюты и вывести на собственный коешек», – поясняется в блоге Монеро.

Если бы злоумышленники первыми обнаружили ошибку, они могли повторять этот процесс много раз и похитить крупные средства на биржах, работающих с неисправным кодом Монеро.

К слову, ни одна криптовалюта не может похвастаться идеальным кодом, лишенным недостатков. Недавно даже в биткоине исправили уязвимость, которая могла вызвать серьезный сбой в работе сети.






Добавить комментарий

Ваш e-mail не будет опубликован.