Главные Новости
Владимир Зеленский Техно Кино Автоновости
Недостаток безопасности в Monero мог привести к краже XMR с бирж криптовалюты
Автор: Allnewsua.live

Ориентированный на конфиденциальность altcoin Monero неожиданно обнаружил девять уязвимостей безопасности, в том числе ту, которая могла позволить хакерам украсть XMR с бирж криптовалюты.

До марта мошенники Monero могли гипотетически создавать «специально созданные» блоки, чтобы заставить кошельки Monero принимать поддельные транзакции за сумму XMR, выбранную злоумышленником.

«Мы верим, что это может быть использовано для кражи денег с бирж», - заявили исследователи в своем первоначальном отчете HackerOne. В конечном итоге они были вознаграждены 45 XMR (, 100) за их усилия.

Также были раскрыты три вектора DoS-атаки, один из которых обозначен как «критический» уровень серьезности.

Другой связан именно с CryptoNote, прикладным уровнем, используемым Monero для повышения конфиденциальности транзакций. Этот недостаток мог привести к тому, что плохие актеры сломали узлы Monero, злонамеренно запросив большие объемы данных блокчейна из сети.



Андрей Сабельников, обнаруживший ошибку, сказал Hard Fork: «Если у вас довольно большой блокчейн (с такой длинной историей, как Monero […]), вы можете отправить запрос протокола, который будет вызывать все его блоки с другого узла, который может быть сотни тысяч блоков. »

«Подготовка такого ответа может занять много ресурсов. В конце концов, ОС может убить ее из-за огромного потребления памяти, что типично для систем Linux », - добавил он.

Сабельников также предупредил, что могут быть другие криптовалютные проекты, основанные на CryptoNote, которые также подвержены этим атакам.

Также было установлено, что программное обеспечение Monero пропускает «непосвященную» память ненадежным сетевым партнерам. Сообщалось, что этот вид памяти мог включать конфиденциальный материал (такой как криптографические или другие аналогичные личные данные).

Основная масса этих ошибок была представлена ​​примерно четыре месяца назад. Восемь уязвимостей с тех пор были исправлены, а одна остается почти полностью нераскрытой. Похоже, что отчеты приурочены к выходу Monero версии 0.14.1.0 в июне.

Следует также сказать, что большинство из этих недостатков были описаны как «доказательство концепций». В пиксельное время не было сообщений о том, что эти ошибки использовались в wild.mone.



В прошлом году была обнаружена ошибка в программном обеспечении кошелька Monero, которая позволяла бы использовать XMR из кошельков (например, принадлежащих биржам криптовалют) при целевых атаках.

В то время разработчики предупреждали, что его открытие должно напомнить общественности, что криптовалюта (и связанное с ней программное обеспечение) все еще находится в зачаточном состоянии, и что она очень подвержена критическим ошибкам - так что я думаю, нам следует подумать, что нам напомнили еще девять раз.

Опубликовано 4 июля 2019 - 15:18 UTC

4 июля 2019 - 15:18 UTC

Перекладено з TNW.


Читать также: