Уязвимость в Monero позволяла украсть XMR с бирж криптовалют

В Монеро неожиданно выявили аж девять уязвимостей безопасности - включая тот, который мог бы позволил хакерам украсть XMR из бирж криптовалют.

До марта мошенники могли гипотетически создавать «специально созданные» блоки, чтобы заставить кошельки Monero принимать поддельные депозиты за сумму XMR, выбранную атакующим.

«Мы верим, что это может быть использовано для кражи денег с бирж», - заявили исследователи в своем первоначальном отчете HackerOne. В итоге они были награждены 45 XMR ($ 4 100) за свои усилия.

Были также раскрыты пять векторов DoS-атак, один из которых обозначен как «критический» уровень серьезности.

Другая уязвимость связана именно с CryptoNote, прикладным уровнем, используемым Monero для повышения конфиденциальности транзакций. Этот недостаток мог привести к поломке узлов Monero, через злонамеренный запрос больших объемов данных блокчейна из сети.

Андрей Сабельников, обнаруживший ошибку, сказал Hard Fork

«Подготовка такого ответа может занять много ресурсов. В конце концов, ОС может убить ее из-за огромного потребления памяти, что типично для систем Linux», - добавил он.

Сабельников предупредил, что могут быть другие криптовалютные проекты, основанные на CryptoNote, которые также подвержены этим атакам.


Также было установлено, что программное обеспечение Monero пропускает «непосвященную» память ненадежным сетевым партнерам. Сообщалось, что этот вид памяти мог включать конфиденциальный материал (такой как криптографические или другие аналогичные личные данные).

Основная масса этих ошибок была представлена примерно четыре месяца назад. Восемь уязвимостей с тех пор были исправлены, а одна остается почти полностью нераскрытой. Похоже, что отчеты приурочены к выходу Monero версии 0.14.1.0 в июне.

В прошлом году была обнаружена ошибка в программном обеспечении кошелька Monero, которая позволяла бы использовать XMR из кошельков (например, принадлежащих биржам криптовалют) при целевых атаках.

 

XMR так то норм тема