728x90

Команда анонимной криптовалюты Monero распахнула девять уязвимостей сохранности, в тамошнем числе ту самую, которая могла дозволить взломщикам украсть XMR с бирж.

А как сообщается в отчете HackerOne, до марта нерадивые майнеры Monero могли гипотетически образовывать «умышленно настроенные» блоки, дабы вынудить кошельки Monero воспринимать поддельные депозиты на сумму XMR, избранную атакующим.

«Мы считаем, чего же это же могло быть применено для кражи средств с бирж», — заявили исследователи в начальном отчете. В конечном итоге они были награждены 45 XMR ($4 100) за свои усилия.

Были а также раскрыты 5 векторов DoS-атак, один из которых получил «критичный» уровень значимости.

Альтернативная уязвимость сопряжена с протоколом CryptoNote, применяемым в Monero для увеличения конфиденциальности транзакций. Она могла привести к тамошнему, чего же мошенники саботировали работу узлов Monero, преднамеренно запрашивая большенные объемы заданных блокчейна из паутине.

Андрей Сабельников, разраб проекта Zano (по неким заданным один из разрабов cryptonote), обнаруживший ошибку, поведал изданию Hard Fork:

«Коли у вас достаточно большенной блокчейн (с таков длинноватой историей, а как Monero […]), вы сможете выслыть запрос протокола, который будет вызывать все его блоки с иного узла, который может содержать сотки тыщ блоков. Подготовка ответа на таков запрос может занять многовато ресурсов. Наконец, ОС может закончить его исполнение по причине большого употребления памяти, чего же приемлимо для систем Linux».

Сабельников предотвратил, чего же умеют быть остальные криптовалютные проекты, основанные на CryptoNote, кои имеют подобные уязвимости. А также существовало установлено, чего же программное обеспечение Monero допускает утечку «необъявленной» памяти ненадежным сетевым узлам. Говорилось, чего же этот облик памяти мог включать секретный материал (таков а как криптографические либо остальные подобные индивидуальные заданные).

Главная толпа этих ошибок существовала найдена образцово четверо месяца вспять. Восемь уязвимостей с того времени были исправлены, а одна останется практически абсолютно нераскрытой. Похоже, чего же отчеты приурочены к выходу Monero версии 0.14.1.0 в июне. Необходимо подчеркнуть, чего же большая часть из этих дефицитов были описаны а как «подтверждение концепций».

В 2017 году команда Monero нашла
и поправила ошибку в протоколе CryptoNote. Ошибка дозволяла удвоенные растраты, иными словами, обеспечивала производство неограниченного количества монет. В марте сего года в паутине Monero существовало удачно активировано
обновление, защитившее паутина от атаки «big bang», которая базирована на методе динамического объема блока.