Баг Monero позволял воровать криптовалюту с кошельков на биржах

В популярной криптовалюте Monero, ориентированной на осуществление анонимных транзакций, было обнаружено несколько багов, один из которых позволял злоумышленникам воровать монеты прямо с кошельков торговых площадок. Об этом пишет TheNextWeb.

Используя этот баг, изобретательный хакер мог сфальсифицировать данные транзакции и предъявить их для обмана персонала биржи, чтобы убедить его вручную перечислить на указанный счёт сумму, в разы превышавшую полагавшуюся.

Просто скопировав строчку кода из кошелька Monero, использующего открытый код, который может просмотреть любой желающий, организатор атаки мог манипулировать суммой, отображаемой кошельком во время осуществления транзакций между адресами.

Добавление каждой такой строчки позволяло умножить отображаемую сумму XMR, из-за чего убедить сотрудников биржи одобрить сомнительные транзакции было гораздо проще. Затем хакер мог запросить вывод средств на сумму, значительно превышающую реальный размер его начального депозита.

Ещё одна проблема заключается в том, что этот баг распространяется на криптовалюты, использующие кодовую базу Monero. Так, уже известно, что хакерам удалось вывести монеты ARQ – хард-форка Monero – с кошелька биржи Altex.

К настоящему моменту проблема была решена, по крайней мере непосредственно для Monero. Однако беспокойство вызывает тот факт, что это лишь одна из шести уязвимостей, обнаруженных в Monero за последние 24 часа в рамках программы по поиску багов HackerOne.

К числу прочих багов относятся открытый вектор для осуществления DoS-атак с целью создания перегрузки в блокчейне Monero и уязвимость нод, позволявшая выводить их из строя с помощью скрипта. Как и проблема в кошельке, к настоящему времени все эти уязвимости были устранены.

Фото: She-Hulk

Подписывайтесь на наш Telegram и будьте в курсе всех новостей!

Источник: ttrcoin.com

No votes yet.
Please wait…

Ответить

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.