Уважаемые пользователи Голос!
Сайт доступен в режиме «чтение» до сентября 2020 года. Операции с токенами Golos, Cyber можно проводить, используя альтернативные клиенты или через эксплорер Cyberway. Подробности здесь: https://golos.io/@goloscore/operacii-s-tokenami-golos-cyber-1594822432061
С уважением, команда “Голос”
GOLOS
RU
EN
UA
goldenbogdan
6 лет назад

Уязвимость Монеро Devs Patch,позволяющая атакам «сжигать» криптовалютный депозит Монеро


Разработчики централизованной криптовалюты monero исправили ошибку, которая позволяла злоумышленникам нанести значительный ущерб биржам криптовалют и трейдерам,имеющим дело с XMR.

В настоящее время упомятые уязвимости Monero исправлены.

Адресованный через программный патч, приватно распределенный между биржами и торговцем, а затем публично раскрытый через вскрытие на веб-сайте проекта баг,позволял злоумышленнику сознательно «сжечь» XMR, отправив несколько платежей на тот же скрытый адрес. В то время как получатель мог потратить одну и ту же монету второй раз (кошелек автоматически использует самый большой выход в первый раз),в итоге средства, отправленные через последующие транзакции, были бы переведены в разряд неплатежеспособных, поскольку эти транзакции привели бы к дублированию ключей, которые были бы отвергнуты как предполагаемые двойные атаки.

Определенный злоумышленник мог использовать эту уязвимость, отправив серию платежей на один скрытый адрес, принадлежащий бирже криптовалют или торговцу. В частности, ошибка была обнаружена в программном обеспечении monero wallet, которое не отображало эту конкретную аномалию. Следовательно, получающий кошелек не помешал бы этим транзакциям как проблемным и зачислил бы депозит или пометил счет-фактуру как оплаченную.

В случае эксплойта, выполненного против биржи, злоумышленник мог бы обменять полный депозит на другие криптовалюты и вывести их во внешний кошелек. Однако, когда оператор биржи попытался бы включить депозитные средства в будущую транзакцию, они смогли бы только потратить наибольшую прибыль. И хотя злоумышленник не получал бы прямой материальной выгоды, он мог бы заплатить за сетевые транзакции, чтобы они могли обменять валюту, а трейдеры, удерживающие средства на платформе, потеряли бы огромные суммы средств.

Если бы подобная атака была развернута в достаточно больших масштабах, эксплойт мог бы косвенно воспользоваться атакующим преимуществом, уменьшив эффективную подачу энергии, т. е. количество потраченного XMR, тем самым теоретически увеличив ценность каждой затрачиваемой монеты относительно рыночной капитализации криптовалюты.

Примечательно, что основная структура эксплойта известна довольно давно. Тем не менее, только недавно, в ходе обсуждения субредакта XMR, разработчики определили, что ошибка может быть эффективно использована в ущерб бирж криптовалют, продавцов и других организаций.

Раскрытие ошибки не оказало заметного влияния на цену monero. В настоящее время торговля происходит на уровне 114 долларов США,цена XMR снизилась на 3 процента за день, в то время как большинство других альткоинов с большим отрывом упали в цене на 5 процентов.

Размышляя над процессом, используемым для раскрытия ошибки и частным образом распространяя патч уязвимым организациям, модератор сообщества dEBRUYNE признал, что используемые методы были менее идеальными, но отметил, что сообщество еще не разработало лучший протокол отчетности об уязвимостях.

Из сообщения: "Я (и другие разработчики) частным образом уведомляли как можно больше бирж, обменников и торговцев с (частным) патчем, который должен был применяться поверх ветки выпуска v0.12.3.0. Чтобы повторить (из предыдущего блога post mortem), это явно не является предпочтительным методом, поскольку он неизменно исключает организации, с которыми я (и другие разработчики) лично не имеем контакта, и при этом они являются неотъемлемой частью экосистемы Monero и могут ссылаться на наше мнение о преимущественном обращении. Однако для улучшения процесса отчета об уязвимости у нас было слишком ограниченное время ".

Ниже на этом посту dEBRUYNE призвал больше разработчиков принять участие в обзоре кода XMR, чтобы предотвратить появление подобных инцидентов в будущем, добавив, что «это событие снова является эффективным напоминанием о том, что криптовалюты и соответствующее программное обеспечение все еще находятся в зачаточном состоянии - и подверженны критическим ошибкам ».

Действительно, даже биткоин не защищен от подобных инцидентов. Как сообщало CCN, разработчики BTC недавно исправили уязвимость, которая, если б она была использована, позволила бы майнерам эффективно добывать новые монеты, искусственно раздувая запас криптовалюты.

Перевёл на русский:Богдан Карасёв.
Первоисточник: Monero Devs Patch Bug Allowing Attackers to ‘Burn’ Cryptocurrency Exchange Deposits

ПОЛЕЗНЫЕ ССЫЛКИ:

  1. Удобная биржа криптовалют EXMO
  2. Btc Bank UA
  3. Cryptopay - дебетовые карты Visa под биткоин.
13
2.033 GOLOS
0
Ответить
На Golos с August 2017
Комментарии (1)
Сортировать по:
Сначала старые
© 2016 - 2024 Golos.io