Monero: новые сложности и головоломки

С рынка снова доносятся новости от скандально известной, полностью анонимной криптовалюте Monero.

Однако исследование показало, что транзакции Monero, несмотря на их запутанность, нельзя назвать полностью анонимными. У специалистов получилось установить закономерность, по которой смешиваются данные об адресах и сумме токенов. 

Теперь Monero снова заявили о себе. На этот раз в их сети был найден баг. Такую новость разработчикам сообщили сами пользователи.

В ответ на это команда разработчиков оперативно выпустила патч - он должен был убрать баг, благодаря которому хакеры могли "сжигать" токены со счетов компании,  теряя часть токенов на оплату комиссии по совершению транзакции.

Прожигающий баг

Согласно официальному заявлению от криптовалютной компании, этот баг был найден сразу же после того, как один из членов сообщества в деталях описал гипотетическую возможность проведения хакерской атаки на сеть токена Monero (XMR), на одной из веток имиджборда Reddit.

Судя по описанию, в ходе атаки могли бы пострадать продавцы и организации, пользующиеся сетью XMR. В свою очередь, это позволило бы хакеру нанести существенный урон криптовалюте.

Вот как объяснялся процесс проведения возможной атаки:

"Хакер сначала генерирует случайный приватный ключ для совершения транзакции. Затем, он модифицирует код, чтобы использовать его вместо оригинального. С помощью модифицированного кода хакер может провести ряд одинаковых транзакций на один публичный адрес. Например, на горячий кошелёк какой-нибудь криптобиржи. И эти транзакции также будут копироваться на стелс-адрес.

Потом, хакер совершает тысячу однотипных сделок по одному токену XMR на этот кошелёк, но используя при этом один и тот же токен. Однако, горячий кошелёк биржи никак не обрабатывает такие аномальные транзакции - программе нет дела до того, что токены копируют на стелс-адрес. В итоге, криптобиржа засчитывает не 1 токен XMR, а тысячу".

Monero и уязвимость

Несмотря на кажущуюся выгодность подобного мероприятия, в Monero это оспаривают. Там утверждают, что хакер никак бы не смог получить прибыль от продажи этих токенов, если только речь не идет о скрытой выгоде.

Впрочем, после атаки, хакер мог бы не продать, а обменять XMR на другие токены. Например, на BTC. И продать уже BTC.

В результате, после таких манипуляций, криптобиржа получила бы 999 "прожженных" токенов одного единственного XMR. Другими словами, 999 пустых копий одного токена, которые нельзя продать.

Кроме того, напомним, что баг никак не воздействовал на протокол раздачи токенов. Команда разработчиков уже создала и включила хотфикс и для этого кода. Разработчики Monero сообщили свежие новости на официальной странице XMR-токена в Twitter:

"Мы обращаемся ко всем криптобиржам, сервисам, продавцам и другим организациям, присутствующим в экосистеме Monero. Если вы до сих пор не получили или не установили патч, то просим вас обратить внимание, что это сделать нужно в любом случае. Новый код протокола v0.13.0.0-RC1 проверяет наличие пропатченной версии клиента".

Поскольку Monero заявляют о полной приватности и "невозможности отследить" транзакции своего токена, именно он чаще всего использовался для совершения противозаконной деятельности в криптовалютном секторе.

Как сообщалось ранее, в этом месяце кибер-преступникам удалось украсть крупную сумму токенов XMR у пользователей браузера Google Chrome. Для этого хакеры взломали плагин MEGA.