Баг Monero позволял воровать криптовалюту с кошельков на биржах
-
В популярной криптовалюте Monero, ориентированной на осуществление анонимных транзакций, было обнаружено несколько багов, один из которых позволял злоумышленникам воровать монеты прямо с кошельков торговых площадок. Об этом пишет TheNextWeb.
Используя этот баг, изобретательный хакер мог сфальсифицировать данные транзакции и предъявить их для обмана персонала биржи, чтобы убедить его вручную перечислить на указанный счёт сумму, в разы превышавшую полагавшуюся.
Просто скопировав строчку кода из кошелька Monero, использующего открытый код, который может просмотреть любой желающий, организатор атаки мог манипулировать суммой, отображаемой кошельком во время осуществления транзакций между адресами.
Добавление каждой такой строчки позволяло умножить отображаемую сумму XMR, из-за чего убедить сотрудников биржи одобрить сомнительные транзакции было гораздо проще. Затем хакер мог запросить вывод средств на сумму, значительно превышающую реальный размер его начального депозита.
Ещё одна проблема заключается в том, что этот баг распространяется на криптовалюты, использующие кодовую базу Monero. Так, уже известно, что хакерам удалось вывести монеты ARQ – хард-форка Monero – с кошелька биржи Altex.
К настоящему моменту проблема была решена, по крайней мере непосредственно для Monero. Однако беспокойство вызывает тот факт, что это лишь одна из шести уязвимостей, обнаруженных в Monero за последние 24 часа в рамках программы по поиску багов HackerOne.
К числу прочих багов относятся открытый вектор для осуществления DoS-атак с целью создания перегрузки в блокчейне Monero и уязвимость нод, позволявшая выводить их из строя с помощью скрипта. Как и проблема в кошельке, к настоящему времени все эти уязвимости были устранены.
-
Шесть уязвимостей за сутки ! Так это что такое - бета-тестирование Монеро началось спустя несколько лет после выпуска монеты ? :)
-
Участник @okela написал в Баг Monero позволял воровать криптовалюту с кошельков на биржах:
Шесть уязвимостей за сутки ! Так это что такое - бета-тестирование Монеро началось спустя несколько лет после выпуска монеты ? :)
Это то что нашли. а еще тридцать шесть где то там внутри сидят.
https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен -
интересно, сколько хакеров уже воспользовались этой уязвимостью и сколько смогли вывести с криптовалютных бирж?
-
Участник @casio написал в Баг Monero позволял воровать криптовалюту с кошельков на биржах:
Участник @okela написал в Баг Monero позволял воровать криптовалюту с кошельков на биржах:
Шесть уязвимостей за сутки ! Так это что такое - бета-тестирование Монеро началось спустя несколько лет после выпуска монеты ? :)
Это то что нашли. а еще тридцать шесть где то там внутри сидят.
Мне в этой истории еще не очень понятна механика этого взлома биржевых кошельков. Тут пишут про какую-то строчку кода, просто скопировав которую злоумышленник мог манипулировать суммой транзакции. Куда скопировал, для чего, куда вставил скопированную строчку - ни хрена не ясно ...
-
@okela исходя из описания можно старым добрым артмани бабос множить ))
-
Участник @7ambrion написал в Баг Monero позволял воровать криптовалюту с кошельков на биржах:
@okela исходя из описания можно старым добрым артмани бабос множить ))
Не думаю что все так просто ...
-
Участник @okela написал в Баг Monero позволял воровать криптовалюту с кошельков на биржах:
Участник @casio написал в Баг Monero позволял воровать криптовалюту с кошельков на биржах:
Участник @okela написал в Баг Monero позволял воровать криптовалюту с кошельков на биржах:
Шесть уязвимостей за сутки ! Так это что такое - бета-тестирование Монеро началось спустя несколько лет после выпуска монеты ? :)
Это то что нашли. а еще тридцать шесть где то там внутри сидят.
Мне в этой истории еще не очень понятна механика этого взлома биржевых кошельков. Тут пишут про какую-то строчку кода, просто скопировав которую злоумышленник мог манипулировать суммой транзакции. Куда скопировал, для чего, куда вставил скопированную строчку - ни хрена не ясно ...
Ну полное описание и не будут приводить. А то еще сейчас толпа юных кулхакеров побежит тесты проводить.
https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен -
Участник @casio написал в Баг Monero позволял воровать криптовалюту с кошельков на биржах:
Участник @okela написал в Баг Monero позволял воровать криптовалюту с кошельков на биржах:
Участник @casio написал в Баг Monero позволял воровать криптовалюту с кошельков на биржах:
Участник @okela написал в Баг Monero позволял воровать криптовалюту с кошельков на биржах:
Шесть уязвимостей за сутки ! Так это что такое - бета-тестирование Монеро началось спустя несколько лет после выпуска монеты ? :)
Это то что нашли. а еще тридцать шесть где то там внутри сидят.
Мне в этой истории еще не очень понятна механика этого взлома биржевых кошельков. Тут пишут про какую-то строчку кода, просто скопировав которую злоумышленник мог манипулировать суммой транзакции. Куда скопировал, для чего, куда вставил скопированную строчку - ни хрена не ясно ...
Ну полное описание и не будут приводить. А то еще сейчас толпа юных кулхакеров побежит тесты проводить.
Да я просто идею понять пытаюсь и что-то никак не получается ...
-
Участник @okela написал в Баг Monero позволял воровать криптовалюту с кошельков на биржах:
Участник @casio написал в Баг Monero позволял воровать криптовалюту с кошельков на биржах:
Участник @okela написал в Баг Monero позволял воровать криптовалюту с кошельков на биржах:
Участник @casio написал в Баг Monero позволял воровать криптовалюту с кошельков на биржах:
Участник @okela написал в Баг Monero позволял воровать криптовалюту с кошельков на биржах:
Шесть уязвимостей за сутки ! Так это что такое - бета-тестирование Монеро началось спустя несколько лет после выпуска монеты ? :)
Это то что нашли. а еще тридцать шесть где то там внутри сидят.
Мне в этой истории еще не очень понятна механика этого взлома биржевых кошельков. Тут пишут про какую-то строчку кода, просто скопировав которую злоумышленник мог манипулировать суммой транзакции. Куда скопировал, для чего, куда вставил скопированную строчку - ни хрена не ясно ...
Ну полное описание и не будут приводить. А то еще сейчас толпа юных кулхакеров побежит тесты проводить.
Да я просто идею понять пытаюсь и что-то никак не получается ...
Ну идея там видно простая но глубокая, ибо вон сколько времени ее не могли найти.
-
Ох, как много угроз и возможностей таит в себе код! Да, дали бы подробную инструкцию, да с иллюстрациями, что копировать, куда вставлять Всем ведь хочется халявных монерок хапануть).
