Баг Monero позволял воровать криптовалюту с кошельков на биржах

10:58 03.08.2018
/
122
/
Автор статьи: Никита Фартов
/

bag monero - Баг Monero позволял воровать криптовалюту с кошельков на биржах

В коде блокчейна токена Монеро были найдены уязвимости. В результате киберпреступники смогли красть криптовалюту у пользователей практически любой биржи.

Хакер мог воспользоваться уязвимостью, и подделать данные о транзакции, которая прошла между ним и потенциальной жертвой. То есть вписать более высокую сумму для перевода средств. После этого, злоумышленнику оставалось только обмануть сотрудников биржи. И они бы сами тогда перевели на его счет токены того пользователя, с кем он проводил сделку. Ведь по документам все выглядит вроде бы «чисто». 

Примечательно, что код у криптовалюты открытый. Любой хакер мог взять несколько его строчек, и воспользоваться ими, чтобы поменять сумму транзакции на более высокую. Работникам биржи на экране показывалась бы большая сумма (чем та, которую действительно перевел пользователь,- прим.ред), и они отправили бы средства злоумышленнику. 

Примечательно, для визуального увеличения суммы транзакции хакеру нужно всего лишь добавить несколько строчек кода. Чем их будет больше, тем выше цифра. 

За счет высокой суммы хакер сможет с легкостью проманипулировать сотрудниками биржи. Так злоумышленник убедит их провести транзакцию, хоть она и будет казаться подозрительной.

Также, благодаря багу, злоумышленник мог потребовать вывода той суммы, которой у него изначально не было. Для этого ему нужно было визуально показать более высокую цифру. Из-за чего в убыток могла уйти еще и та биржа, на которой была совершена эта афера.

Примечательно, эта уязвимость применима и к другим токенам. Тем, которые работают на основе криптовалюты Монеро. Так, помощью способа, описанного выше, хакеры уже украли монеты ARQ (обновление Monero). Для этого они атаковали блокчейн платформу Altex.

Команда разработчиков Monero уже исправила баг. Но это только 1 уязвимость из 6, которые удалось найти программистам за один день. Напомним, что на этой неделе запущенна программа, в рамках которой разработчики ищут баги. 

Еще две уязвимости, с помощью которых можно было DDOS-ить монету, также исправили.

Наверх