Используя этот баг, изобретательный хакер мог сфальсифицировать данные транзакции и предъявить их для обмана персонала биржи, чтобы убедить его вручную перечислить на указанный счёт сумму, в разы превышавшую полагавшуюся.
Просто скопировав строчку кода из кошелька Monero, использующего открытый код, который может просмотреть любой желающий, организатор атаки мог манипулировать суммой, отображаемой кошельком во время осуществления транзакций между адресами.
Добавление каждой такой строчки позволяло умножить отображаемую сумму XMR, из-за чего убедить сотрудников биржи одобрить сомнительные транзакции было гораздо проще. Затем хакер мог запросить вывод средств на сумму, значительно превышающую реальный размер его начального депозита.
Ещё одна проблема заключается в том, что этот баг распространяется на криптовалюты, использующие кодовую базу Monero. Так, уже известно, что хакерам удалось вывести монеты ARQ – хардфорка Monero – с кошелька биржи Altex.
К настоящему моменту проблема решена, по крайней мере непосредственно для Monero.
Однако беспокойство вызывает тот факт, что это лишь одна из шести уязвимостей, обнаруженных в Monero за последние 24 часа в рамках программы по поиску багов HackerOne.
К числу прочих багов относятся открытый вектор для осуществления DDoS-атак с целью создания перегрузки в блокчейне Monero и уязвимость нод, позволявшая выводить их из строя с помощью скрипта. Как и проблема в кошельке, к настоящему времени все эти уязвимости были устранены.
Источник: БитФин
Добавить комментарий