根據9月25日門羅幣(XMR)開發人員發佈的一份報告,內容提及了門羅幣錢包出現了一項程式漏洞,允許惡意攻擊者在只要支付交易手續費成本的情況下,「燒毀」相關組織(接受門羅幣的店商、服務提供商等單位)的門羅幣,目前這個漏洞已經被修復。
在該報告中,該開發者解釋攻擊者將如何透過錢包漏洞展開攻擊:
攻擊者首先生成一個隨機私人交易密鑰。之後,他們再修改了代碼讓其僅使用這個特定的私人交易密鑰,這確保了對同一個公共地址(例如:交易所的熱錢包)的多個交易被發送到相同的隱秘地址(stealth address)。
隨後,他們向交易所發送1,000次的1個門羅幣交易。鑑於交易所的錢包沒有針對這種特殊的異常情況發出警告訊息(也就是說,這些資金是在同一個隱形地址上收到的),交易所便像平常一樣向攻擊者提供1000顆門羅幣。
在執行完上述動作後,攻擊者共花費了1顆門羅幣並且尚未直接獲取利益,但隨後,其便可將帳戶中的1000顆門羅幣換成比特幣(BTC)賣出,實踐獲利。
這樣的攻擊也等同於花費了1顆門羅幣,卻變相「燒毀」了999顆不能花費的門羅幣,這個損失算在這些相關組織身上。
在門羅社群成員在Monero subreddit的上提出了這個(假設的)攻擊之後發現了該漏洞。立即創建了一個個人補丁,然後透過這個 pull request 將其更新在代碼中。同時這個漏洞(Bug)並沒有影響門羅協議本身或貨幣供應。
To any exchanges, services, merchants, and other organizations present in the Monero ecosystem, if you have not received or applied a patch yet, compiling v0.13.0.0-RC1 ensures the patch is included.
— Monero || #xmr (@monero) 2018年9月25日
?相關報導?
【惡意挖礦】新型態的門羅幣惡意挖礦程式入侵蘋果電腦Mac,剖析木馬程式運作原理
【門羅幣對抗礦工】抵制可遠端操控礦機的「加密貨幣殺手開關」
《BlockTempo動區動趨》LINE官方號開通囉~立即加入獲得第一手區塊鏈、加密貨幣新聞報導!
