作为一种极其注重隐私的竞争币,门罗币(XMR)最近被揭露含多个不同安全漏洞,这些缺陷可能被黑客利用从交易所窃取加密货币。
这次确凿的揭露使门罗币卷入了最新的负面新闻,流离的矿工可能利用此漏洞假设制造虚假交易,最终导致用户损失存储在加密货币交易所的资金。
HackerOne的安全研究人员发现了这些漏洞,并发布在其网站的漏洞报告中。
根据HackerOne网站上的报告,最严重的漏洞非常明显且易于利用:
“这个漏洞并不难描述。根据后台程序的当前检定规范,在矿工交易中出现零金额(除了实际的非零金额)是没有问题的。获取RCT签名也没问题,不会实施检查。另一方面,钱包里的部分代码运行的结果为“如果金额为零,则从RCT解码金额”。
“因此,要利用此漏洞,攻击者需要修改后台程序,以创建矿工tx中金额为零的区块模板,并获取有效的RCT签名以便该解码该金额。攻击者需要在交易所钱包内直接挖矿一个区块。大多数交易所都通过付款ID识别其用户。在矿工tx中包括上述字段功能不可用。虽然这似乎很容易实现,但我们并没有进行尝试。”
这些漏洞于几个月前被发现,在标记的九个漏洞中,有八个已经修补过。虽然没有关于这些漏洞被恶意利用的报告,但这对于门罗币用户来说仍是一个严重问题。
2018年也曾发现过类似的错误,当时一个未被发现的安全漏洞被黑客利用,慢慢地从加密货币钱包和交易所中窃取了XMR。
当时安全研究人员说,这是一个在诸如隔离见证币(BTC)和门罗币等加密货币中可以预料到的重大漏洞例子,因为相关技术还处于起步阶段。