作为一种极其注重隐私的竞争币，门罗币（XMR）最近被揭露含多个不同安全漏洞，这些缺陷可能被黑客利用从交易所窃取加密货币。

这次确凿的揭露使门罗币卷入了最新的负面新闻，流离的矿工可能利用此漏洞假设制造虚假交易，最终导致用户损失存储在加密货币交易所的资金。

HackerOne的安全研究人员发现了这些漏洞，并发布在其网站的漏洞报告中。

根据HackerOne网站上的报告，最严重的漏洞非常明显且易于利用:

“这个漏洞并不难描述。根据后台程序的当前检定规范，在矿工交易中出现零金额（除了实际的非零金额）是没有问题的。获取RCT签名也没问题，不会实施检查。另一方面，钱包里的部分代码运行的结果为“如果金额为零，则从RCT解码金额”。

“因此，要利用此漏洞，攻击者需要修改后台程序，以创建矿工tx中金额为零的区块模板，并获取有效的RCT签名以便该解码该金额。攻击者需要在交易所钱包内直接挖矿一个区块。大多数交易所都通过付款ID识别其用户。在矿工tx中包括上述字段功能不可用。虽然这似乎很容易实现，但我们并没有进行尝试。”

这些漏洞于几个月前被发现，在标记的九个漏洞中，有八个已经修补过。虽然没有关于这些漏洞被恶意利用的报告，但这对于门罗币用户来说仍是一个严重问题。

2018年也曾发现过类似的错误，当时一个未被发现的安全漏洞被黑客利用，慢慢地从加密货币钱包和交易所中窃取了XMR。

当时安全研究人员说，这是一个在诸如隔离见证币（BTC)和门罗币等加密货币中可以预料到的重大漏洞例子，因为相关技术还处于起步阶段。