Vulnérabilité Monero portefeuille a permis de voler XMR des échanges

Il semble populaire crypto-monnaie Monero, souvent loué pour ses fonctions de confidentialité, était criblé de failles de sécurité – dont l'un permettait aux pirates de voler des pièces directement à partir des portefeuilles des bureaux d'échange

pourrait forger des données de transaction et l'utiliser pour tromper le personnel de soutien en créditant manuellement leur compte avec XMR supplémentaire.

En copiant simplement une ligne de code du portefeuille de Monero – qui est ouvert et accessible à tout le monde – les attaquants pouvaient manipuler les montants montrés par le portefeuille en facilitant les transactions entre les adresses.

Chaque ligne supplémentaire multipliait la quantité de XMR montrée – ce qui rendait le personnel de soutien astucieux pour approuver les transactions douteuses beaucoup plus simple. Les pirates pourraient alors appeler des échanges et exiger que les transactions soient traitées immédiatement – réclamant des totaux bien au-delà du montant initialement envoyé pour confirmation.

"Un attaquant pourrait exploiter ceci à plusieurs reprises pour siphonner le solde de l'échange." écrit dans la divulgation.

Un autre détail inquiétant est qu'il semble que le bug s'étend à d'autres pièces de monnaie Monero. En effet, la divulgation notes les attaquants ont pu voler des pièces de monnaie ARQ – une fourche dure de Monero – du portefeuille du bureau de change Altex.

La bonne chose est que la faille a depuis été corrigé (dans Monero au moins, il n'est pas tout à fait clair si c'est le cas pour d'autres pièces à base de Monero). La partie la plus préoccupante est que c'est seulement une vulnérabilité sur six divulguée par Monero dans les dernières 24 heures, selon les informations de son programme de primes de bug HackerOne . Déni de service vecteur d'attaque qui aurait pu être abusé pour obstruer la blockchain de Monero et un exploit Python qui permettait d'abattre des nœuds actifs sur le réseau. Tout comme la faille du portefeuille, toutes ces vulnérabilités ont déjà été corrigées.

Ce n'est pas la première fois que les chercheurs découvrent kinks dans le code de la crypto-monnaie anonyme. »

Il n'est pas surprenant que les primes contre les bogues deviennent vraiment une norme dans l'industrie, compte tenu de la quantité de dommages qu'elles peuvent prévenir. Récemment, 24 000 $ ont été réclamés en une semaine dans quatre projets différents de blockchain.

Apparemment, la recherche d'EOS est encore plus rentable: un pirate a été payé 80 000 $ en une journée pour avoir identifié des bogues critiques dans son code.

Publié 2 août 2018 – 12:16 UTC