The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

01.10.2018 10:30  В реализации криптовалюты Monero выявлены две критические уязвимости

Разработчики криптовалюты Monero, которая позиционируется как обеспечивающая полную анонимность и невозможность отследить платежи, раскрыли сведения о наличии критической уязвимости, которая может привести к обработке на биржах обмена криптовалюты повторяющихся транзакций с тратой одних и тех же средств. Эксплуатации уязвимости на практике не зафиксировано. Проблема представляет опасность для бирж и платформ автоматической обработки платежей.

Проблема была выявлена разработчиками Monero в ходе обсуждения вопроса о логике обработки нескольких расходных транзакций, направленных на один и тот же одноразовый адрес (промежуточный одноразовый адрес, создаваемый получателем для перенаправления поступающего платежа без раскрытия сведений о реальном адресе). По задумке одноразовый адрес должен быть ограничен одной транзакцией, но из-за недоработки на деле допускалась обработка дублирующихся транзакций, подписанных одним ключом.

Атакующий мог сгенерировать случайный закрытый ключ для проведения транзакции, нацеленной на выполнение перевода по определённому публичному адресу (например, по адресу для конвертации средств на биржe). В ответ биржа генерировала одноразовый адрес, рассчитанный на проведения одной транзакции. Но вместо одного перевода по предоставленному одноразовому адресу, атакущий мог направить на него сразу несколько транзакций, созданных аналогичным ключом.

Например, атакующий мог отправить на биржу 1000 подобных транзакций по 1 XMR. Из-за ошибки в коде Monero обработчик платежей не считал отправку на один и тот же одноразовый адрес аномалией и начислял атакующему приход 1000 XMR. Так как процесс конвертации автоматизирован, 1000 XMR могли сразу быть преобразованы в BTC и выведены из системы в виде Bitcoin до того, как истечёт время жизни одноразового адреса и программное обеспечение биржи обнаружит дублирующиеся траты по нему.

Кроме того, исследователи из компании Cisco выявили ещё одну уязвимость (CVE-2018-3972), затрагивающую код развиваемой проектом Monero библиотеки epee, используемой во многих криптовалютах с поддержкой анонимных транзакций.

Проблема вызвана ошибкой в коде раскрытия сериализированных данных в обработчике P2P-потокола Levin, который применяется во всех ответвлениях от проекта CryptoNote, включая Monero, Bytecoin, Dashcoin, Dosh и т.п. Ошибка в реализации Levin из состава epee может привести к выполнению кода в системе при обработке определённым образом оформленных сетевых пакетов. Исследователями уже подготовлен рабочий прототип эксплоита.

Исправления обеих проблем включены в экспериментальный выпуск v0.13.0.1-RC1 и также доступны в виде патчей для стабильного выпуска 0.12.3.0 (исправления включены в master-ветку 0.12). Принятые патчи также включают устранение менее опасной третьей уязвимости, которая затрагивает код RPC и может применяться для удалённого инициирования отказа в обслуживании (например, для блокирования процесса майнинга).

  1. Главная ссылка к новости (https://blog.talosintelligence...)
  2. OpenNews: Криптовалюта Monero не настолько защищена от отслеживания, как предполагалось
  3. OpenNews: Выявлена лёгкая в реализации атака на P2P-сеть криптовалюты Ethereum
  4. OpenNews: JavaScript-приложения криптовалют, использующие SecureRandom(), могли генерировать уязвимые ключи
  5. OpenNews: Криптовалюта Bitcoin Gold подверглась атаке по двойной трате средств
  6. OpenNews: Взлом аккаунта на Github привёл к модификациии ПО криптовалюты Syscoin
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: monero, crypt, bitcoin, blockchain
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Госдеп (?), 11:12, 01/10/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –4 +/
    > Эксплуатации уязвимости на практике не зафиксировано

    До этого их это не волновало, что фиксировать?

     
     
  • 2.8, Аноним (-), 12:25, 01/10/2018 [^] [ответить]    [к модератору]
  • +22 +/
    9 лет читаю новости про криптовалюты, но так и не понял - это лохотрон? новый мавроди? спасение человечества?
     
     
  • 3.9, Аноним (9), 12:32, 01/10/2018 [^] [ответить]    [к модератору]
  • –2 +/
    > это лохотрон
    > новый мавроди

    Потом ВНЕЗАПТНО курс обваливается и все остаются ни с чем. Короче лотерея такая же как играть на бирже.

     
     
  • 4.16, Аноним (16), 14:02, 01/10/2018 [^] [ответить]    [к модератору]
  • +3 +/
    Это если хранить. В качестве расчётного средства вполне канает. Знакомые так деньги за границу переводят - геморроя меньше. Ну и теневые рынки никто не отменял.
     
  • 4.63, Аноним (-), 03:24, 12/10/2018 [^] [ответить]     [к модератору]
  • +/
    Правильно, пролетариат не должен ииграть на бирже Он должен спокойно взирать ка... весь текст скрыт [показать]
     
  • 3.22, tonys (??), 16:03, 01/10/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    Не-а. Прозрачные схемы, предсказуемые условия, полная надежность. По сравнению с ПФ РФ, конечно.
     
     
  • 4.23, Qwerty (??), 16:05, 01/10/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Ну, если считать, что к вечеру курс этого фекла изменится до неузнаваемости и в... весь текст скрыт [показать]
     
     
  • 5.37, Аноним (37), 17:34, 01/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Добро пожаловать в капитализм, деточка.
     
     
  • 6.51, капиталист (?), 22:30, 01/10/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    а мы тут причем Доллар как стоил двести лет назад, так и сегодня стоит - один д... весь текст скрыт [показать]
     
  • 5.58, Аноним (58), 07:10, 02/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Это называется "высокая волатильность". И это присуще не только криптовалютам.
     
  • 5.64, Аноним (-), 03:27, 12/10/2018 [^] [ответить]     [к модератору]  
  • +/
    То ли дело официальные денежные системы - там ты никогда не извлечешь 2 42 со з... весь текст скрыт [показать]
     
  • 4.43, Тот_Самый_Анонимус (?), 18:32, 01/10/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    >Не-а. Прозрачные схемы, предсказуемые условия, полная надежность. По сравнению с ПФ РФ, конечно.

    Слушайте экспердов опеннета — несите деньги в криптовалюты.

     
  • 3.34, Капитан (??), 17:16, 01/10/2018 [^] [ответить]     [к модератору]  
  • +/
    ни то, ни другое ни третье хотя, при желании, можно использовать и как первое,... весь текст скрыт [показать]
     
     
  • 4.53, майор (?), 22:43, 01/10/2018 [^] [ответить]     [к модератору]  
  • +/
    в таких странах без его подписи тем более запрещено покупать платежные суррогат... весь текст скрыт [показать]
     
     
  • 5.54, Аноним (-), 23:07, 01/10/2018 [^] [ответить]    [к модератору]  
  • +/
    >транзакции вполне себе отслеживаются

    ну, во 1 - зависит от валюты, некоторые более устойчивы к этому. Во 2 - миксеры же

     
  • 3.56, Аноним (56), 01:10, 02/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Это развод лохов на потребление тысяч лепестричества во имя майнинга А далее по... весь текст скрыт [показать]
     
  • 3.62, Аноним (62), 15:04, 02/10/2018 [^] [ответить]    [к модератору]  
  • +/
    > 9 лет читаю новости про криптовалюты, но так и не понял - это лохотрон? новый мавроди? спасение человечества?

    Забей, если за 9 лет не понял, то без вариантов))

     
  • 1.11, Аноним (11), 12:56, 01/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    >исследователи из компании Cisco выявили ещё одну уязвимость

    Интересно, зачем исследователи компании Cisco изучали код epee? Им ведь ещё и зарплату за это платили...

     
     
  • 2.19, IB (?), 15:17, 01/10/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Затем что не только монеро её использует - анонимный локчейн, сюрприз, интересен тем же банкам и вообще не финансовым компаним
     
     
  • 3.24, типа аноним (?), 16:09, 01/10/2018 [^] [ответить]    [к модератору]  
  • –3 +/
    Да, представляю себе чем интересен, например обвалить курс или вообще заглючить...
     
     
  • 4.55, Аноним (-), 23:11, 01/10/2018 [^] [ответить]     [к модератору]  
  • +/
    на самом деле нет - блокчейн вполне себе неплох для замены текущего легаси-паров... весь текст скрыт [показать]
     
  • 2.41, Аноним (41), 18:27, 01/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Анонимные эксперты отлично знают, почему криптовалюты не нужны. Только вот эту информацию до компаний вроде Cisco донести никак не могут.
     
  • 2.52, исследователь (?), 22:34, 01/10/2018 [^] [ответить]     [к модератору]  
  • +/
    видите ли, циско - это не только ценный роутер или там свитч, но и изрядная лине... весь текст скрыт [показать]
     
  • 1.12, Gemorroj (ok), 13:06, 01/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    В реализации криптовалюты выявлены критические уязвимости.
    fixed.
     
     
  • 2.15, mandala (ok), 13:27, 01/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Именно в сабжевой типа анонимной находили и покруче, когда вся анонимность кончалась. Сегодня ерунда.
     
     
  • 3.25, типа аноним (?), 16:17, 01/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Это вы пока не потеряете некотурую заметную для себя сумму, из-за подобной ерунд... весь текст скрыт [показать]
     
  • 3.31, Аноним (-), 17:01, 01/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Юзаю крипту 5 лет, клал болт на борцунов с криптой. майору привет!
     
     
  • 4.33, Аноним (33), 17:09, 01/10/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > клал болт на борцунов с криптой. майору привет!

    Да кому ты нужен …


     
  • 1.18, InuYasha (?), 15:14, 01/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Следите за своими монерами, сэр!
     
     
  • 2.42, Naraku (?), 18:31, 01/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Будьте осторожны с ними.
     
  • 1.32, Аноним (-), 17:03, 01/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    У меня 2 биткоина, со времен майнинга валяется. Куда потратить?
     
     
  • 2.44, Аноним (41), 18:34, 01/10/2018 [^] [ответить]    [к модератору]  
  • +/
    https://www.qubes-os.org/donate/
     
  • 2.45, Кома (?), 19:01, 01/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Сюды: bc1qjjx643z38d80auy2n9zp0fwumvajjp5093rgzh
     
     
  • 3.47, Аноним (-), 19:12, 01/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Тврй адрес сильно короткий. Осиль уже P2WSH адреса.
     
  • 2.46, commiethebeastie (ok), 19:04, 01/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Подождать пампа.
     
  • 2.48, Brutalik (?), 19:14, 01/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Набери иксовых альтов, на пампе сольешь, сделаешь минимум x3.
     
     
  • 3.49, Нуб (?), 19:54, 01/10/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    Схожу в данжон саппортом, хил 10 лвл, баф, дебаф.
     
     
  • 4.65, Аноним (-), 03:29, 12/10/2018 [^] [ответить]    [к модератору]  
  • +/
    И как, много коинов это приносит? А то профессиональные майнеры игрошмота вовы выглядят какими-то нищими и драными.
     
  • 2.57, ОнАнон (?), 07:00, 02/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Закажи пиццу
     
  • 2.59, лютый лютик__ (?), 07:14, 02/10/2018 [^] [ответить]    [к модератору]  
  • +/
    >У меня 2 биткоина... Куда потратить?

    Если всего 2, то никуда не тратить, а сидеть и не бренчать. На пенсии ух заживёшь!

     
  • 1.61, Аноним (61), 13:57, 02/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    "В реализации криптовалюты Monero выявлены две критические уязвимости"

    А сколько ещё НЕ выявлено... Э-э-э-х...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor