The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В реализации криптовалюты Monero выявлены две критические уязвимости

01.10.2018 10:30

Разработчики криптовалюты Monero, которая позиционируется как обеспечивающая полную анонимность и невозможность отследить платежи, раскрыли сведения о наличии критической уязвимости, которая может привести к обработке на биржах обмена криптовалюты повторяющихся транзакций с тратой одних и тех же средств. Эксплуатации уязвимости на практике не зафиксировано. Проблема представляет опасность для бирж и платформ автоматической обработки платежей.

Проблема была выявлена разработчиками Monero в ходе обсуждения вопроса о логике обработки нескольких расходных транзакций, направленных на один и тот же одноразовый адрес (промежуточный одноразовый адрес, создаваемый получателем для перенаправления поступающего платежа без раскрытия сведений о реальном адресе). По задумке одноразовый адрес должен быть ограничен одной транзакцией, но из-за недоработки на деле допускалась обработка дублирующихся транзакций, подписанных одним ключом.

Атакующий мог сгенерировать случайный закрытый ключ для проведения транзакции, нацеленной на выполнение перевода по определённому публичному адресу (например, по адресу для конвертации средств на биржe). В ответ биржа генерировала одноразовый адрес, рассчитанный на проведения одной транзакции. Но вместо одного перевода по предоставленному одноразовому адресу, атакущий мог направить на него сразу несколько транзакций, созданных аналогичным ключом.

Например, атакующий мог отправить на биржу 1000 подобных транзакций по 1 XMR. Из-за ошибки в коде Monero обработчик платежей не считал отправку на один и тот же одноразовый адрес аномалией и начислял атакующему приход 1000 XMR. Так как процесс конвертации автоматизирован, 1000 XMR могли сразу быть преобразованы в BTC и выведены из системы в виде Bitcoin до того, как истечёт время жизни одноразового адреса и программное обеспечение биржи обнаружит дублирующиеся траты по нему.

Кроме того, исследователи из компании Cisco выявили ещё одну уязвимость (CVE-2018-3972), затрагивающую код развиваемой проектом Monero библиотеки epee, используемой во многих криптовалютах с поддержкой анонимных транзакций.

Проблема вызвана ошибкой в коде раскрытия сериализированных данных в обработчике P2P-потокола Levin, который применяется во всех ответвлениях от проекта CryptoNote, включая Monero, Bytecoin, Dashcoin, Dosh и т.п. Ошибка в реализации Levin из состава epee может привести к выполнению кода в системе при обработке определённым образом оформленных сетевых пакетов. Исследователями уже подготовлен рабочий прототип эксплоита.

Исправления обеих проблем включены в экспериментальный выпуск v0.13.0.1-RC1 и также доступны в виде патчей для стабильного выпуска 0.12.3.0 (исправления включены в master-ветку 0.12). Принятые патчи также включают устранение менее опасной третьей уязвимости, которая затрагивает код RPC и может применяться для удалённого инициирования отказа в обслуживании (например, для блокирования процесса майнинга).

  1. Главная ссылка к новости (https://blog.talosintelligence...)
  2. OpenNews: Криптовалюта Monero не настолько защищена от отслеживания, как предполагалось
  3. OpenNews: Выявлена лёгкая в реализации атака на P2P-сеть криптовалюты Ethereum
  4. OpenNews: JavaScript-приложения криптовалют, использующие SecureRandom(), могли генерировать уязвимые ключи
  5. OpenNews: Криптовалюта Bitcoin Gold подверглась атаке по двойной трате средств
  6. OpenNews: Взлом аккаунта на Github привёл к модификациии ПО криптовалюты Syscoin
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/49376-monero
Ключевые слова: monero, crypt, bitcoin, blockchain
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (42) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Госдеп (?), 11:12, 01/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    > Эксплуатации уязвимости на практике не зафиксировано

    До этого их это не волновало, что фиксировать?

     
     
  • 2.8, Аноним (-), 12:25, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +22 +/
    9 лет читаю новости про криптовалюты, но так и не понял - это лохотрон? новый мавроди? спасение человечества?
     
     
  • 3.9, Аноним (9), 12:32, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > это лохотрон
    > новый мавроди

    Потом ВНЕЗАПТНО курс обваливается и все остаются ни с чем. Короче лотерея такая же как играть на бирже.

     
     
  • 4.16, Аноним (16), 14:02, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это если хранить. В качестве расчётного средства вполне канает. Знакомые так деньги за границу переводят - геморроя меньше. Ну и теневые рынки никто не отменял.
     
  • 4.63, Аноним (-), 03:24, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Короче лотерея такая же как играть на бирже.

    Правильно, пролетариат не должен ииграть на бирже. Он должен спокойно взирать как накопления кушает инфляция, в перерывах между выплатой кредита и ипотеки. Пролетарии всех стран - пролетают!

     
  • 3.22, tonys (??), 16:03, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Не-а. Прозрачные схемы, предсказуемые условия, полная надежность. По сравнению с ПФ РФ, конечно.
     
     
  • 4.23, Qwerty (??), 16:05, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >предсказуемые условия

    Ну, если считать, что "к вечеру курс этого фекла изменится до неузнаваемости и все фантики превратятся в тыкву, а на следующий день всё будет наоборот и из этого можно будет извлечь 2,42$", то да, очень предсказуемо.

     
     
  • 5.37, Аноним (37), 17:34, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Добро пожаловать в капитализм, деточка.
     
     
  • 6.51, капиталист (?), 22:30, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    а мы тут причем? Доллар как стоил двести лет назад, так и сегодня стоит - один доллар.

    плавненько дешевеет, конечно, после отказа от золотого эквивалента, но мы все это проделали аккуратно, потому что были - правильно, капиталистами, то есть людьми, сожравшими не только собаку, но и репку, и мышку, и бабку с дедом на управлении деньгами. А когда этим пытаются заниматься нерды - даже при поддержке наркомафии и торговцев cp/bdsm/чтотам у вас еще обеспечивает этот виртуальный фантик - получается вот такая вот х...ня.

     
  • 5.58, Аноним (58), 07:10, 02/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это называется "высокая волатильность". И это присуще не только криптовалютам.
     
  • 5.64, Аноним (-), 03:27, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > а на следующий день всё будет наоборот и из этого можно будет извлечь 2,42$"

    То ли дело официальные денежные системы - там ты никогда не извлечешь 2.42$ со знаком плюс. В минус всегда пожалуйста - для того инфляция и придумана. Так что даже википедики уточняют: в 2005 году нечто стоило столько-то (по меркам 2018 - раза в полтора больше). А казалось бы, сто долларов это всегда сто долларов...

     
  • 4.43, Тот_Самый_Анонимус (?), 18:32, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Не-а. Прозрачные схемы, предсказуемые условия, полная надежность. По сравнению с ПФ РФ, конечно.

    Слушайте экспердов опеннета — несите деньги в криптовалюты.

     
  • 3.34, Капитан (??), 17:16, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ни то, ни другое. ни третье (хотя, при желании, можно использовать и как первое, и как второе, и как третье).
    Это просто очередные фантики, количество которых ограничено матаном (т.е нельзя просто так взять и нарисовать больше, или наоборот - урезать количество), которые некоторые считают валютой, другие - материалом (типо золота или нефти), но по факту и те и другие используют для обмена на ништяки (например если Вам надо купить впн, а в Вашей стране это запрещено без подписи майора. Или, там, хотите вы оплатить прем на порнхабе и не спалиться что это именно Василий Пупкин предпочитает милф).
     
     
  • 4.53, майор (?), 22:43, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > например если Вам надо купить впн, а в Вашей стране это запрещено без подписи майора

    в таких странах без его подписи тем более запрещено покупать "платежные суррогаты". возникает интересный вопрос - не проще ли купить vpn за обычные деньги, чем сперва покупать непойми что за опять же обычные деньги, чтобы потом обменять на vpn?

    > Или, там, хотите вы оплатить прем на порнхабе и не спалиться что это именно Василий Пупкин
    > предпочитает милф

    тут тоже все печальненько- не смотря на громогласные заявы, транзакции вполне себе отслеживаются. И в той точке, где настоящие деньги превратились в криптофуфло, вполне себе есть кто-то, кто может связать вашу кредитку с вашими монетками - если у него правильно попросят.

    разумеется, остается вариант "самому намайнить", он в этом плане беспроигрышен, но, сами понимаете, это очень большие вложения с весьма ненулевым шансом никогда их не окупить, времена ферм из дерьма и палок прошли пятнадцать лет тому. К тому же покупка асиковых майнилок нынче тоже без подписи нелегальна.

    впрочем, есть еще аренда, три хаха.


     
     
  • 5.54, Аноним (-), 23:07, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >транзакции вполне себе отслеживаются

    ну, во 1 - зависит от валюты, некоторые более устойчивы к этому. Во 2 - миксеры же

     
  • 3.56, Аноним (56), 01:10, 02/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это развод лохов на потребление тысяч лепестричества во имя майнинга. А далее по задумке изо всех щелей попрут солнечные батареи, электромобили, это вот все. Главное - заложить экспоненциальный рост чисто по дизайну, а то законы Мура уже тю-тю.
     
  • 3.62, Аноним (62), 15:04, 02/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > 9 лет читаю новости про криптовалюты, но так и не понял - это лохотрон? новый мавроди? спасение человечества?

    Забей, если за 9 лет не понял, то без вариантов))

     

  • 1.11, Аноним (11), 12:56, 01/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >исследователи из компании Cisco выявили ещё одну уязвимость

    Интересно, зачем исследователи компании Cisco изучали код epee? Им ведь ещё и зарплату за это платили...

     
     
  • 2.19, IB (?), 15:17, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Затем что не только монеро её использует - анонимный локчейн, сюрприз, интересен тем же банкам и вообще не финансовым компаним
     
     
  • 3.24, типа аноним (?), 16:09, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Да, представляю себе чем интересен, например обвалить курс или вообще заглючить...
     
     
  • 4.55, Аноним (-), 23:11, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    на самом деле нет - блокчейн вполне себе неплох для замены текущего легаси-паровоза (да и от фальшивомонетчиков помогает, если в сферическом вакууме). Другой вопрос что анонимность там нафиг не сдалась - в итоге от всей идеи крипты остается лишь огрызок блокчейна - чекайте Венесуэллу
     
  • 2.41, Аноним (41), 18:27, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Анонимные эксперты отлично знают, почему криптовалюты не нужны. Только вот эту информацию до компаний вроде Cisco донести никак не могут.
     
  • 2.52, исследователь (?), 22:34, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    видите ли, циско - это не только ценный роутер или там свитч, но и изрядная линейка всяких dpi/ips и так далее.
    и да, все эти криптобиржи покупают, у них денег много.

    поэтому постоянно приходится бежать впереди паровоза, чтобы правила в ips'е появлялись до того как кого-то поломают. В данном случае напоролись на системную проблему, которую никакими ips'ами не прикрыть, пришлось идти другим путем.

     

  • 1.12, Gemorroj (ok), 13:06, 01/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    В реализации криптовалюты выявлены критические уязвимости.
    fixed.
     
     
  • 2.15, mandala (ok), 13:27, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Именно в сабжевой типа анонимной находили и покруче, когда вся анонимность кончалась. Сегодня ерунда.
     
     
  • 3.25, типа аноним (?), 16:17, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > ерунда

    Это вы пока не потеряете некотурую заметную для себя сумму, из-за подобной ерунды очередной.


    Впрочем, думаю тут и не ерунды всегда будет хватать, вот запостил вчера (под этим же ником)
    почти немного про Цифровую подпись и Криптоалгоритмы с открытм ключём:
    http://www.opennet.me/opennews/art.shtml?num=49353

    - вы уж сами решайте как оно там вам важно или нет, мне то всёравно,
    тем более понимаю что и без этого надёжность у криптовалют весьма условная, как и анонимность.

     
  • 3.31, Аноним (-), 17:01, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Юзаю крипту 5 лет, клал болт на борцунов с криптой. майору привет!
     
     
  • 4.33, Аноним (33), 17:09, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > клал болт на борцунов с криптой. майору привет!

    Да кому ты нужен …


     

  • 1.18, InuYasha (?), 15:14, 01/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Следите за своими монерами, сэр!
     
     
  • 2.42, Naraku (?), 18:31, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Будьте осторожны с ними.
     

  • 1.32, Аноним (-), 17:03, 01/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    У меня 2 биткоина, со времен майнинга валяется. Куда потратить?
     
     
  • 2.44, Аноним (41), 18:34, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.qubes-os.org/donate/
     
  • 2.45, Кома (?), 19:01, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Сюды: bc1qjjx643z38d80auy2n9zp0fwumvajjp5093rgzh
     
     
  • 3.47, Аноним (-), 19:12, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тврй адрес сильно короткий. Осиль уже P2WSH адреса.
     
  • 2.46, commiethebeastie (ok), 19:04, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Подождать пампа.
     
  • 2.48, Brutalik (?), 19:14, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Набери иксовых альтов, на пампе сольешь, сделаешь минимум x3.
     
     
  • 3.49, Нуб (?), 19:54, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Схожу в данжон саппортом, хил 10 лвл, баф, дебаф.
     
     
  • 4.65, Аноним (-), 03:29, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И как, много коинов это приносит? А то профессиональные майнеры игрошмота вовы выглядят какими-то нищими и драными.
     
  • 2.57, ОнАнон (?), 07:00, 02/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Закажи пиццу
     
  • 2.59, лютый лютик__ (?), 07:14, 02/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >У меня 2 биткоина... Куда потратить?

    Если всего 2, то никуда не тратить, а сидеть и не бренчать. На пенсии ух заживёшь!

     

  • 1.61, Аноним (61), 13:57, 02/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "В реализации криптовалюты Monero выявлены две критические уязвимости"

    А сколько ещё НЕ выявлено... Э-э-э-х...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру