Monero – Hakerzy atakują witryny rządowe w poszukiwaniu sposobu na wydobycie kryptowalut w tle

0
117
CREATOR: gd-jpeg v1.0 (using IJG JPEG v62), quality = 80
Monero Developers naprawiają błąd wykryty w prywatnych ustawieniach

W kryptowalucie Monero wykryto usterkę, którą naprawiono w ciągu kilkunastu godzin. Według oficjalnego wpisu na blogu błąd ten mógł spowodować, że portfel nie oznaczałby zamknięcia sesji użytkownika po wylogowaniu. Usterka pozwoliłaby intruzowi wydać całe fundusze, tracąc tylko opłaty za transakcje sieciowe. Co ciekawe, nie ma innych korzyści pieniężnych z takiego działania.
Jak napisano w poście:

„Niemniej, prawdopodobnie istnieją środki pośredniej korzyści z takiego działania. Pojęcie “wypalania” środków przez wysyłanie wielu transakcji na ten sam adres prywatny (stealth address) jest już dokumentowane od dłuższego czasu”

Monero jako kryptowaluta stanowi dość kuszącą opcję dla oszustów na rynku kryptowalut, jako że jest między innymi jedną z najłatwiejszych do wydobywania. Fakt, że koncentruje się dość mocno na prywatności sprawia, iż jest kryptowalutą idealną. Wgląd do portfeli i transakcji Monero nie jest praktycznie możliwy.

Ostatnio hakerzy zdali sobie sprawę, że mogą wydobywać kryptowaluty z rządowych stron internetowych w Indiach i Stanach Zjednoczonych

Indrajeet Bhuyan znany tester bezpieczeństwa, poinformował portal gospodarczy Economic Times (ET):

„Hakerzy atakują witryny rządowe w poszukiwaniu sposobu na wydobycie kryptowalut w tle, ponieważ te witryny mają duży ruch, a większość ludzi ma do nich zaufanie. Wcześniej mogliśmy zaobserwować wiele witryn rządowych, które uległy zhackowaniu. Obecnie wprowadzanie “krypto-porywaczy” zrobiło się bardziej modne, ponieważ haker może zarabiać pieniądze nie będąc w centrum uwagi”

Wyjaśniając, w jaki sposób działa błąd, napisano: Osoba atakująca generuje najpierw losowy klucz transakcji prywatnej. Następnie modyfikuje się kod tak, aby używał tylko tego konkretnego klucza transakcji prywatnej, która zapewni, że wiele transakcji do tego samego adresu publicznego (na przykład do portfela giełdy) i będzie wysyłanych na ten sam poufny adres. Następnie wysyłają przykładowo tysiąc transakcji 1 XMR do giełdy. Ponieważ portfel nie ostrzega o tej konkretnej nieprawidłowości (to znaczy, że środki są odbierane pod tym samym adresem poufnym), giełda zwykle przypisze atakującemu 1000 XMR.

W poście dodano jednak, że błąd nie wpłynął na szczęście ani na funkcjonalność protokołu, ani na podaż tokenów.

ZOSTAW ODPOWIEDŹ

Proszę wprowadzić swój komentarz!
Proszę wprowadzić swoje imię