门罗币假充值漏洞导致Altex交易所遭受重大损失

Monero wallet bug discovery leads to Altex suspending trading据发现安全该漏洞的研究人员称,门罗币存在一个允许从数字货币交易所中盗窃的漏洞。根据严重程度,该漏洞在可能的10中排名第9。Bug赏金猎人Jason Rhineland透露对于该漏洞的利用可能正在进行中。

Bug Bounty Hunter发现了Monero钱包中的漏洞

Jason Rhineland在HackerOne中提交了一篇文章,他披露了一个门罗币的业务逻辑问题。

根据莱茵兰的说法,似乎已经修复的钱包余额显示错误也延伸到交易所,可能会导致存放在交易所中的所有门罗币被盗窃。

“PR#3985修复了一个钱包余额显示错误,这似乎无害,但这个错误也延伸到了交易所:例如,1 XMR充值到交易所,并且重复发送TX pubkey,交易所中会显示收到了2 XMR存款,然后允许攻击者从交易所的钱包中提取2 XMR。攻击者可以反复利用这一点来吸取所有交易所的余额。“

该漏洞允许网络犯罪分子伪造交易数据,以诱骗虚拟货币运营商的支持人员使用XMR手动记入其用户帐户。每增加一行代码就会增加帐户上显示的Monero数量,让员工不得不履行任何用户手动处理交易的用户。基于门罗币的币也容易受到同样的错误,正如加密货币运营商Altex的钱包中的ARQ币的黑客行为所证明的那样。

由于Monero中的Bug,Altex交易所遭受重大损失

Altex已经告知其用户和整个虚拟货币生态系统有关该问题。由于门罗币代码库和开发团队正在度假,面对未公开数量的加密货币,小型运营商选择暂停交易并继续编写补丁。

“这个错误造成了交易所巨大损失,我们已将主要货币置于维护状态,因此利用该漏洞的人不能再提款。经过长时间的调查,我们发现我们仍然损失惨重。这是由加密货币引起的,它不是我们系统中的错误。“

*文章为作者独立观点,不代表BSCEC立场

转载此文章须经作者同意,并请附上出处(newsbtc)及本页链接。原文链接 https://www.newsbtc.com/2018/08/02/monero-wallet-bug-sees-altex-exchange-suffer-major-loss/

白帽汇安全研究院转载2018-08-03 10:39:26 newsbtc 5243