Открыть меню

Open Source-Klub: Monero Undgår Endnu et Angreb Med eu ‘ s Hjælp


I denne uge, udviklerne af Monero (XMR) rettet en fejl, der kunne gøre det muligt for en hacker at ‘brænde’ midler af en organisations tegnebog. Bruddet blev oprindeligt afsløret af et medlem af fællesskabet, og XMR-udviklere var hurtige nok til at rette det, før skaden er sket.

Anonymitet frem for alt: Hvordan virker Monero

Simpelthen sætte, Monero (XMR) er en cryptocurrency som Bitcoins (BTC), men med yderligere fokus på anonymitet. Det blev etableret i 2014, når bitcointalk.org brugeren thankful_for_today kløvet codebase Bytecoin i navnet BitMonero. At etablere den nye mønt, han brugte idéer, der blev beskrevet første gang i 2013 hvidt papir kaldet “Cryptonote”, som blev skrevet af en anonym personlighed Nicolas van Saberhagen. Ironisk nok, BitMonero blev hurtigt skilte sig af open-source-udviklere, og med titlen ‘Monero’ (som betyder ‘mønt’ i Esperanto). Det har været til at være et open source-projekt lige siden.

XMR, der er betydeligt mere personlige egenskaber end BTC: i Stedet for blot at være et decentralt mønt, Monero er designet til at være helt anonym, og næsten usporlige. Således XMR er baseret på CryptoNight proof-of-arbejde (PoW) hash-algoritme, som gør det muligt at bruge ‘ring underskrifter” (som mix spender adresse med en gruppe af andre, hvilket gør det vanskeligere at spore transaktioner), ‘stealth-adresser” (som er genereret for hver transaktion, og gøre det umuligt at opdage den faktiske destination af en transaktion, der foretages af andre end afsenderen og modtageren), og ” ring fortrolige transaktioner (som skjuler de overførte beløb).

I 2016, XMR oplevet større vækst i markedsværdi og omfanget af transaktioner end nogen anden cryptocurrency (næsten 2800 procent stigning, som per CoinMarketCap). En masse af at væksten kom fra den sorte økonomi. At være en altcoin, der er skræddersyet til fuldt ud private transaktioner, Monero blev til sidst accepteret som en form for valuta på darknet markeder som Alphabay og Oasis. Specielt efter at blive integreret på darknet i sommeren 2016, dens værdi “straks steg omkring seks gange,” ifølge Wired.

“At uptick blandt mennesker, der virkelig har brug for at være privat er interessant,” Riccardo Spagni, en af de Monero centrale udviklere, fortalte offentliggørelse i januar 2017. “Hvis det er godt nok for en narkohandler, det er godt nok for alle andre.”

Monero ‘ s påståede privatliv er fortsat at være et kontroversielt emne, som nogle foreslår, at mønten er faktisk ikke fuldt ud anonym. I en August interview med Bloomberg, Usa Drug Enforcement Administration (DEA) special agent Lilita Infante bemærkes, at selv om privatlivets fred-fokuseret valutaer er mindre likvide og mere anonym end BTC, DEA “stadig har muligheder for tracking” altcoins som Monero og Zcash. Infante konkluderede:

“Blokkæden faktisk giver os en masse redskaber til at være i stand til at identificere folk. Jeg har faktisk vil have dem til at holde ved hjælp af [lad os starte].”

Det er interessant, mens Europol ‘ s nyeste it-kriminalitet betænkning foreslår, at BTC er fortsat den mest populære cryptocurrency for kriminelle aktiviteter, er det også forudser en stigning i efterspørgslen for anonymitet-fokuseret altcoins, herunder Monero (XMR).

Privatlivets fred-fokuserede karakter af Monero også forhindrer den fra at blive noteret på nogle kompatibel crypto-udvekslinger. For eksempel, i juni, Japan-baseret Coincheck afnoteret XMR og tre andre anonymitet-fokuseret altcoins at følge Counter-Finansiering af Terrorisme (CFT) og Anti-Money Laundering (AML) procedurer, der er udstedt af det lokale finanstilsyn.

Den brændende fejl: Potentiel trussel mod Monero økosystem

På Sept. 18, bruger u/s_c_m_l beskrevet en hypotetisk angreb i XMR økosystem på Monero officielle subreddit:

“Jeg kan forestille mig, at et angreb, hvor ‘A’ køber [en] stor mængde af XMR og [sender] det til at “Udveksle B’ i mange transaktioner med den samme stealth-adresse. ‘A’ så udvekslinger, der XMR til andre valuta og indkasserer ud, der forlader udveksling lammet og ude af stand til at bruge det XMR.”

Vigtigere er det, Monero blokkæden ‘brænder’ XMR transaktioner mellem identiske stealth-adresser, se dem som illegitime. I stedet, bare en enkelt “korrekt” transaktion kunne gå igennem. Brændt XMR, igen, er fuldstændig ubrugelig, da de ikke kan erstattes.

Mere specifikke detaljer om angrebet blev beskrevet i en Monero blog-indlæg:

“En angriber først genererer en tilfældig privat transaktion nøglen. Derefter, de ændre koden til blot at bruge denne særlige private transaktion nøglen, der sikrer, at flere transaktioner til de samme offentlige adresse (fx en udveksling er hot wallet), sendes til den samme stealth-adresse. Efterfølgende, de sender, sige, tusinde transaktioner på 1 XMR til en udveksling. Fordi exchange ‘ s wallet, ikke advare specielt til denne abnormitet (dvs, de midler, der er modtaget på de samme stealth-adresse), vil exchange, som sædvanlig, kredit angriber med 1000 XMR.

“Hackeren derefter sælger sin XMR for BTC og endelig trækker dette BTC. Resultatet af hacker ‘ s handling(er) er, at udvekslingen er venstre med 999 unspendable/brændt udgange 1 XMR.”

Simpelthen sætte, bug dybest set lov hackere at brænde de midler, der i en organisation er wallet — som den, der af en exchange — mens kun at skulle betale netværk transaktion gebyrer. Selv om de ville ikke få nogen penge fra at gøre det, “der er formentlig betyder, at indirekte fordel,” som Monero holdet foreslået. For eksempel, så angriberne kunne manipulere markedet, som de ville have kontrol over mønten levering af XMR.

Monero håndteres brud roligt

Den Redditor ‘ s teori blev bredt diskuteret i Monero subreddit, og udviklerne nået ud med en offentlig meddelelse kun efter at løse problemet. På Sept. 25, Monero hold erklærede, at en privat patch blev “hurtigt oprettet og senere indgår i kode” efter at opdage potentielle sårbarhed. Efter at de angiveligt meddelt “som mange udvekslinger, tjenester og købmænd som muligt,” forklarer, at patch har haft til at blive anvendt på toppen af v0.12.3.0 release filial.

I en tilhørende blog-indlæg, Monero udviklere anførte, at det var “helt klart ikke den foretrukne metode”, fordi nogle dele af Monero økosystem var stadig venstre ud, men der var begrænset tid til at fjerne fejlen. Efter, at fejlen blev annonceret via offentlige post, da det er “bydende nødvendigt at være tilmeldt til den offentlig postliste” for enhver organisation, der beskæftiger sig med Monero, udviklere argumenterede for.

Endelig, Monero hævder, at fejlen “påvirker ikke protokollen, og dermed mønten levering blev ikke ramt,” der er derfor ikke nogen angribere var hurtig nok til at udnytte fejlen.

XMR fællesskab ophold på vagt

Dette var ikke den første, sikkerhed bekymring for Monero inden for den seneste måned. I begyndelsen af September, Twitter og Reddit brugere er begyndt at påpege, at MEGA udvidelse i Chrome, der blev kompromitteret. MEGA Chrome extension er et værktøj, der hævder at forbedre browser ydeevne ved at reducere sidens indlæsningstid, samt give en cloud storage service.

Redditor u/gattacus sendt på Monero ‘ s officielle subreddit, at MEGA udvidelse i Chrome, version 3.39.4 syntes iøjnefaldende:

“Der var en opdatering til udvidelse og Chrome bedt om ny tilladelse (læse data på alle websteder). Der gjorde mig mistænksom, og jeg tjekkede forlængelse kode lokalt (der er for det meste javascript anyways). MEGA også har kildekoden til udvidelse på github […] Der var ingen begå for nylig. For mig ser det ud enten til deres Google webbutik konto blev hacket eller nogen inde i MEGA gjorde dette. Ren spekulation om.”

Ansøgningen blev fjernet fra Chrome webstore efter omkring fire timer. Senere, MEGA team præciseret, at version 3.39.4 var en ondsindet opdatering udføres af ukendte hackere med det formål at gå på kompromis med brugernes private oplysninger. Snart blev det klart, at angrebet ikke har center omkring Monero specifikt, som den ondsindede kode, der efter sigende er aktiveret på websites såsom Amazon, Google, Microsoft, GitHub og MyEtherWallet sammen med Monero XMR web wallet-tjenester. Denne gang skyld ikke var på Monero ‘ s end.

Den ‘brændende bug,’ igen, var mulig på grund af en fejl i XMR kode, men udviklerne var hurtige til at reagere på de advarselssignaler, der er rejst af altcoin fællesskab.

Source: cointelegraph.com

Leave a Reply

Your email address will not be published. Required fields are marked *

© 2021 Crypto-News · All rights reserved
<<2018>>