隐私货币Monero被披露存在9个安全漏洞,其中一个漏洞可能会导致黑客从加密货币交易所窃取用户的XMR。
据Thenextweb报道,今年3月,一些Monero矿工还在试图创建“特殊”区块,这些区块可以迫使Monero钱包接受攻击者存放在XMR中的假币。安全研究人员在HackerOne报告中表示:“我们认为利用这个漏洞可以从交易所窃取XMR。就这样,他们最终得到了45 XMR,价值4100美元。
此外,还公布了五种DoS攻击载体,其中一种标记为“严重”。
另一个与CryptoNote有关,crypto note是Monero用来增加交易隐私的应用层。该漏洞可以通过从网络恶意请求大量区块链数据来使Monero节点崩溃。发现这一漏洞的Andrey Sabelnikov认为,对于大型区块链项目,如Monero,用户可以推送一个协议请求,该请求将从另一个节点调用其所有的块,可能多达几十万个块。这样做会占用大量资源,最终操作系统可能会因为巨大的内存消耗而瘫痪,这也是Linux系统的典型特征。其他依赖CryptoNote的加密货币项目同样容易受到这些攻击。
人们还发现Monero软件会将“未启动的”内存泄露给不可信的网络。大多数漏洞是在大约四个月前提交的。此后,8个漏洞被修复,其中一个几乎完全没有公开。这些报告与6月发布的Monero版本0.14.1.0一致。去年在Monero钱包软件中发现了一个bug,可能会让XMR在定向攻击中从钱包中消失。
开发者提醒公众,加密货币还处于初级阶段,非常容易出现严重漏洞,用户要注意安全问题。