В кошельке Monero обнаружили серьезные ошибки, которые позволили злоумышленникам красть цифровые активы с биржи обмена Altex. Одну из шести уязвимостей оценили в 9 баллов из 10 возможных. Однако, по словам исследователя Джейсона Рейнланда, баги уже устранили.
Об ошибке Джейсон Рейнланд, который работает в институте Канады, сообщил на портале HackerOne. Баг позволял злоумышленникам вручную менять сумму, указанную в транзакции. Для этого достаточно было просто скопировать код из кошелька, который находится в открытом доступе.
Каждая дополнительная строка удваивала количество монет. Таким образом хакеры могли выводить с биржи криптовалют средства большие, чем у них были на самом деле.
Уязвимость касалась и других монет, производных от Monero. Так преступники украли токены ARQ – форк Monero – с биржи Altex. Однако они могли использовать баг и на других платформах.
Какая именно сумма была украдена, пока неизвестно. Но в Altex решили приостановить торговлю, так как ошибка привела к большой потере средств.
За последние сутки исследователи обнаружили еще 5 ошибок. Одна из них позволяла засорять блокчейн Monero, а другая – удалять активные узлы в сети. Все 6 багов на данный момент уже устранены.