Неизвестный использует алгоритм X17 криптовалюты Verge для единоличного майнинга на протяжении нескольких месяцев. Пользователи Reddit выяснили, что публичные майнинг-пулы участие в выпуске блоков на этом алгоритме не принимают.
Злоумышленник начал использовать уязвимость алгоритма более двух месяцев назад и добавлял в блокчейн в среднем по 570 блоков в день, собирая по 416 100 XVG в качестве наград ($2 200). Вероятный эксплойт позволяет ему последовательно добавлять блоки почти ежесекундно, тогда как стандартное время блока Verge составляет 30 секунд.
Согласно данным из обозревателя блокчейна, неизвестный добавил 6 блоков между номерами 3342575 и 3342580 за 6 секунд, хотя у других майнеров эта процедура отняла бы в среднем две с половиной минуты.
В общей сложности таким образом, предположительно, ему удалось добыть 30 289 000 XVG на $160 000 по текущему курсу.
Один из разработчиков допустил, что проблема может крыться во временных отметках блоков. По его словам, указываемое в них время может отклоняться от реального приблизительно на 3 часа. Как именно эксплойт используется на практике, он не пояснил.
Verge применяет несколько алгоритмов (Scrypt, X17, Lyra2rev2, myr-groestl и blake2s) для обеспечения диверсификации майнинга и дополнительной защиты. Это, однако, не уберегло криптовалюту от атак в 2018 году, когда, используя уязвимости в механизме майнинга, хакеры смогли последовательно завладеть 250 000 и 35 млн XVG.