Разработчики криптовалюты Ryo в своём блоге на Medium сообщили о баге в программном обеспечении кошельков Monero, который может позволить злоумышленникам зачислять произвольный объём средств на биржи при осуществлении депозитов.
В публикации приводится скриншот письма, полученного участниками списка рассылки Monero, где говорится, что биржам, платёжным сервисам и прочим участникам экосистемы необходимо обратить внимание на проблему, о которой стало известно команде криптовалюты. Уязвимость заключается в манипулировании выходами coinbase-транзакций (т.е. первых транзакций каждого блока).
Воспользовавшись уязвимостью, злоумышленник может отправлять фейковые депозиты на биржи и зачислять произвольное количество криптовалюты на свои счета. В письме указываются параметры кошелька, которые необходимо указать, чтобы обезопасить себя. Инструкция также была представлена официальным аккаунтом Monero в Twitter.
Согласно информации из того же аккаунта, разработчики создали фикс, который уже был загружен на GitHub и ожидает включения в новые релизы ПО.
Создатели Ryo, основывающейся на кодовой базе Monero, заявили, что в своём протоколе они устранили уязвимость ещё 7 месяцев назад, но предпочли не раскрывать информацию о ней сообществу оригинальной криптовалюты из-за его враждебного отношения к исследователям проблем безопасности.
Этим утром производитель аппаратных кошельков Ledger сообщил, что из-за бага владельцам выпущенных им устройств не следует использовать клиент Monero версии 0.14.
