Reddit-bruger undrede sig - så fik udviklere bag kryptovaluta travlt med at lukke hul

Illustration: artmagination/Bigstock
Folkene bag kryptovalutaen Monero har fikset en fejl, der gjorde det muligt at tømme børser for kryptovaluta.

Udviklerne bag koden til kryptovalutaen Monero har patched en sårbarhed, der kunne gøre det muligt for en angriber at lænse børser til veksling af kryptovaluta. Det oplyser blandt andet ZDNet.

Fejlen kom ifølge mediet frem, da en bruger postede et teoretisk spørgsmål på sub-reddit'en /r/Monero

Brugeren ville gerne vise, hvad der ville ske, hvis der blev sendt flere transaktioner til den samme stealth-adresse.

ZDNet forklarer, at en stealth-adresse er en privacy-foranstaltning som flere kryptovalutaer anvender.

Adressen fungerer som en engangs-adresse, der bliver oprettet ved overførsler. Når afsender vil sende Monero fra adresse A til en modtager med adresse B, så bliver en midlertidig adresse C oprettet som mellemstation. Valutaen bliver så til sidst flyttet fra adresse C til modtagerens adresse B.

Fejl i software

Foranlediget af Reddit-brugerens spørgsmål gik det op for Monero-udviklerne, at der var en fejl i koden bag kryptovalutaen. En person tilknyttet Monero-holdet fortæller mere om forløbet i dette indlæg på getmonero.org.

Fejlen udspringer af, at det ikke er meningen, at en stealth-adresse skal bruges til mere end en transaktion. Men en angriber kunne potentielt sende en Monero-transaktion til den samme stealth-adresse igen og igen. Og slutmodtagerens wallet-software ville ikke gøre opmærksom på, at noget usædvanligt var på færde, til trods for at indkomne transaktioner helt usædvanligt ville komme fra den samme stealth-adresse.

I indlægget på getmonero.org bliver følgende angrebsscenarie beskrevet: en angriber overfører den samme Monero-enhed eksempelvis 1.000 gange til en stealth-adresse hos en børs til veksling af kryptovaluta. Selvom kun den første transaktion er reel ville børsen som følge af fejlen kunne narres til at veksle Monero-enheden 1.000 gange til en tilsvarende værdi i en anden kryptovaluta, eksempelvis Bitcoin, som så ville blive ført tilbage til angriberen.

Først bagefter ville børsen opdage, at det kun var den første transaktion, der var gyldig, og at de resterende 999 Monero-enheder var ugyldige.

Indlægget på getmonero.org beskriver også, hvordan Monero-holdet til at starte med udviklede en 'private patch', som blev rullet ud ved forskellige børser og andre.

Dernæst blev patchen lagt ind som et 'pull request' i den åbne kode på Github.

Fejlen i Monero-koden er fikset med version 0.12.3.0.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder