Reddit-bruger undrede sig - så fik udviklere bag kryptovaluta travlt med at lukke hul

26. september 2018 kl. 15:493
Reddit-bruger undrede sig - så fik udviklere bag kryptovaluta travlt med at lukke hul
Illustration: artmagination/Bigstock.
Folkene bag kryptovalutaen Monero har fikset en fejl, der gjorde det muligt at tømme børser for kryptovaluta.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Udviklerne bag koden til kryptovalutaen Monero har patched en sårbarhed, der kunne gøre det muligt for en angriber at lænse børser til veksling af kryptovaluta. Det oplyser blandt andet ZDNet.

Fejlen kom ifølge mediet frem, da en bruger postede et teoretisk spørgsmål på sub-reddit'en /r/Monero

Brugeren ville gerne vise, hvad der ville ske, hvis der blev sendt flere transaktioner til den samme stealth-adresse.

ZDNet forklarer, at en stealth-adresse er en privacy-foranstaltning som flere kryptovalutaer anvender.

Artiklen fortsætter efter annoncen

Adressen fungerer som en engangs-adresse, der bliver oprettet ved overførsler. Når afsender vil sende Monero fra adresse A til en modtager med adresse B, så bliver en midlertidig adresse C oprettet som mellemstation. Valutaen bliver så til sidst flyttet fra adresse C til modtagerens adresse B.

Fejl i software

Foranlediget af Reddit-brugerens spørgsmål gik det op for Monero-udviklerne, at der var en fejl i koden bag kryptovalutaen. En person tilknyttet Monero-holdet fortæller mere om forløbet i dette indlæg på getmonero.org.

Fejlen udspringer af, at det ikke er meningen, at en stealth-adresse skal bruges til mere end en transaktion. Men en angriber kunne potentielt sende en Monero-transaktion til den samme stealth-adresse igen og igen. Og slutmodtagerens wallet-software ville ikke gøre opmærksom på, at noget usædvanligt var på færde, til trods for at indkomne transaktioner helt usædvanligt ville komme fra den samme stealth-adresse.

I indlægget på getmonero.org bliver følgende angrebsscenarie beskrevet: en angriber overfører den samme Monero-enhed eksempelvis 1.000 gange til en stealth-adresse hos en børs til veksling af kryptovaluta. Selvom kun den første transaktion er reel ville børsen som følge af fejlen kunne narres til at veksle Monero-enheden 1.000 gange til en tilsvarende værdi i en anden kryptovaluta, eksempelvis Bitcoin, som så ville blive ført tilbage til angriberen.

Først bagefter ville børsen opdage, at det kun var den første transaktion, der var gyldig, og at de resterende 999 Monero-enheder var ugyldige.

Indlægget på getmonero.org beskriver også, hvordan Monero-holdet til at starte med udviklede en 'private patch', som blev rullet ud ved forskellige børser og andre.

Dernæst blev patchen lagt ind som et 'pull request' i den åbne kode på Github.

Fejlen i Monero-koden er fikset med version 0.12.3.0.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
27. september 2018 kl. 09:40

Her må man ikke være kritisk.

JO men ikke over for Version2 eller den måde de håndterer overskrifter eller kommentar på.

Især også konstruktiv kritik af Clipbait, dårlige google oversatte artikler, eller manglede teknisk indsigt falde ikke i god jord.

2
27. september 2018 kl. 09:24

Så er det mit gæt at dit indlæg bliver slettet inden for én time. Her må man ikke være kritisk.

1
26. september 2018 kl. 18:28

.. burde skulle accepteres af chefredaktøren først, med udvidet ansvar hvis det ender med at være clickbait...