The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"В реализации криптовалюты Monero выявлены две критические уя..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В реализации криптовалюты Monero выявлены две критические уя..."  +/
Сообщение от opennews (?), 01-Окт-18, 11:12 
Разработчики криптовалюты Monero (https://getmonero.org/), которая позиционируется как обеспечивающая полную анонимность и невозможность отследить платежи, раскрыли (https://getmonero.org/2018/09/25/a-post-mortum-of-the-burnin... сведения о наличии критической уязвимости, которая может привести к обработке на биржах обмена криптовалюты повторяющихся транзакций с тратой одних и тех же средств.
Эксплуатации уязвимости на практике не зафиксировано. Проблема представляет опасностьдля бирж и платформ автоматической обработки платежей.

Проблема была выявлена разработчиками Monero в ходе обсуждения (https://www.reddit.com/r/Monero/comments/9gbbm9/what_happens...вопроса о логике обработки нескольких расходных транзакций, направленных на один и тот же одноразовый адрес (промежуточный одноразовый адрес, создаваемый получателем для перенаправления поступающего платежа без раскрытия сведений о реальном адресе). По задумке одноразовый адрес должен быть ограничен одной транзакцией, но из-за недоработки на деле допускалась обработка дублирующихся транзакций, подписанных одним ключом.


Атакующий мог сгенерировать случайный закрытый ключ для проведения транзакции, нацеленной на выполнение перевода по определённому публичному адресу (например, на адресу для конвертации средств на биржe). В ответ биржа генерировала одноразовый адрес, рассчитанный на проведения одной транзакции. Но вместо одного перевода по предоставленному одноразовому адресу, атакущий мог направить на него сразу несколько транзакций, созданных аналогичным ключом.


Например, атакующий мог отправить на биржу 1000 подобных транзакций по 1 XMR. Из-за ошибки в коде Monero обработчик платежей не считал отправку на один и тот же одноразовый адрес  аномалией и начислял атакующему приход 1000 XMR. Так как процесс конвертации автоматизирован, 1000 XMR могли сразу быть преобразованы в BTC и выведены из системы в виде Bitcoin до того, как истечёт время жизни одноразового адреса и программное обеспечение биржи обнаружит дублирующиеся траты по нему.

Кроме того, исследователи из компании Cisco выявили (https://blog.talosintelligence.com/2018/09/epee-levin-vuln.h... ещё одну уязвимость (https://www.talosintelligence.com/reports/TALOS-2018-0637/) (CVE-2018-3972), затрагивающую код развиваемой проектом Monero библиотеки epee (https://github.com/monero-project/monero/tree/master/contrib... используемой во многих криптовалютах с поддержкой анонимных транзакций.  


Проблема вызвана ошибкой в коде раскрытия сериализированных данных в обработчике P2P-потокола Levin, который применяется во всех ответвлениях (https://cryptonote.org/coins/) от проекта CryptoNote (https://en.wikipedia.org/wiki/CryptoNote), включая Monero, Bytecoin, Dashcoin, Dosh и т.п. Ошибка в реализации Levin из состава epee может привести к выполнению кода в системе при обработке определённым образом оформленных сетевых пакетов. Исследователями уже подготовлен рабочий прототип эксплоита.


Исправления обеих проблем включены (https://lists.getmonero.org/hyperkitty/list/monero-announce&... в экспериментальный выпуск v0.13.0.1-RC1 и также доступны в виде патчей (https://github.com/monero-project/monero/pull/4438) для стабильного выпуска 0.12.3.0 (исправления включены в master-ветку 0.12). Принятые патчи также включают устранение менее опасной третьей уязвимости, которая затрагивает код RPC и может применяться для удалённого инициирования отказа в обслуживании (например, для блокирования процесса майнинга).


URL: https://blog.talosintelligence.com/2018/09/epee-levin-vuln.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=49376

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В реализации криптовалюты Monero выявлены две критические уя..."  –4 +/
Сообщение от Госдеп (?), 01-Окт-18, 11:12 
> Эксплуатации уязвимости на практике не зафиксировано

До этого их это не волновало, что фиксировать?

Ответить | Правка | Наверх | Cообщить модератору

8. "В реализации криптовалюты Monero выявлены две критические уя..."  +22 +/
Сообщение от Аноним (-), 01-Окт-18, 12:25 
9 лет читаю новости про криптовалюты, но так и не понял - это лохотрон? новый мавроди? спасение человечества?
Ответить | Правка | Наверх | Cообщить модератору

9. "В реализации криптовалюты Monero выявлены две критические уя..."  –3 +/
Сообщение от Аноним (9), 01-Окт-18, 12:32 
> это лохотрон
> новый мавроди

Потом ВНЕЗАПТНО курс обваливается и все остаются ни с чем. Короче лотерея такая же как играть на бирже.

Ответить | Правка | Наверх | Cообщить модератору

16. "В реализации криптовалюты Monero выявлены две критические уя..."  +3 +/
Сообщение от Аноним (16), 01-Окт-18, 14:02 
Это если хранить. В качестве расчётного средства вполне канает. Знакомые так деньги за границу переводят - геморроя меньше. Ну и теневые рынки никто не отменял.
Ответить | Правка | Наверх | Cообщить модератору

63. "В реализации криптовалюты Monero выявлены две критические уя..."  +/
Сообщение от Аноним (-), 12-Окт-18, 03:24 
> Короче лотерея такая же как играть на бирже.

Правильно, пролетариат не должен ииграть на бирже. Он должен спокойно взирать как накопления кушает инфляция, в перерывах между выплатой кредита и ипотеки. Пролетарии всех стран - пролетают!

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

22. "В реализации криптовалюты Monero выявлены две критические уя..."  +5 +/
Сообщение от tonysemail (??), 01-Окт-18, 16:03 
Не-а. Прозрачные схемы, предсказуемые условия, полная надежность. По сравнению с ПФ РФ, конечно.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

23. "В реализации криптовалюты Monero выявлены две критические уя..."  +2 +/
Сообщение от Qwerty (??), 01-Окт-18, 16:05 
>предсказуемые условия

Ну, если считать, что "к вечеру курс этого фекла изменится до неузнаваемости и все фантики превратятся в тыкву, а на следующий день всё будет наоборот и из этого можно будет извлечь 2,42$", то да, очень предсказуемо.

Ответить | Правка | Наверх | Cообщить модератору

37. "В реализации криптовалюты Monero выявлены две критические уя..."  –1 +/
Сообщение от Аноним (37), 01-Окт-18, 17:34 
Добро пожаловать в капитализм, деточка.
Ответить | Правка | Наверх | Cообщить модератору

51. "В реализации криптовалюты Monero выявлены две критические уя..."  –2 +/
Сообщение от капиталист (?), 01-Окт-18, 22:30 
а мы тут причем? Доллар как стоил двести лет назад, так и сегодня стоит - один доллар.

плавненько дешевеет, конечно, после отказа от золотого эквивалента, но мы все это проделали аккуратно, потому что были - правильно, капиталистами, то есть людьми, сожравшими не только собаку, но и репку, и мышку, и бабку с дедом на управлении деньгами. А когда этим пытаются заниматься нерды - даже при поддержке наркомафии и торговцев cp/bdsm/чтотам у вас еще обеспечивает этот виртуальный фантик - получается вот такая вот х...ня.

Ответить | Правка | Наверх | Cообщить модератору

58. "В реализации криптовалюты Monero выявлены две критические уя..."  +/
Сообщение от Аноним (58), 02-Окт-18, 07:10 
Это называется "высокая волатильность". И это присуще не только криптовалютам.
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

64. "В реализации криптовалюты Monero выявлены две критические уя..."  +/
Сообщение от Аноним (-), 12-Окт-18, 03:27 
> а на следующий день всё будет наоборот и из этого можно будет извлечь 2,42$"

То ли дело официальные денежные системы - там ты никогда не извлечешь 2.42$ со знаком плюс. В минус всегда пожалуйста - для того инфляция и придумана. Так что даже википедики уточняют: в 2005 году нечто стоило столько-то (по меркам 2018 - раза в полтора больше). А казалось бы, сто долларов это всегда сто долларов...

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

43. "В реализации криптовалюты Monero выявлены две критические уя..."  +2 +/
Сообщение от Тот_Самый_Анонимус (?), 01-Окт-18, 18:32 
>Не-а. Прозрачные схемы, предсказуемые условия, полная надежность. По сравнению с ПФ РФ, конечно.

Слушайте экспердов опеннета — несите деньги в криптовалюты.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

34. "В реализации криптовалюты Monero выявлены две критические уя..."  +/
Сообщение от Капитан (??), 01-Окт-18, 17:16 
ни то, ни другое. ни третье (хотя, при желании, можно использовать и как первое, и как второе, и как третье).
Это просто очередные фантики, количество которых ограничено матаном (т.е нельзя просто так взять и нарисовать больше, или наоборот - урезать количество), которые некоторые считают валютой, другие - материалом (типо золота или нефти), но по факту и те и другие используют для обмена на ништяки (например если Вам надо купить впн, а в Вашей стране это запрещено без подписи майора. Или, там, хотите вы оплатить прем на порнхабе и не спалиться что это именно Василий Пупкин предпочитает милф).
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

53. "В реализации криптовалюты Monero выявлены две критические уя..."  +/
Сообщение от майор (?), 01-Окт-18, 22:43 
> например если Вам надо купить впн, а в Вашей стране это запрещено без подписи майора

в таких странах без его подписи тем более запрещено покупать "платежные суррогаты". возникает интересный вопрос - не проще ли купить vpn за обычные деньги, чем сперва покупать непойми что за опять же обычные деньги, чтобы потом обменять на vpn?

> Или, там, хотите вы оплатить прем на порнхабе и не спалиться что это именно Василий Пупкин
> предпочитает милф

тут тоже все печальненько- не смотря на громогласные заявы, транзакции вполне себе отслеживаются. И в той точке, где настоящие деньги превратились в криптофуфло, вполне себе есть кто-то, кто может связать вашу кредитку с вашими монетками - если у него правильно попросят.

разумеется, остается вариант "самому намайнить", он в этом плане беспроигрышен, но, сами понимаете, это очень большие вложения с весьма ненулевым шансом никогда их не окупить, времена ферм из дерьма и палок прошли пятнадцать лет тому. К тому же покупка асиковых майнилок нынче тоже без подписи нелегальна.

впрочем, есть еще аренда, три хаха.


Ответить | Правка | Наверх | Cообщить модератору

54. "В реализации криптовалюты Monero выявлены две критические уя..."  +/
Сообщение от Аноним (-), 01-Окт-18, 23:07 
>транзакции вполне себе отслеживаются

ну, во 1 - зависит от валюты, некоторые более устойчивы к этому. Во 2 - миксеры же

Ответить | Правка | Наверх | Cообщить модератору

56. "В реализации криптовалюты Monero выявлены две критические уя..."  +/
Сообщение от Аноним (56), 02-Окт-18, 01:10 
Это развод лохов на потребление тысяч лепестричества во имя майнинга. А далее по задумке изо всех щелей попрут солнечные батареи, электромобили, это вот все. Главное - заложить экспоненциальный рост чисто по дизайну, а то законы Мура уже тю-тю.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

62. "В реализации криптовалюты Monero выявлены две критические уя..."  +/
Сообщение от Аноним (62), 02-Окт-18, 15:04 
> 9 лет читаю новости про криптовалюты, но так и не понял - это лохотрон? новый мавроди? спасение человечества?

Забей, если за 9 лет не понял, то без вариантов))

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

11. "В реализации криптовалюты Monero выявлены две критические уя..."  +1 +/
Сообщение от Аноним (11), 01-Окт-18, 12:56 
>исследователи из компании Cisco выявили ещё одну уязвимость

Интересно, зачем исследователи компании Cisco изучали код epee? Им ведь ещё и зарплату за это платили...

Ответить | Правка | Наверх | Cообщить модератору

19. "В реализации криптовалюты Monero выявлены две критические уя..."  +2 +/
Сообщение от IB (?), 01-Окт-18, 15:17 
Затем что не только монеро её использует - анонимный локчейн, сюрприз, интересен тем же банкам и вообще не финансовым компаним
Ответить | Правка | Наверх | Cообщить модератору

24. "В реализации криптовалюты Monero выявлены две критические уя..."  –3 +/
Сообщение от типа аноним (?), 01-Окт-18, 16:09 
Да, представляю себе чем интересен, например обвалить курс или вообще заглючить...
Ответить | Правка | Наверх | Cообщить модератору

55. "В реализации криптовалюты Monero выявлены две критические уя..."  +/
Сообщение от Аноним (-), 01-Окт-18, 23:11 
на самом деле нет - блокчейн вполне себе неплох для замены текущего легаси-паровоза (да и от фальшивомонетчиков помогает, если в сферическом вакууме). Другой вопрос что анонимность там нафиг не сдалась - в итоге от всей идеи крипты остается лишь огрызок блокчейна - чекайте Венесуэллу
Ответить | Правка | Наверх | Cообщить модератору

41. "В реализации криптовалюты Monero выявлены две критические уя..."  +/
Сообщение от Аноним (41), 01-Окт-18, 18:27 
Анонимные эксперты отлично знают, почему криптовалюты не нужны. Только вот эту информацию до компаний вроде Cisco донести никак не могут.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

52. "В реализации криптовалюты Monero выявлены две критические уя..."  +/
Сообщение от исследователь (?), 01-Окт-18, 22:34 
видите ли, циско - это не только ценный роутер или там свитч, но и изрядная линейка всяких dpi/ips и так далее.
и да, все эти криптобиржи покупают, у них денег много.

поэтому постоянно приходится бежать впереди паровоза, чтобы правила в ips'е появлялись до того как кого-то поломают. В данном случае напоролись на системную проблему, которую никакими ips'ами не прикрыть, пришлось идти другим путем.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

12. "В реализации криптовалюты Monero выявлены две критические уя..."  –1 +/
Сообщение от Gemorroj (ok), 01-Окт-18, 13:06 
В реализации криптовалюты выявлены критические уязвимости.
fixed.
Ответить | Правка | Наверх | Cообщить модератору

15. "В реализации криптовалюты Monero выявлены две критические уя..."  +/
Сообщение от mandala (ok), 01-Окт-18, 13:27 
Именно в сабжевой типа анонимной находили и покруче, когда вся анонимность кончалась. Сегодня ерунда.
Ответить | Правка | Наверх | Cообщить модератору

25. "В реализации криптовалюты Monero выявлены две критические уя..."  +/
Сообщение от типа аноним (?), 01-Окт-18, 16:17 
> ерунда

Это вы пока не потеряете некотурую заметную для себя сумму, из-за подобной ерунды очередной.


Впрочем, думаю тут и не ерунды всегда будет хватать, вот запостил вчера (под этим же ником)
почти немного про Цифровую подпись и Криптоалгоритмы с открытм ключём:
http://www.opennet.ru/opennews/art.shtml?num=49353

- вы уж сами решайте как оно там вам важно или нет, мне то всёравно,
тем более понимаю что и без этого надёжность у криптовалют весьма условная, как и анонимность.

Ответить | Правка | Наверх | Cообщить модератору

31. "В реализации криптовалюты Monero выявлены две критические уя..."  +/
Сообщение от Аноним (-), 01-Окт-18, 17:01 
Юзаю крипту 5 лет, клал болт на борцунов с криптой. майору привет!
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

33. "В реализации криптовалюты Monero выявлены две критические уя..."  +2 +/
Сообщение от Аноним (33), 01-Окт-18, 17:09 
> клал болт на борцунов с криптой. майору привет!

Да кому ты нужен …


Ответить | Правка | Наверх | Cообщить модератору

18. "В реализации криптовалюты Monero выявлены две критические уя..."  +3 +/
Сообщение от InuYasha (?), 01-Окт-18, 15:14 
Следите за своими монерами, сэр!
Ответить | Правка | Наверх | Cообщить модератору

42. "В реализации криптовалюты Monero выявлены две критические уя..."  +/
Сообщение от Naraku (?), 01-Окт-18, 18:31 
Будьте осторожны с ними.
Ответить | Правка | Наверх | Cообщить модератору

32. "В реализации криптовалюты Monero выявлены две критические уя..."  +3 +/
Сообщение от Аноним (-), 01-Окт-18, 17:03 
У меня 2 биткоина, со времен майнинга валяется. Куда потратить?
Ответить | Правка | Наверх | Cообщить модератору

44. "В реализации криптовалюты Monero выявлены две критические уя..."  +/
Сообщение от Аноним (41), 01-Окт-18, 18:34 
https://www.qubes-os.org/donate/
Ответить | Правка | Наверх | Cообщить модератору

45. "В реализации криптовалюты Monero выявлены две критические уя..."  +/
Сообщение от Кома (?), 01-Окт-18, 19:01 
Сюды: bc1qjjx643z38d80auy2n9zp0fwumvajjp5093rgzh
Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

47. "В реализации криптовалюты Monero выявлены две критические уя..."  –1 +/
Сообщение от Аноним (-), 01-Окт-18, 19:12 
Тврй адрес сильно короткий. Осиль уже P2WSH адреса.
Ответить | Правка | Наверх | Cообщить модератору

46. "В реализации криптовалюты Monero выявлены две критические уя..."  +/
Сообщение от commiethebeastie (ok), 01-Окт-18, 19:04 
Подождать пампа.
Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

48. "В реализации криптовалюты Monero выявлены две критические уя..."  +/
Сообщение от Brutalik (?), 01-Окт-18, 19:14 
Набери иксовых альтов, на пампе сольешь, сделаешь минимум x3.
Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

49. "В реализации криптовалюты Monero выявлены две критические уя..."  +5 +/
Сообщение от Нуб (?), 01-Окт-18, 19:54 
Схожу в данжон саппортом, хил 10 лвл, баф, дебаф.
Ответить | Правка | Наверх | Cообщить модератору

65. "В реализации криптовалюты Monero выявлены две критические уя..."  +/
Сообщение от Аноним (-), 12-Окт-18, 03:29 
И как, много коинов это приносит? А то профессиональные майнеры игрошмота вовы выглядят какими-то нищими и драными.
Ответить | Правка | Наверх | Cообщить модератору

57. "В реализации криптовалюты Monero выявлены две критические уя..."  +/
Сообщение от ОнАнон (?), 02-Окт-18, 07:00 
Закажи пиццу
Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

59. "В реализации криптовалюты Monero выявлены две критические уя..."  +/
Сообщение от лютый лютик__ (?), 02-Окт-18, 07:14 
>У меня 2 биткоина... Куда потратить?

Если всего 2, то никуда не тратить, а сидеть и не бренчать. На пенсии ух заживёшь!

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

61. "В реализации криптовалюты Monero выявлены две критические уя..."  +/
Сообщение от Аноним (61), 02-Окт-18, 13:57 
"В реализации криптовалюты Monero выявлены две критические уязвимости"

А сколько ещё НЕ выявлено... Э-э-э-х...

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру