Разработчики криптовалюты Monero (https://getmonero.org/), которая позиционируется как обеспечивающая полную анонимность и невозможность отследить платежи, раскрыли (https://getmonero.org/2018/09/25/a-post-mortum-of-the-burnin... сведения о наличии критической уязвимости, которая может привести к обработке на биржах обмена криптовалюты повторяющихся транзакций с тратой одних и тех же средств.
Эксплуатации уязвимости на практике не зафиксировано. Проблема представляет опасностьдля бирж и платформ автоматической обработки платежей.Проблема была выявлена разработчиками Monero в ходе обсуждения (https://www.reddit.com/r/Monero/comments/9gbbm9/what_happens...вопроса о логике обработки нескольких расходных транзакций, направленных на один и тот же одноразовый адрес (промежуточный одноразовый адрес, создаваемый получателем для перенаправления поступающего платежа без раскрытия сведений о реальном адресе). По задумке одноразовый адрес должен быть ограничен одной транзакцией, но из-за недоработки на деле допускалась обработка дублирующихся транзакций, подписанных одним ключом.
Атакующий мог сгенерировать случайный закрытый ключ для проведения транзакции, нацеленной на выполнение перевода по определённому публичному адресу (например, на адресу для конвертации средств на биржe). В ответ биржа генерировала одноразовый адрес, рассчитанный на проведения одной транзакции. Но вместо одного перевода по предоставленному одноразовому адресу, атакущий мог направить на него сразу несколько транзакций, созданных аналогичным ключом.
Например, атакующий мог отправить на биржу 1000 подобных транзакций по 1 XMR. Из-за ошибки в коде Monero обработчик платежей не считал отправку на один и тот же одноразовый адрес аномалией и начислял атакующему приход 1000 XMR. Так как процесс конвертации автоматизирован, 1000 XMR могли сразу быть преобразованы в BTC и выведены из системы в виде Bitcoin до того, как истечёт время жизни одноразового адреса и программное обеспечение биржи обнаружит дублирующиеся траты по нему.Кроме того, исследователи из компании Cisco выявили (https://blog.talosintelligence.com/2018/09/epee-levin-vuln.h... ещё одну уязвимость (https://www.talosintelligence.com/reports/TALOS-2018-0637/) (CVE-2018-3972), затрагивающую код развиваемой проектом Monero библиотеки epee (https://github.com/monero-project/monero/tree/master/contrib... используемой во многих криптовалютах с поддержкой анонимных транзакций.
Проблема вызвана ошибкой в коде раскрытия сериализированных данных в обработчике P2P-потокола Levin, который применяется во всех ответвлениях (https://cryptonote.org/coins/) от проекта CryptoNote (https://en.wikipedia.org/wiki/CryptoNote), включая Monero, Bytecoin, Dashcoin, Dosh и т.п. Ошибка в реализации Levin из состава epee может привести к выполнению кода в системе при обработке определённым образом оформленных сетевых пакетов. Исследователями уже подготовлен рабочий прототип эксплоита.
Исправления обеих проблем включены (https://lists.getmonero.org/hyperkitty/list/monero-announce&... в экспериментальный выпуск v0.13.0.1-RC1 и также доступны в виде патчей (https://github.com/monero-project/monero/pull/4438) для стабильного выпуска 0.12.3.0 (исправления включены в master-ветку 0.12). Принятые патчи также включают устранение менее опасной третьей уязвимости, которая затрагивает код RPC и может применяться для удалённого инициирования отказа в обслуживании (например, для блокирования процесса майнинга).
URL: https://blog.talosintelligence.com/2018/09/epee-levin-vuln.html
Новость: https://www.opennet.me/opennews/art.shtml?num=49376
> Эксплуатации уязвимости на практике не зафиксированоДо этого их это не волновало, что фиксировать?
9 лет читаю новости про криптовалюты, но так и не понял - это лохотрон? новый мавроди? спасение человечества?
> это лохотрон
> новый мавродиПотом ВНЕЗАПТНО курс обваливается и все остаются ни с чем. Короче лотерея такая же как играть на бирже.
Это если хранить. В качестве расчётного средства вполне канает. Знакомые так деньги за границу переводят - геморроя меньше. Ну и теневые рынки никто не отменял.
> Короче лотерея такая же как играть на бирже.Правильно, пролетариат не должен ииграть на бирже. Он должен спокойно взирать как накопления кушает инфляция, в перерывах между выплатой кредита и ипотеки. Пролетарии всех стран - пролетают!
Не-а. Прозрачные схемы, предсказуемые условия, полная надежность. По сравнению с ПФ РФ, конечно.
>предсказуемые условияНу, если считать, что "к вечеру курс этого фекла изменится до неузнаваемости и все фантики превратятся в тыкву, а на следующий день всё будет наоборот и из этого можно будет извлечь 2,42$", то да, очень предсказуемо.
Добро пожаловать в капитализм, деточка.
а мы тут причем? Доллар как стоил двести лет назад, так и сегодня стоит - один доллар.плавненько дешевеет, конечно, после отказа от золотого эквивалента, но мы все это проделали аккуратно, потому что были - правильно, капиталистами, то есть людьми, сожравшими не только собаку, но и репку, и мышку, и бабку с дедом на управлении деньгами. А когда этим пытаются заниматься нерды - даже при поддержке наркомафии и торговцев cp/bdsm/чтотам у вас еще обеспечивает этот виртуальный фантик - получается вот такая вот х...ня.
Это называется "высокая волатильность". И это присуще не только криптовалютам.
> а на следующий день всё будет наоборот и из этого можно будет извлечь 2,42$"То ли дело официальные денежные системы - там ты никогда не извлечешь 2.42$ со знаком плюс. В минус всегда пожалуйста - для того инфляция и придумана. Так что даже википедики уточняют: в 2005 году нечто стоило столько-то (по меркам 2018 - раза в полтора больше). А казалось бы, сто долларов это всегда сто долларов...
>Не-а. Прозрачные схемы, предсказуемые условия, полная надежность. По сравнению с ПФ РФ, конечно.Слушайте экспердов опеннета — несите деньги в криптовалюты.
ни то, ни другое. ни третье (хотя, при желании, можно использовать и как первое, и как второе, и как третье).
Это просто очередные фантики, количество которых ограничено матаном (т.е нельзя просто так взять и нарисовать больше, или наоборот - урезать количество), которые некоторые считают валютой, другие - материалом (типо золота или нефти), но по факту и те и другие используют для обмена на ништяки (например если Вам надо купить впн, а в Вашей стране это запрещено без подписи майора. Или, там, хотите вы оплатить прем на порнхабе и не спалиться что это именно Василий Пупкин предпочитает милф).
> например если Вам надо купить впн, а в Вашей стране это запрещено без подписи майорав таких странах без его подписи тем более запрещено покупать "платежные суррогаты". возникает интересный вопрос - не проще ли купить vpn за обычные деньги, чем сперва покупать непойми что за опять же обычные деньги, чтобы потом обменять на vpn?
> Или, там, хотите вы оплатить прем на порнхабе и не спалиться что это именно Василий Пупкин
> предпочитает милфтут тоже все печальненько- не смотря на громогласные заявы, транзакции вполне себе отслеживаются. И в той точке, где настоящие деньги превратились в криптофуфло, вполне себе есть кто-то, кто может связать вашу кредитку с вашими монетками - если у него правильно попросят.
разумеется, остается вариант "самому намайнить", он в этом плане беспроигрышен, но, сами понимаете, это очень большие вложения с весьма ненулевым шансом никогда их не окупить, времена ферм из дерьма и палок прошли пятнадцать лет тому. К тому же покупка асиковых майнилок нынче тоже без подписи нелегальна.
впрочем, есть еще аренда, три хаха.
>транзакции вполне себе отслеживаютсяну, во 1 - зависит от валюты, некоторые более устойчивы к этому. Во 2 - миксеры же
Это развод лохов на потребление тысяч лепестричества во имя майнинга. А далее по задумке изо всех щелей попрут солнечные батареи, электромобили, это вот все. Главное - заложить экспоненциальный рост чисто по дизайну, а то законы Мура уже тю-тю.
> 9 лет читаю новости про криптовалюты, но так и не понял - это лохотрон? новый мавроди? спасение человечества?Забей, если за 9 лет не понял, то без вариантов))
>исследователи из компании Cisco выявили ещё одну уязвимостьИнтересно, зачем исследователи компании Cisco изучали код epee? Им ведь ещё и зарплату за это платили...
Затем что не только монеро её использует - анонимный локчейн, сюрприз, интересен тем же банкам и вообще не финансовым компаним
Да, представляю себе чем интересен, например обвалить курс или вообще заглючить...
на самом деле нет - блокчейн вполне себе неплох для замены текущего легаси-паровоза (да и от фальшивомонетчиков помогает, если в сферическом вакууме). Другой вопрос что анонимность там нафиг не сдалась - в итоге от всей идеи крипты остается лишь огрызок блокчейна - чекайте Венесуэллу
Анонимные эксперты отлично знают, почему криптовалюты не нужны. Только вот эту информацию до компаний вроде Cisco донести никак не могут.
видите ли, циско - это не только ценный роутер или там свитч, но и изрядная линейка всяких dpi/ips и так далее.
и да, все эти криптобиржи покупают, у них денег много.поэтому постоянно приходится бежать впереди паровоза, чтобы правила в ips'е появлялись до того как кого-то поломают. В данном случае напоролись на системную проблему, которую никакими ips'ами не прикрыть, пришлось идти другим путем.
В реализации криптовалюты выявлены критические уязвимости.
fixed.
Именно в сабжевой типа анонимной находили и покруче, когда вся анонимность кончалась. Сегодня ерунда.
> ерундаЭто вы пока не потеряете некотурую заметную для себя сумму, из-за подобной ерунды очередной.
Впрочем, думаю тут и не ерунды всегда будет хватать, вот запостил вчера (под этим же ником)
почти немного про Цифровую подпись и Криптоалгоритмы с открытм ключём:
http://www.opennet.me/opennews/art.shtml?num=49353- вы уж сами решайте как оно там вам важно или нет, мне то всёравно,
тем более понимаю что и без этого надёжность у криптовалют весьма условная, как и анонимность.
Юзаю крипту 5 лет, клал болт на борцунов с криптой. майору привет!
> клал болт на борцунов с криптой. майору привет!Да кому ты нужен …
Следите за своими монерами, сэр!
Будьте осторожны с ними.
У меня 2 биткоина, со времен майнинга валяется. Куда потратить?
https://www.qubes-os.org/donate/
Сюды: bc1qjjx643z38d80auy2n9zp0fwumvajjp5093rgzh
Тврй адрес сильно короткий. Осиль уже P2WSH адреса.
Подождать пампа.
Набери иксовых альтов, на пампе сольешь, сделаешь минимум x3.
Схожу в данжон саппортом, хил 10 лвл, баф, дебаф.
И как, много коинов это приносит? А то профессиональные майнеры игрошмота вовы выглядят какими-то нищими и драными.
Закажи пиццу
>У меня 2 биткоина... Куда потратить?Если всего 2, то никуда не тратить, а сидеть и не бренчать. На пенсии ух заживёшь!
"В реализации криптовалюты Monero выявлены две критические уязвимости"А сколько ещё НЕ выявлено... Э-э-э-х...