В редакцию журнала ForkLog обратились представители криптобиржи Livecoin с суточным объемом торгов $25 млн, которые сообщили, что из-за критического бага в коде Monero, позволяющего манипулировать суммами транзакций, они понесли существенные убытки. Общая сумма ущерба составила 15108 XMR (более $1,8 млн).
По их словам, некорректные транзакции начали заходить на биржу 20 июля.
«Транзакции были на суммы в 100 раз больше фактических, и наша нода и наши сотрудники их видели именно такими (неверными), и они были зачислены клиентам автоматически именно так, как они отображались. То есть клиент послал 9,85 Monero, а получил на свой счет 985, и таких транзакций было достаточно», — сообщили представители Livecoin.
Список проблемных транзакций:
show_transfer 0a9bc6e8312288bf26883a38ed58dbd0a69114164e22610fd2 ee9498ce8b916f
show_transfer c7605527df26ae29b464f7029535c4a05c4acf7b1d944e1f72 a649f5044df6bf
show_transfer 14bcccd9411cd390ea4e02ba6473e30b68ff14dc128b9264bc 2feacd77dd2478
show_transfer cb181a2843b928224e5b90cc077e31c5674cd130134d66989d 7c87920646d891
show_transfer b734edcb2e2db8807b05f09aa4129a213cdeefb24455eb666c e8d8177a0ee7ec
txid: <0a9bc6e8312288bf26883a38ed58dbd0a69114164e22610 fd 2ee9498ce8b916f>
Height: 1623790
Timestamp: 2018-07-24
Amount: 13700.000000000000
Payment ID: 1b7f9d9ca21512ba
6992 confirmations
Address index: 0
Note:
txid:
Height: 1622157
Timestamp: 2018-07-22
Amount: 985.000000000000
Payment ID: 1b7f9d9ca21512ba
8625 confirmations
Address index: 0
Note:
txid: <14bcccd9411cd390ea4e02ba6473e30b68ff14dc128b926 4b c2feacd77dd2478>
Height: 1621064
Timestamp: 2018-07-20
Amount: 150.000000000000
Payment ID: 1b7f9d9ca21512ba
9718 confirmations
Address index: 0
Note:
txid:
Height: 1621030
Timestamp: 2018-07-20
Amount: 150.000000000000
Payment ID: 1b7f9d9ca21512ba
9752 confirmations
Address index: 0
Note:
txid:
Height: 1621014
Timestamp: 2018-07-20
Amount: 150.000000000000
Payment ID: 1b7f9d9ca21512ba
9768 confirmations
Address index: 0
Note:
Если обновить ноду релизом, вышедшим 24 июля, то эти же транзакции уменьшаются в 100 раз:
txid: <0a9bc6e8312288bf26883a38ed58dbd0a69114164e22610 fd 2ee9498ce8b916f>
Height: 1623790
Timestamp: 2018-07-24
Amount: 13.700000000000
Payment ID: 1b7f9d9ca21512ba
6992 confirmations
Address index: 0
Note:
txid:
Height: 1622157
Timestamp: 2018-07-22
Amount: 9.850000000000
Payment ID: 1b7f9d9ca21512ba
8625 confirmations
Address index: 0
Note:
txid: <14bcccd9411cd390ea4e02ba6473e30b68ff14dc128b926 4b c2feacd77dd2478>
Height: 1621064
Timestamp: 2018-07-20
Amount: 1.500000000000
Payment ID: 1b7f9d9ca21512ba
9718 confirmations
Address index: 0
Note:
txid:
Height: 1621030
Timestamp: 2018-07-20
Amount: 1.500000000000
Payment ID: 1b7f9d9ca21512ba
9752 confirmations
Address index: 0
Note:
Представители Livecoin возмущены, что криптобиржи не были официально оповещены об опасности, срочном апдейте или необходимости закрыть ввод/вывод Monero.
«Мы считаем, что когда разработчик узнает о такой уязвимости, которая позволяет менять сумму транзакции произвольно и по сути может разрушить всю сеть, он обязан предупредить в первую очередь биржи, что необходимо закрыть пополнение по их монете, а в данном случае и вывод, и только потом начинать работать над фиксами. Этого сделано не было», — утверждают представители Livecoin.
На официальном сайте Monero до сих пор висит срочное уведомление об апрельском апдейте, однако ничего не говорится о критической уязвимости.
«Новость в Twitter была опубликована только 26 июля и не носила характер «критичной» и «срочной», это был рутинный апдейт ноды на их взгляд. Официальные обозреватели блоков, указанные на Coinmarketcap, не работают: последние таймстампы на Monero blockchain относятся к маю, на Monero Blocks — к 28 июля», — добавляет команда Livecoin.
Monero || #xmr
@monero
Monero GUI 0.12.3.0 "Lithium Luna", which includes full and direct Ledger support, released!
https://reddit.com/r/Monero/comments...port_released/ …
2:12 - 27 июл. 2018 г.
GUI v0.12.3.0 (with direct Ledger support) released! • r/Monero
The GUI v0.12.3.0 release, which includes direct Ledger support, is here! # (Direct) download links * [Windows...
reddit.com
169
90 человек(а) говорят об этом
Представители биржи написали официальный запрос команде разработчиков Monero, на который получили ответ, что «если биржа игнорировала все предупреждения об обновлении ноды до версии 0.12.3, то суммы для зачисления могут отображаться неправильно». Вопрос о выплате компенсаций до настоящего момента остался без ответа.
Добавим, что на момент написания материала биржа Livecoin закрыла ввод-вывод по XMR на неопределенное время. Сроки возобновления функционала будут зависеть от переговоров с разработчиками криптовалюты.
Журнал ForkLog также запросил комментарии по ситуации у ряда бирж. Так, представители EXMO сообщили, что у площадки не возникло каких-либо проблем.
«Мы не понесли финансовых потерь, потому что по регламенту не начисляем вручную депозиты, посланные не на интегрированный адрес», — заявил СЕО криптовалютной биржи EXMO Сергей Жданов.
Напомним, ранее стало известно, что в рамках программы по поиску багов HackerOne в криптовалюте Monero было найдено несколько уязвимостей. Одна из них позволяла злоумышленникам выводить из криптовалютных бирж суммы, значительно превышающие изначальный депозит. К числу прочих багов относятся открытый вектор для осуществления DoS-атак с целью создания перегрузки в блокчейне Monero и уязвимость нод, позволявшая выводить их из строя с помощью скрипта.
ForkLog продолжит следить за развитием ситуации.
Источник
03.08.2018, 20:26
