BTC
3700.8
ETH
124.13
BCH
130.71
LTC
31.932
CFI
0.0233
EOS
2.5312
REQ
0.0221
XMR
45.888
XRP
0.3323
Yobit
bestchange.ru
YoBit.Net
hashflare.io

Уязвимость кошельков Monero была исправлена патчем

Уязвимость кошельков Monero была исправлена патчем

Разработчики Monero выпустили новую заплату для восстановления системы безопасности против уязвимости, которая было обнаружена в приложении кошелька, делая его подверженным атакам CSRF.

Благодаря дополнительной конфиденциальности и безопасности, Monero, как валюта даркнета, составляет конкуренцию биткоину. Тем не менее, последнее предупреждение системы безопасности указало на то, что даже если транзакции Monero безопасны и надежны, то кошельки часто таковыми не являются.

Компания MWR Labs, работающая в области кибербезопасности, ранее в этом месяце выпустила рекомендации с указанием уязвимости CrossSiteRequestForgery. Эта уязвимость может потенциально позволить злоумышленнику удаленно украсть криптовалюту Monero у пользователей, использующих скомпрометированную версию кошелька. В список уязвимых кошельков включены Monero SimpleWallet, LightWallet, Wallet Chrome, GUI Client.net, Minonodo и другие кошельки, написанные на JS, NodeJS и QT.

Все эти кошельки, как известно, размещали веб-сервис RPC на локальном порте 10802, который устранял необходимость пользовательской аутентификации во время совершения платежа. MWR Labs в своих рекомендациях опубликовала фрагмент кода, который может быть использован для эксплуатации данной уязвимости. Он выглядит следующим образом:

<html>  
<form action=http://127.0.0.1:18082/json_rpc method=post enctype="text/plain" name="pay" >  
<input name='{"jsonrpc":"2.0","id":"0","method":"transfer","params":{"destinations":[{"amount":100000000000,"address":"49FuXtv95dkZj5aDaoWkbjQRv9Qu6UMwAAJKP68vksbpRJEPNZfkr6Ecbj9wrqG4xHAiMArmpGsxRbkmxAC8NEydBEvc162"}],"fee":000000000000,"mixin":3,"unlock_time":0,"payment_id":"","get_tx_key":true}}' type='hidden'>  
</form>  
<script>
document.pay.submit()
</script>
</html>  

Поскольку эта проблема была обнародована, команда Monero исправила ее выпуском патча. Заплата теперь доступна на GitHub и совместима только с версиями кошельков, принадлежавших платформе. До сих пор неизвестно, пострадали ли сторонние сервисы от вышеупомянутой уязвимости. Если такие случаи были, то возникает вопрос: применима ли заплата них.

Тем временем, сообщество Monero должно обновить свои кошельки, чтобы обеспечить их безопасность. Те, кто использует сторонние сервисы и не в курсе о состоянии безопасности своих кошельков, должны переключиться на официальный клиент Monero, пока сервис-поставщик кошелька не подтвердит его безопасность.

CrossSiteRequestForgery (подделка межсайтовых запросов) - это злонамеренная атака, при которой злоумышленник заставляет браузер пользователя выполнять несанкционированные команды. Эти команды могут быть направлены против веб-приложений или сервисов. В данном случае, Cross Site Request Forgery может быть использована злоумышленником для осуществления платежей из кошелька пользователя на свой собственный кошелек.

Показать комментарии Обсудить на форуме

Подписывайтесь на новости и их анализ в нашем Telegram канале!

Калькулятор Bitcoin
Скорость, GH/s:
Сложность:
Курс BTC/USD:
Курс BTC/RUB:
в день в неделю в месяц
BTC
0.000043
0.000299
0.00128
USD
0.15380
1.0766
4.6139
RUB
10.219
71.532
306.56
Расширенный калькулятор
YoBit.Net
Курсы криптовалют
Обновить
Статистика сети
Текущая сложность: 5883988430955
Следующая сложность: 5743050916344 (-2.4%)
Блоков до пересчета: 1456
Цена шары (PPS): 0.0000000000
Мощность сети (Th/s): 41110359.77
Блоков в сети: 558992
Блоков в час: 5.86
Блоков за последний час: 2
До 6.25 BTC/блок: 504.89 дней
(71008 блоков)
Лучше взять и изобрести завтрашний день, чем переживать о том, что вчерашний был так себе
Стив Джобс