BTC
5787.9
ETH
183.01
BCH
446.97
LTC
44.230
CFI
0.0233
EOS
4.6730
REQ
0.0421
XMR
91.516
XRP
0.4571
baikalminer.com
https://itsoft.ru
hashflare.io
YoBit.Net

Уязвимость кошельков Monero была исправлена патчем

Уязвимость кошельков Monero была исправлена патчем

Разработчики Monero выпустили новую заплату для восстановления системы безопасности против уязвимости, которая было обнаружена в приложении кошелька, делая его подверженным атакам CSRF.

Благодаря дополнительной конфиденциальности и безопасности, Monero, как валюта даркнета, составляет конкуренцию биткоину. Тем не менее, последнее предупреждение системы безопасности указало на то, что даже если транзакции Monero безопасны и надежны, то кошельки часто таковыми не являются.

Компания MWR Labs, работающая в области кибербезопасности, ранее в этом месяце выпустила рекомендации с указанием уязвимости CrossSiteRequestForgery. Эта уязвимость может потенциально позволить злоумышленнику удаленно украсть криптовалюту Monero у пользователей, использующих скомпрометированную версию кошелька. В список уязвимых кошельков включены Monero SimpleWallet, LightWallet, Wallet Chrome, GUI Client.net, Minonodo и другие кошельки, написанные на JS, NodeJS и QT.

Все эти кошельки, как известно, размещали веб-сервис RPC на локальном порте 10802, который устранял необходимость пользовательской аутентификации во время совершения платежа. MWR Labs в своих рекомендациях опубликовала фрагмент кода, который может быть использован для эксплуатации данной уязвимости. Он выглядит следующим образом:

<html>  
<form action=http://127.0.0.1:18082/json_rpc method=post enctype="text/plain" name="pay" >  
<input name='{"jsonrpc":"2.0","id":"0","method":"transfer","params":{"destinations":[{"amount":100000000000,"address":"49FuXtv95dkZj5aDaoWkbjQRv9Qu6UMwAAJKP68vksbpRJEPNZfkr6Ecbj9wrqG4xHAiMArmpGsxRbkmxAC8NEydBEvc162"}],"fee":000000000000,"mixin":3,"unlock_time":0,"payment_id":"","get_tx_key":true}}' type='hidden'>  
</form>  
<script>
document.pay.submit()
</script>
</html>  

Поскольку эта проблема была обнародована, команда Monero исправила ее выпуском патча. Заплата теперь доступна на GitHub и совместима только с версиями кошельков, принадлежавших платформе. До сих пор неизвестно, пострадали ли сторонние сервисы от вышеупомянутой уязвимости. Если такие случаи были, то возникает вопрос: применима ли заплата них.

Тем временем, сообщество Monero должно обновить свои кошельки, чтобы обеспечить их безопасность. Те, кто использует сторонние сервисы и не в курсе о состоянии безопасности своих кошельков, должны переключиться на официальный клиент Monero, пока сервис-поставщик кошелька не подтвердит его безопасность.

CrossSiteRequestForgery (подделка межсайтовых запросов) - это злонамеренная атака, при которой злоумышленник заставляет браузер пользователя выполнять несанкционированные команды. Эти команды могут быть направлены против веб-приложений или сервисов. В данном случае, Cross Site Request Forgery может быть использована злоумышленником для осуществления платежей из кошелька пользователя на свой собственный кошелек.

Показать комментарии Обсудить на форуме

Подписывайтесь на новости и их анализ в нашем Telegram канале!

Калькулятор Bitcoin
Скорость, GH/s:
Сложность:
Курс BTC/USD:
Курс BTC/RUB:
в день в неделю в месяц
BTC
0.000035
0.000245
0.00105
USD
0.20255
1.4178
6.0765
RUB
13.709
95.962
411.26
Расширенный калькулятор
YoBit.Net
mining-center.org
Курсы криптовалют
Обновить
Статистика сети
Текущая сложность: 7184404942702
Следующая сложность: 6782147423739 (-5.6%)
Блоков до пересчета: 278
Цена шары (PPS): 0.0000000000
Мощность сети (Th/s): 48548502.3
Блоков в сети: 550090
Блоков в час: 5.66
Блоков за последний час: 5
До 6.25 BTC/блок: 588.27 дней
(79910 блоков)
konvert.im
Лучше взять и изобрести завтрашний день, чем переживать о том, что вчерашний был так себе
Стив Джобс