BTC
4068.4
ETH
139.30
BCH
169.09
LTC
61.953
EOS
3.7381
REQ
0.0270
XMR
53.805
XRP
0.3163
https://yobitex.net
https://yobitex.net/
obmencrypto.com
hashflare.io
bestchange.ru

Уязвимость кошельков Monero была исправлена патчем

Уязвимость кошельков Monero была исправлена патчем

Разработчики Monero выпустили новую заплату для восстановления системы безопасности против уязвимости, которая было обнаружена в приложении кошелька, делая его подверженным атакам CSRF.

Благодаря дополнительной конфиденциальности и безопасности, Monero, как валюта даркнета, составляет конкуренцию биткоину. Тем не менее, последнее предупреждение системы безопасности указало на то, что даже если транзакции Monero безопасны и надежны, то кошельки часто таковыми не являются.

Компания MWR Labs, работающая в области кибербезопасности, ранее в этом месяце выпустила рекомендации с указанием уязвимости CrossSiteRequestForgery. Эта уязвимость может потенциально позволить злоумышленнику удаленно украсть криптовалюту Monero у пользователей, использующих скомпрометированную версию кошелька. В список уязвимых кошельков включены Monero SimpleWallet, LightWallet, Wallet Chrome, GUI Client.net, Minonodo и другие кошельки, написанные на JS, NodeJS и QT.

Все эти кошельки, как известно, размещали веб-сервис RPC на локальном порте 10802, который устранял необходимость пользовательской аутентификации во время совершения платежа. MWR Labs в своих рекомендациях опубликовала фрагмент кода, который может быть использован для эксплуатации данной уязвимости. Он выглядит следующим образом:

<html>  
<form action=http://127.0.0.1:18082/json_rpc method=post enctype="text/plain" name="pay" >  
<input name='{"jsonrpc":"2.0","id":"0","method":"transfer","params":{"destinations":[{"amount":100000000000,"address":"49FuXtv95dkZj5aDaoWkbjQRv9Qu6UMwAAJKP68vksbpRJEPNZfkr6Ecbj9wrqG4xHAiMArmpGsxRbkmxAC8NEydBEvc162"}],"fee":000000000000,"mixin":3,"unlock_time":0,"payment_id":"","get_tx_key":true}}' type='hidden'>  
</form>  
<script>
document.pay.submit()
</script>
</html>  

Поскольку эта проблема была обнародована, команда Monero исправила ее выпуском патча. Заплата теперь доступна на GitHub и совместима только с версиями кошельков, принадлежавших платформе. До сих пор неизвестно, пострадали ли сторонние сервисы от вышеупомянутой уязвимости. Если такие случаи были, то возникает вопрос: применима ли заплата них.

Тем временем, сообщество Monero должно обновить свои кошельки, чтобы обеспечить их безопасность. Те, кто использует сторонние сервисы и не в курсе о состоянии безопасности своих кошельков, должны переключиться на официальный клиент Monero, пока сервис-поставщик кошелька не подтвердит его безопасность.

CrossSiteRequestForgery (подделка межсайтовых запросов) - это злонамеренная атака, при которой злоумышленник заставляет браузер пользователя выполнять несанкционированные команды. Эти команды могут быть направлены против веб-приложений или сервисов. В данном случае, Cross Site Request Forgery может быть использована злоумышленником для осуществления платежей из кошелька пользователя на свой собственный кошелек.

Показать комментарии Обсудить на форуме

Подписывайтесь на новости и их анализ в нашем Telegram канале!

Калькулятор Bitcoin
Скорость, GH/s:
Сложность:
Курс BTC/USD:
Курс BTC/RUB:
в день в неделю в месяц
BTC
0.000041
0.000290
0.00124
USD
0.16623
1.1636
4.9868
RUB
10.600
74.202
318.01
Расширенный калькулятор
rebit.live
go.dx.exchange
Курсы криптовалют
Обновить
Статистика сети
Текущая сложность: 6068891541677
Следующая сложность: 6385819894485 (5.22%)
Блоков до пересчета: 106
Цена шары (PPS): 0.0000000000
Мощность сети (Th/s): 45711479.34
Блоков в сети: 568406
Блоков в час: 6.31
Блоков за последний час: 8
До 6.25 BTC/блок: 406.72 дней
(61594 блоков)
konvert.im
yobit.net
Лучше взять и изобрести завтрашний день, чем переживать о том, что вчерашний был так себе
Стив Джобс