BTC
6299.7
ETH
206.94
BCH
429.20
LTC
53.677
CFI
0.0233
EOS
5.0470
REQ
0.0397
XRP
0.3137
Yobit
hashflare.io
migoff.net
bitferma.ru
Unichange.me

Уязвимость кошельков Monero была исправлена патчем

Уязвимость кошельков Monero была исправлена патчем

Разработчики Monero выпустили новую заплату для восстановления системы безопасности против уязвимости, которая было обнаружена в приложении кошелька, делая его подверженным атакам CSRF.

Благодаря дополнительной конфиденциальности и безопасности, Monero, как валюта даркнета, составляет конкуренцию биткоину. Тем не менее, последнее предупреждение системы безопасности указало на то, что даже если транзакции Monero безопасны и надежны, то кошельки часто таковыми не являются.

Компания MWR Labs, работающая в области кибербезопасности, ранее в этом месяце выпустила рекомендации с указанием уязвимости CrossSiteRequestForgery. Эта уязвимость может потенциально позволить злоумышленнику удаленно украсть криптовалюту Monero у пользователей, использующих скомпрометированную версию кошелька. В список уязвимых кошельков включены Monero SimpleWallet, LightWallet, Wallet Chrome, GUI Client.net, Minonodo и другие кошельки, написанные на JS, NodeJS и QT.

Все эти кошельки, как известно, размещали веб-сервис RPC на локальном порте 10802, который устранял необходимость пользовательской аутентификации во время совершения платежа. MWR Labs в своих рекомендациях опубликовала фрагмент кода, который может быть использован для эксплуатации данной уязвимости. Он выглядит следующим образом:

<html>  
<form action=http://127.0.0.1:18082/json_rpc method=post enctype="text/plain" name="pay" >  
<input name='{"jsonrpc":"2.0","id":"0","method":"transfer","params":{"destinations":[{"amount":100000000000,"address":"49FuXtv95dkZj5aDaoWkbjQRv9Qu6UMwAAJKP68vksbpRJEPNZfkr6Ecbj9wrqG4xHAiMArmpGsxRbkmxAC8NEydBEvc162"}],"fee":000000000000,"mixin":3,"unlock_time":0,"payment_id":"","get_tx_key":true}}' type='hidden'>  
</form>  
<script>
document.pay.submit()
</script>
</html>  

Поскольку эта проблема была обнародована, команда Monero исправила ее выпуском патча. Заплата теперь доступна на GitHub и совместима только с версиями кошельков, принадлежавших платформе. До сих пор неизвестно, пострадали ли сторонние сервисы от вышеупомянутой уязвимости. Если такие случаи были, то возникает вопрос: применима ли заплата них.

Тем временем, сообщество Monero должно обновить свои кошельки, чтобы обеспечить их безопасность. Те, кто использует сторонние сервисы и не в курсе о состоянии безопасности своих кошельков, должны переключиться на официальный клиент Monero, пока сервис-поставщик кошелька не подтвердит его безопасность.

CrossSiteRequestForgery (подделка межсайтовых запросов) - это злонамеренная атака, при которой злоумышленник заставляет браузер пользователя выполнять несанкционированные команды. Эти команды могут быть направлены против веб-приложений или сервисов. В данном случае, Cross Site Request Forgery может быть использована злоумышленником для осуществления платежей из кошелька пользователя на свой собственный кошелек.

Показать комментарии Обсудить на форуме

Подписывайтесь на новости и их анализ в нашем Telegram канале!

Калькулятор Bitcoin
Скорость, GH/s:
Сложность:
Курс BTC/USD:
Курс BTC/RUB:
в день в неделю в месяц
BTC
0.000036
0.000251
0.00107
USD
0.22591
1.5814
6.7772
RUB
15.406
107.84
462.18
Расширенный калькулятор
YoBit.Net
cryptoffers.com
Курсы криптовалют
Обновить
Статистика сети
Текущая сложность: 7019199231177
Следующая сложность: 7118255889194 (1.41%)
Блоков до пересчета: 315
Цена шары (PPS): 0.0000000000
Мощность сети (Th/s): 50954460.41
Блоков в сети: 541989
Блоков в час: 6.08
Блоков за последний час: 5
До 6.25 BTC/блок: 603.15 дней
(88011 блоков)
Tradebay.com
incorex.com
Лучше взять и изобрести завтрашний день, чем переживать о том, что вчерашний был так себе
Стив Джобс