Bug in Monero's wallet maakt nep-stortingen op exchanges mogelijk
Recent stuurde Monero een belangrijk bericht aan financieel dienstverleners. Er zit een bug in de wallet die nep-stortingen mogelijk maakt. Iemand kan geld bijgeschreven krijgen op een exchange, zonder Monero over te maken. Hoe het werkt?
Coinbase-transacties
Nee, we bedoelen niet Coinbase de exchange. Centraal in de bug staan zogeheten coinbase-transacties. Dat is een speciaal soort transactie die aan elk gemined block wordt toegevoegd. Het bevat de monero die aan de miner wordt uitgekeerd als beloning.
Ten grondslag aan de bug ligt volgens Ryo (een concurrent van Monero) een onveilig technisch ontwerp van RingCT. Dat is een privacy feature die is geïmplementeerd in het Monero-protocol, en door diverse projecten (waaronder afgeleiden van Monero) is overgenomen.
Door de data van een coinbase-transactie te manipuleren, kan een aanvaller net doen alsof hij een (willekeurige) som monero heeft verstuurd. Exchanges en andere financieel dienstverleners die zulke binnenkomende transacties voor waar aannemen, kennen ten onrechte geld toe aan het account van de aanvaller.
Bug al lang(er) bekend
Deze specifieke bug blijkt al veel langer bekend te zijn. De ontwikkelaar van Ryo heeft het 7 maanden geleden opgelost. Zou Monero dezelfde oplossing toepassen, zou het volgens Ryo waarschijnlijk leiden tot een hardfork.
Dan komt uiteraard de vraag op waarom Ryo het niet eerder doorgegeven heeft aan Monero. Dat komt “door Monero's geschiedenis van toxisch gedrag jegens beveiligingsexperts”, aldus Ryo. Het lijkt erop dat de twee projecten op gespannen voet met elkaar staan.
Monero komt op 6 maart, rond 17:00u, met een oplossing.
Iedereen heeft een mening
Onder de noemer Opinie schrijven we regelmatig over een spraakmakende podcast, video of tweetstorm.
We zijn het niet noodzakelijkerwijs eens met de spreker of schrijver, maar vinden het interessant genoeg om
te delen, duiden en ondertitelen.
Over de auteur
