تیم توسعه مونرو: امکان هک صرافی‌ها و سرقت مونرو از طریق باگ وجود دارد

حساب رسمی آر‌وای‌او (RYO) در ۳ مارس (۱۲ اسفند) با انتشار مطلبی در مدیوم در رابطه با مشکل نرم‌افزاری کیف پول مونرو که سپرده‌های جعلی را برای صرافی‌ها ممکن می‌کند، توجه عموم را به این موضوع جلب کرد.

بر اساس این پست، ایمیلی به لیست ایمیل‌های اطلاع‌رسانی مونرو ارسال شده و به صرافی‌ها و ارائه‌دهندگان خدماتی که از این ارز دیجیتال استفاده می‌کنند، هشداری مبنی بر اینکه تیم پاسخگویی به آسیب‌پذیری‌های مونرو پیامی در رابطه با یک آسیب‌پذیری دریافت کرده، داده شده است.

این ضعف و آسیب‌پذیری شامل مدیریت نادرست خروجی‌های تراکنش‌ کوین‌بیس ایجاد شده بود؛ چرا که همیشه اولین تراکنش در یک بلاک توسط استخراج‌کنندگان ساخته می‌شد.

این خطای مدیریتی به طور بالقوه به مهاجمان اجازه سپرده‌گذاری جعلی به مقدار دلخواه از مونرو را در یک صرافی می‌دهد. این ایمیل همچنین شامل پارامترهایی برای کیف پول است که راه‌حلی برای جلوگیری از بهره بردن از این آسیب‌پذیری ارائه می‌دهد.

حساب رسمی مونرو در توییتر نیز راه حل مشابهی را در ۳ مارس (۱۲ اسفند) منتشر کرد.

حدود ده ساعت بعد، حساب مونرو در صفحه توییتر خود نوشت که راه حل رفع این آسیب‌پذیری کدنویسی شده و در حال بررسی است. از صفحه گیت‌هاب (GitHub) اختصاص داده شده به پچ، به نظر می‌رسد که این کد در حال حاضر با شاخه اصلی ادغام شده است، و این به معنی آن است که اصلاحات و تنظیمات جدید آماده است و فقط به یک نسخه جدید برای انتشار نیاز دارد.

آر‌وای‌او (RYO)، ارز دیجیتال فورک شده از مونرو در پست مدیوم خود گزارش داده است که تیم آن‌ها ۷ ماه پیش این مشکل را برطرف کرده است.

این پست، افشاسازی دیگری از مسئولیت‌ نپذیرفتن تیم مونرو با اشاره به تاریخچه طولانی آن‌ها با رفتارهای زننده‌ای است که در برابر محققان امنیتی نشان داده‌اند.

همچنین در این پست ادعا شده است که هنگام بحث در رابطه با این رخنه امنیتی در کانال عمومی آر‌وای‌او (RYO)، نویسنده پست به طور تصادفی به مسئله دیگری نیز برخورد کرده و درباره آن اظهار داشته است:

شاید مونرو قصد داشته باشد برای این یکی نیز بروزرسانی ارائه دهد.

بر اساس گزارش‌ قبلی، توسعه‌دهندگان تیم لجر در ۴ مارس هشداری را در ردیت مونرو منتشر کردند که در آن به کاربران توصیه شده بود از برنامه نانو اس مونرو (Nano S Monero) که به دلیل داشتن خطا منجر شده بود کاربری ۱۶۸۰ واحد مونرو (معادل ۸۰ هزار دلار) از دست دهد، استفاده نکنند.