Криптобиржа Livecoin потеряла свыше $1,8 млн из-за уязвимости в коде Monero | GetBTC Crypto — Форум о криптовалютах

Криптобиржа Livecoin потеряла свыше $1,8 млн из-за уязвимости в коде Monero

Fox

Активный пользователь
Регистрация
30 Июл 2018
Сообщения
99
Симпатии
2
#1
В редакцию журнала ForkLog обратились представители криптобиржи Livecoin с суточным объемом торгов $25 млн, которые сообщили, что из-за критического бага в коде Monero, позволяющего манипулировать суммами транзакций, они понесли существенные убытки. Общая сумма ущерба составила 15108 XMR (более $1,8 млн).

По их словам, некорректные транзакции начали заходить на биржу 20 июля.

«Транзакции были на суммы в 100 раз больше фактических, и наша нода и наши сотрудники их видели именно такими (неверными), и они были зачислены клиентам автоматически именно так, как они отображались. То есть клиент послал 9,85 Monero, а получил на свой счет 985, и таких транзакций было достаточно», — сообщили представители Livecoin.
Список проблемных транзакций:

show_transfer 0a9bc6e8312288bf26883a38ed58dbd0a69114164e22610fd2ee9498ce8b916f
show_transfer c7605527df26ae29b464f7029535c4a05c4acf7b1d944e1f72a649f5044df6bf
show_transfer 14bcccd9411cd390ea4e02ba6473e30b68ff14dc128b9264bc2feacd77dd2478
show_transfer cb181a2843b928224e5b90cc077e31c5674cd130134d66989d7c87920646d891
show_transfer b734edcb2e2db8807b05f09aa4129a213cdeefb24455eb666ce8d8177a0ee7ec

txid: <0a9bc6e8312288bf26883a38ed58dbd0a69114164e22610fd2ee9498ce8b916f>
Height: 1623790
Timestamp: 2018-07-24
Amount: 13700.000000000000
Payment ID: 1b7f9d9ca21512ba
6992 confirmations
Address index: 0
Note:

txid:
Height: 1622157
Timestamp: 2018-07-22
Amount: 985.000000000000
Payment ID: 1b7f9d9ca21512ba
8625 confirmations
Address index: 0
Note:

txid: <14bcccd9411cd390ea4e02ba6473e30b68ff14dc128b9264bc2feacd77dd2478>
Height: 1621064
Timestamp: 2018-07-20
Amount: 150.000000000000
Payment ID: 1b7f9d9ca21512ba
9718 confirmations
Address index: 0
Note:

txid:
Height: 1621030
Timestamp: 2018-07-20
Amount: 150.000000000000
Payment ID: 1b7f9d9ca21512ba
9752 confirmations
Address index: 0
Note:

txid:
Height: 1621014
Timestamp: 2018-07-20
Amount: 150.000000000000
Payment ID: 1b7f9d9ca21512ba
9768 confirmations
Address index: 0
Note:
Если обновить ноду релизом, вышедшим 24 июля, то эти же транзакции уменьшаются в 100 раз:

txid: <0a9bc6e8312288bf26883a38ed58dbd0a69114164e22610fd2ee9498ce8b916f>
Height: 1623790
Timestamp: 2018-07-24
Amount: 13.700000000000
Payment ID: 1b7f9d9ca21512ba
6992 confirmations
Address index: 0
Note:

txid:
Height: 1622157
Timestamp: 2018-07-22
Amount: 9.850000000000
Payment ID: 1b7f9d9ca21512ba
8625 confirmations
Address index: 0
Note:

txid: <14bcccd9411cd390ea4e02ba6473e30b68ff14dc128b9264bc2feacd77dd2478>
Height: 1621064
Timestamp: 2018-07-20
Amount: 1.500000000000
Payment ID: 1b7f9d9ca21512ba
9718 confirmations
Address index: 0
Note:

txid:
Height: 1621030
Timestamp: 2018-07-20
Amount: 1.500000000000
Payment ID: 1b7f9d9ca21512ba
9752 confirmations
Address index: 0
Note:

Представители Livecoin возмущены, что криптобиржи не были официально оповещены об опасности, срочном апдейте или необходимости закрыть ввод/вывод Monero.

«Мы считаем, что когда разработчик узнает о такой уязвимости, которая позволяет менять сумму транзакции произвольно и по сути может разрушить всю сеть, он обязан предупредить в первую очередь биржи, что необходимо закрыть пополнение по их монете, а в данном случае и вывод, и только потом начинать работать над фиксами. Этого сделано не было», — утверждают представители Livecoin.
На официальном сайте Monero до сих пор висит срочное уведомление об апрельском апдейте, однако ничего не говорится о критической уязвимости.
Подробнее
 
Сверху