Monero: Gli sviluppatori individuano circa 9 vulnerabilità.


In questi giorni gli sviluppatori della piattaforma di Monero, (nota criptovaluta in circolazione dal 2014), hanno fatto sapere di aver individuato almeno 9 vulnerabilità, che potrebbero mettere in pericolo i portafogli della moneta: tra queste una delle più gravi riguarderebbe il codice utilizzo per gli scambi, il quale consentirebbe ad eventuali hacker di interferire nello scambio e sottrarre valuta. In pratica si tratta di un bug presente fino allo scorso Marzo e permetteva ai minatori di Monero di creare blocchi appositamente predisposti per costringere i portafogli ad accettare depositi falsi, per un importo scelto dall'hacker di turno. Al riguardo i ricercatori di sicurezza, tramite una relazione pubblicata di recente su HackerOne, hanno scritto: «Eseguendo il mining di un blocco appositamente predisposto, che passa ancora la verifica di daemon, un utente malintenzionato può creare una transazione che appare nel portafoglio per includere la somma di XMR selezionata dall'attaccante. È nostra convinzione che questo possa essere sfruttato per rubare denaro dagli scambi». Ed hanno poi proseguito spiegando: «La vulnerabilità non è molto difficile da descrivere. Secondo le attuali regole di verifica in daemon, è perfettamente bene avere una quantità zero nella transazione, (oltre alla quantità reale, diversa da zero). Inoltre, è perfettamente soddisfacente disporre di firme RCT che, ovviamente, non verranno controllate. D'altra parte c'è un codice nel portafoglio che dice "se l'importo è zero, decodifica l'importo da RCT". Pertanto, per sfruttare la vulnerabilità, un utente malintenzionato dovrà modificare il daemon per creare blocktemplates con quantità zero, con una firma RCT valida in modo che l'importo venga decodificato. L'attaccante dovrà estrarre un blocco direttamente su un portafoglio di scambio». Ad ogni modo oltre a ciò, il gruppo di sviluppatori ha rilevato anche altri 5 vettori di attacco DoS, con una severità etichettata come "critica": uno di questi potrebbe essere legato a CryptoNote, vale a dire un protocollo internet a livello applicativo utilizzato da Monero, (e da altre criptovalute), per aumentare la privacy delle transizioni. In sostanza questo bug avrebbe permesso ad eventuali malintenzionati di abbattere i nodi della criptomoneta, richiedendo grandi quantità di dati blockchain dalla rete. In ogni caso va detto che la maggior parte di queste vulnerabilità è stata descritta come "proof of concept" ed in quanto quali teorici e privi di vere segnalazioni. Tuttavia sta di fatto che l'anno scorso è stato rilevato un bug nel software del portafoglio Monero capace di lasciare che varie somme di XMR finissero in portafogli specifici, (ad esempio, di proprietà degli scambi delle criptovalute), a seguito di diversi attacchi mirati. Comunque sia gli sviluppatori hanno avvertito che essendo agli inizi è del tutto normale che la moneta, (così come il relativo software su cui si basa), sia soggetta a vari bug e per questo sarebbe meglio andarci, infine, con i piedi di piombo, facendo un passo alla volta.

Commenti