В Monero нашли лишающую майнеров выплат уязвимость

[killobit]

Переносить монеты, менять кошелек или обновлять его из‑за этой ошибки не требуется, заверили разработчики. Чтобы минимизировать ущерб, разработчики начали добывать специально сформированные блоки. Это позволяет перехватить несанкционированное вознаграждение у злоумышленников и позднее вернуть средства пострадавшим майнерам, уверяет команда Monero.

P2Pool позволяет майнерам запускать собственные узлы и получать выплаты без центрального сервера и посредников. В нормальной ситуации каждый успешный результат майнинга создает одну уникальную единицу учета, от которой зависит размер награды.

Уязвимость обнаружена в старых версиях программы. Она позволяет добывать одну настоящую долю, а затем создавать тысячи ее поддельных копий и отправлять их в систему. Старые версии P2Pool принимали фальшивки за корректные записи — из одного результата можно было получить до 12 000 копий. Фейковые доли заполняли «окно выплат» (PPLNS), через которое пул распределяет награду за найденный блок между майнерами. В результате честные участники лишались части выплат, а атакующий мог забрать до 80% награды. При следующей успешной добыче злоумышленник был способен получить уже всю выплату за блок. Днем в среду, 17 июня, больше половины хешрейта Mini и Nano работали на старом коде, из‑за этого добыча этих участников уходила злоумышленнику.

Ошибка не дает хакерам доступа к кошелькам, не раскрывает приватные ключи и не позволяет украсть уже полученные монеты. Риск касается только будущих выплат: майнер на старой версии ПО может продолжать работу, но часть его добычи будет уходить злоумышленникам, предупредили разработчики.

Ранее в блокчейне Zcash обнаружили ошибку, которая позволяла создавать неограниченное количество поддельных токенов ZEC внутри пула. Причем эта уязвимость существовала с мая 2022 года. На фоне этого ZEC упал более чем на 50%.