Monero [XMR] est témoin de la vulnérabilité de ses fonctionnalités de comptabilité, correctif publié par le gestionnaire

Compnay

Le 5 septembre, Monero a publié un rapport dans lequel ils annonçaient un post mortem du bogue de comptage multiple auquel ils étaient récemment confrontés. Le rapport fournissait des informations détaillées sur le bogue et la manière dont il était utilisé pour exploiter les services, les commerçants et les échanges.

Le bogue de comptage multiple comportait deux variantes, nécessitant une structure différente de la clé publique de transaction. Il a été introduit conjointement avec la fonctionnalité de sous-adresse.

Un post mortem du bug de comptage multiple | Source: Twitter

Dans la première variante du bogue, le code n’imposait pas d’inspection pour se prémunir contre les clés publiques en double. Cette vulnérabilité a conduit les attaquants à créer une transaction dans laquelle la clé publique de la transaction serait incluse plusieurs fois. Cela a entraîné la duplication de la clé publique de transaction particulière.

Dans la deuxième variante du bogue, le code n’imposait pas de contrôle sur les clés publiques des transactions fictives. Par conséquent, un pirate informatique peut tromper le portefeuille en analysant deux fois les résultats d’une transaction en utilisant la fonctionnalité de clé publique de transaction alternative. En conséquence, le portefeuille destinataire signalait qu’il avait reçu deux fois le montant effectivement reçu.

La première variante du bogue avait été précédemment signalée sur GitHub, et la gravité du bogue était sous-estimée. Cela a entraîné l’exploitation des échanges et le vol de fonds d’organisations appartenant à l’écosystème de Monero.

De plus, un chercheur en sécurité pour HackerOne a fourni un rapport détaillé sur la manière dont le bogue était utilisé pour dérober des fonds aux échanges. La deuxième variante du bug a été rapportée par Phiren sur HackerOne.

Après avoir fusionné les deux correctifs, Fluffypony, Lead Maintainer de Monero a publié une nouvelle version V0.12.3.0. La sévérité d’un bogue critique dans le logiciel de portefeuille a été sous-estimée au départ, ce qui a permis à un attaquant de voler des fonds d’organisations appartenant à l’écosystème de Monero.

Heureusement, le bogue était confiné aux fonctions de comptabilité du logiciel de portefeuille, et le protocole et la fourniture de pièces n’étaient donc pas affectés. La communauté de Monero a également parlé des mesures adéquates prises pour résoudre le problème. DubsNC a déclaré sur Reddit:

«La liste de diffusion ne semble pas être une bonne idée pour moi. Cela ressemble à une liste cible de grande valeur pour un adversaire. Qu’en est-il d’un indicateur de mise à jour signé dans le protocole qui indique à tous les nœuds complets de se mettre à jour au moment de la vente?

Flenst, un Redditor enthousiaste a déclaré:

«Je suis ravi de constater que les erreurs qui ont été commises ne se reproduiront plus et qu’il y aura de meilleures solutions à l’avenir pour divulguer des vulnérabilités de ce type aux services de manière plus fiable.»

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *