5 сентября командой Monero был опубликован отчёт, содержащий анализ причин бага в проведении расчётов, с которым недавно столкнулись разработчики криптовалюты. В документе приводится подробная информация, касающаяся этой ошибки, а также объясняется, как она использовалась для взлома служб, отдельных предпринимателей и бирж. Баг в системе расчётов имел два варианта, каждый из которых зависел от структуры публичного ключа транзакции и был обнаружен в связи с возможностью использования подадресов. Первый вариант бага состоял в том, что код не проводил проверку, гарантирующую отсутствие дубликатов публичных ключей. Эта уязвимость позволила злоумышленникам создавать транзакции, в которых один публичный ключ транзакции использовался множество раз. В результате определённый публичный ключ транзакции дублировался. Код не проводил проверки на наличие фальшивых публичных ключей транзакции. Следовательно, хакер мог с лёгкостью обмануть кошелёк, заставив его дважды просканировать выходы транзакции, используя возможность использования альтернативного публичного ключа транзакции. В результате кошелёк получателя сообщал, что на него была получена сумма, которая была в два раза больше той суммы, которая была принята на самом деле. О первом варианте бага ранее сообщалось на GitHub, но его серьёзность была недооценена. Это привело к взлому бирж, а также к тому, что у организаций, входящих в экосистему Monero, были похищены средства. Более того, один из исследователей в области безопасности, работающий на HackerOne, опубликовал подробный отчёт, разъясняющий, как баг использовался для кражи средств у бирж. О втором варианте бага рассказал пользователь Phiren на том же ресурсе HackerOne. После объединения патчей для обоих вариантов Fluffypony, лидер проекта Monero, объявил о выходе новой версии V0.12.3.0. Серьёзность критической ошибки в программном обеспечении кошелька изначально была недооценена, что позволило злоумышленникам красть деньги у организаций, входящих в экосистему Monero. К счастью, баг ограничивался функциями проведения расчётов кошелька, поэтому протокол и денежная система монеты в целом не пострадали. Сообщество Monero также обсудило эффективные меры, предпринятые для решения проблемы. Пользователь DubsNC написал на Reddit: Другой постоянный пользователь Redditor прокомментировал ситуацию так: Источник: Monero [XMR] witnesses vulnerability in its accounting functionality, patch released by handler Перевод: Mr. Pickles (@v1docq47) Редактирование: Agent LvM (@LvMi4) Коррекция: Kukima (@Kukima)