Gli sviluppatori della criptovaluta Monero (XMR) hanno risolto un bug che pare permettesse di "bruciare" i fondi contenuti all'interno dei portafogli delle organizzazioni, provocando danni considerevoli. Questa falla nella sicurezza è stata originariamente scoperta da un membro della comunità, che descrisse su Reddit un ipotetico attacco informatico capace di colpire commercianti e organizzazioni operanti nell'ecosistema XMR.
Nell'annuncio ufficiale, pubblicato in data 25 settembre, gli sviluppatori hanno spiegato più nel dettaglio il funzionamento di tale bug:
"L'aggressore genera innanzitutto una chiave di transazione, privata e casuale. Dopodiché modifica il codice per utilizzare soltanto questa particolare chiave privata, assicurando che molteplici transazioni con lo stesso indirizzo pubblico (l'hot wallet di un exchange, ad esempio) vengano inviate al medesimo indirizzo nascosto. Dopodiché, supponiamo, invia all'exchange mille transazioni da 1 XMR l'una. Poiché il wallet della piattaforma non allerta i proprietari di questa particolare anomalia (vale a dire che i fondi vengono ricevuti su un unico indirizzo nascosto), l'exchange procederà ad accreditare normalmente 1000 XMR all'aggressore".
L'hacker dopodiché scambia gli XMR appena ottenuti per Bitcoin (BTC). Questo lascia l'exchange con 999 erogazioni non spendibili, o "bruciate" appunto, da 1 XMR. Nonostante gli sviluppatori di Monero abbiano sottolineato che non fosse possibile per gli aggressori generare profitti diretti da attacchi di questo genere, "esistono probabilmente dei modi per trarre vantaggi da tale bug".
Il bug non ha in alcun modo pregiudicato il protocollo o la fornitura di monete. Su Twitter Monero consiglia alle organizzazioni presenti nella rete di aggiornare al più presto il proprio software:
To any exchanges, services, merchants, and other organizations present in the Monero ecosystem, if you have not received or applied a patch yet, compiling v0.13.0.0-RC1 ensures the patch is included.
— Monero || #xmr (@monero) September 25, 2018
Già in numerose occasioni la moneta è stata utilizzata come strumento per portare a termine attività fraudolente. Questo mese è stata ad esempio compromessa l'estenzione di MEGA per Google Chrome, consentendo agli hacker di rubare i Monero degli utenti inconsapevoli.
A giugno, la società di ricerca Palo Alto Networks ha rilevato che circa il 5% dei Monero in circolazione è stato generato tramite attività di cryptojacking. In particolare, pare che ad oggi ben 175 milioni di dollari siano stati minati in maniera illecita.
Secondo i dati raccolti da CoinMarketCap, al momento XMR è la decima criptovaluta più importante del settore, con una capitalizzazione di mercato pari a 1,9 miliardi di dollari.