Monero: rilevato un bug del wallet che consentirebbe di effettuare depositi falsi negli exchange, già pronta la patch

Secondo un post su medium pubblicato il 3 marzo dall'account ufficiale di Ryo (RYO), sarebbe stato rilevato un bug nel software del wallet di Monero (XMR) potrebbe consentire di effettuare depositi falsi sugli exchange.

Secondo quanto riportato nel post, un'e-mail inviata alla mailing list Monero-announce avviserebbe gli exchange e gli operatori che utilizzano la moneta di una vulnerabilità ricevuta dal Monero Vulnerability Response Team. Il problema in questione consiste in una cattiva gestione degli output nelle coinbase transactions (le prime transazioni in un blocco, sempre effettuate dai miner, e che non hanno nulla a che fare con il famoso exchange di criptovalute).

Questo difetto potrebbe potenzialmente consentire ad un utente malintenzionato di falsificare il deposito di una quantità arbitraria di XMR in un exchange. Tuttavia, l'e-mail conteneva anche dei parametri per il wallet che potrebbero impedire lo sfruttamento del bug. Il profilo ufficiale di Monero ha anche twittato la stessa soluzione il 3 marzo.

Circa dieci ore più tardi, l'account Monero ha fatto sapere in un tweet che la correzione per la vulnerabilità è stata scritta, ed era in attesa di revisione. Dalla pagina GitHub dedicata alla patch, sembra che il codice sia già stato unito al branch principale, il che significa che la correzione è pronta e sarà presente nella prossima release.

Ryo, una criptovaluta derivata da Monero, riporta nel suo post su Medium che il suo team ha risolto questa vulnerabilità sette mesi fa. Il post giustifica la mancanza della divulgazione del problema e della soluzione evidenziando i "precedenti di cattiva condotta nei confronti dei ricercatori di sicurezza" manifestati da Monero.

Inoltre, il post afferma che quando è stato discusso l'exploit nel canale pubblico di Ryo, l'autore del post ha anche accidentalmente svelato un altro problema, concludendo:

"Monero dovrebbe risolvere anche quello."

Come ha riportato qualche ora fa Cointelegraph, il team di sviluppo di Ledger ha pubblicato un avviso sul subreddit di Monero il 4 marzo, consigliando agli utenti di non utilizzare l'app Nano S Monero a causa di un altro bug, che pare abbia fatto perdere 1680 XMR ad un utente (equivalenti a circa 80.000$).