Verschillende kritieke kwetsbaarheden in code Monero opgelost

Het team achter de privacymunt Monero (XMR) heeft bekend gemaakt dat er verschillende kwetsbaarheden in de code zijn opgelost. Hackers hadden bijvoorbeeld de mogelijkheid om in het bezit te komen van ‘valse’ XMR munten. Dit is in een rapport op HackerOne gepubliceerd. Volgens het platform, waar zogenoemde white hat hackers en onderzoekers bij elkaar komen om problemen in codes te vinden, was dit een kritiek issue. Gelukkig is dit allemaal op tijd in kaart gebracht en opgelost.

bitcoin meester

Kwetsbaarheden in de code

Monero is een project dat zich richt op privacy en security. Op dit moment neemt het de 14e plaats in op CoinMarketCap met een marktkapitalisatie van $1,5 miljard dollar. Het probleem is in maart overigens al uit de wereld geholpen.

De onderzoekers van HackerOne omschreven een van de problemen als volgt:

“Door een block, dat speciaal aan jou wordt toegekend dat nog in de ‘daemon verification’ zit, te minen, kan de hacker een transactie creëren. Deze transactie bevat dan een bepaalde hoeveelheid XMR die door de kwaadwillende partij wordt verstuurd. Deze optie zou kunnen worden uitgebuit om geld te stelen van bijvoorbeeld cryptobeurzen.

Dit was overigens niet het enige probleem dat de onderzoekers aankaartten. In totaal zijn er in het onderzoek maar liefst negen kwetsbaarheden aangekaart. Vijf van deze kwetsbaarheden gingen over DoS aanvallen, waarvan er een als kritiek is gemarkeerd. Het zou er namelijk voor kunnen zorgen dat er geheugen naar (onbetrouwbare) personen binnen het netwerk lekt. Dit geheugen zou gevoelig materiaal kunnen bevatten (zoals cryptografische of andere soortgelijke privégegevens). Dit probleem is ook opgelost.

CryptoNote

Een ander probleem werd opgemerkt door Andrey Sabelnikov. De oorzaak van dit probleem ligt bij CryptoNote en niet zo zeer bij Monero zelf. Dit is een applicatie-layer die wordt gebruikt om de privacy binnen te transacties te waarborgen. De bad actors in het netwerk van Monero zouden andere nodes kunnen uitschakelen door in één keer heel veel data uit de blockchain van ze op te vragen.

“Als je een grote blockchain hebt (met een lange geschiedenis in het logboek, zoals Monero dat heeft, dan kun je een ‘protocol request’ aanvragen. Dit zou zomaar kunnen oplopen tot honderdduizenden blocks”

Sabelnikov waarschuwt andere projecten die gebruik maken van CryptoNote voor soortgelijke bugs. Onder andere Bytcoin, Dash en AEON maken gebruik van deze technologie. Overigens is het goed om te vermelden dat dit allemaal ‘proof-of-concept’ kwetsbaarheden zijn. Dit betekent dus niet dat er per se misbruik van is gemaakt.

Mis niks meer!
Invalid email address