9月25日发布的一份公告显示,开源加密货币门罗币(XMR)的开发人员现已对一项漏洞进行修复,攻击者可能利用这一漏洞,仅付出交易费就能“烧毁”机构钱包中的资金。

报道称,该漏洞是在一名社区成员在XMR的reddit主页上描述一项假想攻击时被发现的。据称该漏洞可能对XMR体系中的商户和组织造成影响,从而引发重大损失。这一博文对漏洞攻击过程进行了描述:

“黑客会首先生成一个随机的交易私钥。之后,他们通过改写代码,仅使用这一交易私钥,从而确保多个送往同一公共地址(例如某交易所的热钱包)的交易将被送到相同的隐形地址。随后,他们将例如1000笔1XMR的交易送往一家交易所。 由于该交易所的钱包不会识别异常而发出警报(如相同的隐形地址收到了资金),交易所仍然会像往常一样给黑客借记1000XMR。”

尽管Monero也指出,攻击者无法从此类攻击中得到直接金钱利益,“但也可能存在间接受益。”

在完成攻击后,黑客可卖掉XMR而换取比特币 (BTC),然后取出BTC。攻击过后,留给交易所的是999笔无法使用的或“烧毁的”1XMR输出。

显然,该漏洞暂未影响协议或加密货币供应。XMR开发人员随后在代码中创建并包含了一个补丁,XMR的官方推特账号宣布了这一消息:

Monero系统中的所有交易所、服务、商家及其它组织,如果您还没有收到或申请补丁,请确认安装v0.13.0.0-RC1 补丁。

XMR被认为是一种私密、“不可追溯”的加密货币,最近经常成为加密货币领域欺诈活动的目标。本月初,MEGA Chrome扩展遭到攻击,网络犯罪分子除了窃取其他敏感信息外,还可以窃取用户的XMR。

今年6月,安全公司Palo Alto Networks发布的一篇报告显示,当时市面上流通的XMR中约5%来自恶意挖矿。据报道,XMR在被恶意软件攻击的加密货币中占据“不可想象的垄断地位”,价值1.75亿美元的XMR被恶意挖掘。

CoinMarketCap的数据显示,XMR是目前第十大数字货币,总市值近19亿美元,流通量超过1600万个。截稿时,XMR交易价格约114美元,过去24小时内上涨0.68%。