Обнаружен CSRF-баг, позволяющий похищать деньги с кошельков Monero

19 сентября специалистами компании MWR InfoSecurity были опубликованы данные об уязвимости, позволяющей похищать средства у пользователей, которые работают со сторонними цифровыми кошельками Monero.

В ходе исследования удалось найти уязвимость CSRF (Cross Site Request Forgery) в Monero Simplewallet. Чтобы использовать баг, злоумышленнику нужно заманить пользователя на вредоносный сайт, после этого из его кошелька фактически можно вывести все средства.

«Отметим, что уязвимость опасна только для тех систем, в которых запущен браузер и кошелек в RPC-режиме (не дефолтном)», — прокомментировал разработчик Monero Рикардо Спаньи.

Поскольку большая часть сторонних кошельков используют Simplewallet в режиме RPC, уязвимость представляет угрозу для:

• Monero SimpleWallet;
• Monero Lightwallet;
• Monero Wallet Chrome;
• Monero GUI Client.net;
• Monero JS;
• Monero NodeJS;
• Monero QT;
• Minonodo.

Правда, по словам экспертов, уязвимых кошельков намного больше.

Напомним, в середине сентября стало известно о появлении трояна Mal/Miner-C, который заражает и использует для дальнейшего распространения устройства NAS (network-attached storage), а затем майнит валюту Monero.