Обнаружен CSRF-баг, позволяющий похищать деньги с кошельков Monero
19 сентября специалистами компании MWR InfoSecurity были опубликованы данные об уязвимости, позволяющей похищать средства у пользователей, которые работают со сторонними цифровыми кошельками Monero.
В ходе исследования удалось найти уязвимость CSRF (Cross Site Request Forgery) в Monero Simplewallet. Чтобы использовать баг, злоумышленнику нужно заманить пользователя на вредоносный сайт, после этого из его кошелька фактически можно вывести все средства.
«Отметим, что уязвимость опасна только для тех систем, в которых запущен браузер и кошелек в RPC-режиме (не дефолтном)», — прокомментировал разработчик Monero Рикардо Спаньи.
Поскольку большая часть сторонних кошельков используют Simplewallet в режиме RPC, уязвимость представляет угрозу для:
- Monero SimpleWallet;
- Monero Lightwallet;
- Monero Wallet Chrome;
- Monero GUI Client.net;
- Monero JS;
- Monero NodeJS;
- Monero QT;
- Minonodo.
Правда, по словам экспертов, уязвимых кошельков намного больше.
Напомним, в середине сентября стало известно о появлении трояна Mal/Miner-C, который заражает и использует для дальнейшего распространения устройства NAS (network-attached storage), а затем майнит валюту Monero.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!
