小乔和你聊聊区块链的事儿（527）

Monero昨天已正式发布其恶意软件响应工作组网站。为了保护Monero社区，该网站旨在提供资源，以教育可能利用用户的恶意软件类型。它提供了对问题的支持，包括不需要的浏览器内部和系统挖掘（加密劫持）和勒索软件，这些问题最近一直在增长。贾斯汀·埃伦霍夫（Justin Ehrenhofer）在Monero网站上的博客文章中，“恶意软件响应工作组”是“一群自我组织的志愿者，维护这些资源并提供实时支持。”该帖子继续描述了未来通过网站直接提供支持的努力；但是，目前＃monero-mrw可以提供志愿者支持。

工作组的宣布是Monero社区的第二个积极消息，它是在成功修补了其钱包代码中的错误之后不久。“烧录错误”从不影响实际协议或硬币供应，但是，如果被利用，它将使恶意参与者从对门罗币生态系统内的组织造成损害，例如交易所和使用门罗币钱包的任何实体中获得重大利益。 该漏洞可能被利用如下：攻击者首先生成一个随机的私有交易密钥。然后，他们将代码修改为仅使用此特定的私有交易密钥，从而确保将到同一公共地址（例如，交易所的热钱包）的多个交易发送到同一隐身地址。随后，他们将一千个XMR的交易发送给一个交易所。由于交易所的钱包不会针对这种特殊异常发出警告（即，资金是在同一隐身地址上接收的），因此交易所将照常向攻击者贷记1000 XMR。然后，攻击者将其XMR出售给BTC，最后撤回该BTC。黑客行动的结果是，交换留给了1个XMR的999个不可用/已烧毁的输出。

从最简单的意义上讲，该漏洞允许以收款人无法花费的方式发送资金，并且钱包仍会将这些资金报告为正确接收的资金。可以将多个事务发送到同一时间地址，每个事务具有不同的密钥映像。由于一次性地址只能使用一次，因此只能声明发送给它的那些输出之一，但是钱包软件正在累积所有这些交易的金额。尽管在Monero社区中通过将多个交易发送到同一个隐身地址来烧钱的概念并不新鲜，但是如果涉及到第三方（例如交易所），后果就不会被深思熟虑。2017年5月，该主题在Monero SE问答中进行了简短讨论。用户抛弃了这个主意，得出结论说，他们“不确定其中的含义或协议是否对此有所防范。”直到假设的情景中包括一个交流，社区才意识到这种利用的真正含义。

该漏洞利用是在Reddit用户s_c_m_l描述了对支持门罗币XMR令牌的交易所的假设攻击之后于2018年9月16日发现的。该方案介绍了用户A通过许多具有相同隐身地址的交易向交易所B发送XMR，从而允许用户A交换他发送的货币并继续兑现。这是任何人第一次想到这种情况。在s_c_m_l在Monero subreddit中提出攻击后不到24小时，另一位Reddit用户Vespco在正式的Monero subreddit中发布了该想法。此后不久，Monero开发团队创建了一个补丁，并将其应用于v0.12.3.0版本分支。该补丁是通过请求请求实现的。在实施＃4438拉取请求之后，开发人员社区私下通知了许多交易所，服务和商人，以最大程度地减少正式宣布时暴露的组织数量。

好啦，今天的内容小乔就给大家讲到这里啦，下面我们来一起看看数字货币的数据：

最后祝大家天天开心，生活愉快！

—-

编译者/作者：乔辞念安

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。