Monero: bug em carteira permite falsos depósitos em exchanges; equipe prepara lançamento de correções

Um bug no software da carteira Monero (XMR) que permitia depósitos falsos em exchanges veio à tona através de um post publicado no Medium pela conta oficial da Ryo (RYO) neste último domingo, 3 de março.

De acordo com o post, um e-mail supostamente enviado para a lista de discussão 'Monero-announce' avisa exchanges e operadores de serviços que utilizam a moeda sobre informações preocupantes recebidas pela equipe de Respostas a Vulnerabilidades do Monero em relação à uma vulnerabilidade no manuseio incorreto de resultados em transações coinbase (as primeiras transações em um bloco, sempre feitas por mineradores).

O mau uso poderia permitir ao invasor falsificar um depósito em qualquer quantia de XMR em uma exchange. O email também continha parâmetros para a carteira - soluções preventivas para impedir que a vulnerabilidade seja explorada. O perfil oficial do Monero twittou a mesma solução em 3 de março.

Cerca de dez horas depois, a conta do Monero twittou que a correção para a vulnerabilidade foi escrita e estava aguardando revisão. Na página do GitHub dedicada ao patch, o código já aparece mesclado com o branch principal, o que significa que a correção está pronta e só precisa de um novo lançamento para ser publicada.

O Ryo, uma criptomoeda derivada do Monero, relata em sua postagem no Medium que sua equipe corrigiu essa vulnerabilidade sete meses atrás. O post justifica a falta de uma divulgação responsável em relação à equipe Monero anteriormente, observando a "longa história de comportamento tóxico do Monero em relação aos pesquisadores de segurança".

Além disso, o post também afirma que, ao discutir a exploração no canal público Ryo, o autor do post também acidentalmente divulgou uma edição diferente, concluindo:

"O Monero pode querer aquele improviso também."

Como a Cointelegraph informou hoje, a equipe de desenvolvedores do Ledger publicou um alerta no subreddit do Monero em 4 de março avisando aos usuários que não usem o aplicativo Nano S Monero em função de outro aparente bug que levou um usuário a perder 1.680 XMR (equivalente a cerca de US$ 80.000).