Các nhà phát triển của đồng tiền điện tử Monero (XMR) đã vá thành công một lỗ hổng (bug) mà sẽ cho phép kẻ tấn công “đốt trụi” kho tiền trong một ví mà chỉ cần bỏ ra chút tiền phí giao dịch, theo một thông báo chính thức đăng tải ngày 25/09.
Lỗi trên được phát hiện sau khi một thành viên cộng đồng mô tả lại nó trên trang subreddit của Monero. Lổ hổng được cho là có thể gây thiệt hại nặng nề lên người dùng và các tổ chức trong hệ sinh thái XMR. Bài viết mô tả cách thức kẻ gian có thể lợi dụng bug này:
Kẻ tấn công trước hết sẽ tạo ra một private key dùng trong giao dịch ngẫu nhiên nào đó. Kế đến, hắn sẽ thay đổi code của private key này để bảo đảm tất cả các giao dịch gửi đến một địa chỉ public (giả dụ như ví nóng của sàn) sẽ bị điều hướng sang một địa chỉ bí mật. Sau đó, hắn sẽ thử gửi ví dụ như là 1 nghìn giao dịch cùng 1 đồng XMR lên sàn. Bởi vì ví của sàn sẽ không thể cảnh báo hoạt động bất thường này, sàn như thường lệ sẽ ghi nhận kẻ tấn công đang sở hữu 1.000 XMR trên sàn.
Tuy phía Monero cho biết kẻ tấn công sẽ không thể trực tiếp kiếm thêm tiền từ thủ thuật trên, song vẫn có những lợi ích gián tiếp khác.
Theo sau đó, hắn cho thể bán XMR trên sàn để lấy Bitcoin và rút về ví riêng của mình. Hệ quả là sàn rốt cuộc chỉ nhận được có 1 đồng XMR và còn ghi nhận đến 999 XMR “ảo”.
Song, lỗ hổng trên được khẳng định là sẽ không có ảnh hưởng đến giao thức của hệ thống cũng như tổng cung của Monero. Đội ngũ phát triển altcoin này sau đó đã nhanh chóng bắt tay xây dựng một bản vá cho lỗi trên, đăng tải trực tiếp trên tài khoản Twitter chính thức của họ.
To any exchanges, services, merchants, and other organizations present in the Monero ecosystem, if you have not received or applied a patch yet, compiling v0.13.0.0-RC1 ensures the patch is included.
— Monero || #xmr (@monero) 25 tháng 9, 2018
“Gửi đến tất cả các sàn giao dịch, dịch vụ, thương nhân và các tổ chức khác có mặt trong hệ sinh thái Monero, nếu bạn vẫn chưa nhận được hay tích hợp bản vá, tổng hợp lại code v0.13.0.0-RC1 sẽ giúp bảo đảm là bản vá đã được cập nhật.”
XMR, đồng tiền điện tử từ lâu đã được ca ngợi là hoàn toàn riêng tư và “không thể bị truy dấu”, thường xuyên trở thành công cụ cho các hoạt động gian lận trong thế giới tiền số. Hồi đầu tháng này, tiện ích mở rộng MEGA trên trình duyệt Chrome đã bị xâm nhập, cho phép tin tặc ăn cắp tiền XMR của người dùng cùng một số thông tin cá nhân nhạy cảm khác.
Trước đó, vào tháng 6, một báo cáo công bố bởi công ty Palo Alto chỉ ra rằng có đến 5% tổng cung Monero đang lưu hành là đã được khai thác một cách bất hợp pháp.
XMR hiện đang là đồng tiền điện tử lớn thứ 10 thế giới, với mức vốn hoá thị trường 1,9 tỉ USD và lượng tiền trong lưu hành là 16 triệu đơn vị, theo thống kê của CoinMarketCap. Ở thời điểm thực hiện bài viết, một Monero đang được giao dịch với mức giá $114/đồng.
Diễn biến mới này xảy ra giữa thời điểm cách đây ít ngày, đội ngũ phát triển Bitcoin Core cũng đã công bố thông tin cụ thể về một lỗ hổng bảo mật được cho là “nghiêm trọng nhất trong lịch sử 10 năm tồn tại của Bitcoin”.
Theo CoinTelegraph
Monero (XMR) là một hệ thống tiền tệ bảo mật, riêng tư và không thể truy vết. XMR sử dụng một thuật toán crypto đặc biệt giúp các giao dịch mua bán XMR đảm bảo 100% không thể liên kết và truy dấu được. Trong một thế giới ngày càng trở nên minh bạch, đặc điểm của đồng Monero chính là lý do khiến đồng tiền điện tử này trở nên hấp dẫn với nhà đầu tư.
