Alles over cryptogeld, in gewone mensentaal.

Oplossing volgt op 6 maart

Bug in Monero's wallet maakt nep-stortingen op exchanges mogelijk

Peter Slagter
Peter Slagter

Recent stuurde Monero een belangrijk bericht aan financieel dienstverleners. Er zit een bug in de wallet die nep-stortingen mogelijk maakt. Iemand kan geld bijgeschreven krijgen op een exchange, zonder Monero over te maken. Hoe het werkt?

Veiligheid

Coinbase-transacties

Nee, we bedoelen niet Coinbase de exchange. Centraal in de bug staan zogeheten coinbase-transacties. Dat is een speciaal soort transactie die aan elk gemined block wordt toegevoegd. Het bevat de monero die aan de miner wordt uitgekeerd als beloning.

Ten grondslag aan de bug ligt volgens Ryo (een concurrent van Monero) een onveilig technisch ontwerp van RingCT. Dat is een privacy feature die is geïmplementeerd in het Monero-protocol, en door diverse projecten (waaronder afgeleiden van Monero) is overgenomen.

Door de data van een coinbase-transactie te manipuleren, kan een aanvaller net doen alsof hij een (willekeurige) som monero heeft verstuurd. Exchanges en andere financieel dienstverleners die zulke binnenkomende transacties voor waar aannemen, kennen ten onrechte geld toe aan het account van de aanvaller.

Bug al lang(er) bekend

Deze specifieke bug blijkt al veel langer bekend te zijn. De ontwikkelaar van Ryo heeft het 7 maanden geleden opgelost. Zou Monero dezelfde oplossing toepassen, zou het volgens Ryo waarschijnlijk leiden tot een hardfork.

Dan komt uiteraard de vraag op waarom Ryo het niet eerder doorgegeven heeft aan Monero. Dat komt “door Monero's geschiedenis van toxisch gedrag jegens beveiligingsexperts”, aldus Ryo. Het lijkt erop dat de twee projecten op gespannen voet met elkaar staan.

Monero komt op 6 maart, rond 17:00u, met een oplossing.

Peter Slagter

Peter Slagter

Eén van de oprichters van LekkerCryptisch. Actief met cryptovaluta sinds de opkomst van de bitcoin. Houdt van het innovatieve karakter van crypto en blockchaintechnologie, en volgt de ontwikkelingen in de markt op de voet. Verbindt graag techniek met business, en houdt ervan moeilijke concepten toegankelijk te maken voor een breed publiek.

Meer nieuws

Reageer

Wil je naar aanleiding van dit bericht verder praten? Heb je een vraag, een aanvulling, of had je het zelf anders geschreven? Laat het ons weten, en praat mee in onze community. Veel directer, én een stuk gezelliger dan zo'n ouderwets reactieformulier. De groep is actief, behulpzaam, en voor iedereen toegankelijk.

Blijf op de hoogte

Wil je direct nieuwe blogposts lezen? Alle nieuwe publicaties plaatsen we op Twitter. Je kunt daar ook de belangrijkste ontwikkelingen volgen.