Разработчики Monero предупредили майнеров этой криптовалюты об уязвимости с вознаграждениями в децентрализованном пуле добычи монет P2Pool. Злоумышленники уже используют эту ошибку для атак, поэтому участникам сети срочно нужно обновить программное обеспечение до версии 4.16, чтобы не потерять средства, сообщила команда проекта.
Переносить монеты, менять кошелек или обновлять его из‑за этой ошибки не требуется, заверили разработчики. Чтобы минимизировать ущерб, разработчики начали добывать специально сформированные блоки. Это позволяет перехватить несанкционированное вознаграждение у злоумышленников и позднее вернуть средства пострадавшим майнерам, уверяет команда Monero.
P2Pool позволяет майнерам запускать собственные узлы и получать выплаты без центрального сервера и посредников. В нормальной ситуации каждый успешный результат майнинга создает одну уникальную единицу учета, от которой зависит размер награды.
Уязвимость обнаружена в старых версиях программы. Она позволяет добывать одну настоящую долю, а затем создавать тысячи ее поддельных копий и отправлять их в систему. Старые версии P2Pool принимали фальшивки за корректные записи — из одного результата можно было получить до 12 000 копий. Фейковые доли заполняли «окно выплат» (PPLNS), через которое пул распределяет награду за найденный блок между майнерами. В результате честные участники лишались части выплат, а атакующий мог забрать до 80% награды. При следующей успешной добыче злоумышленник был способен получить уже всю выплату за блок. Днем в среду, 17 июня, больше половины хешрейта Mini и Nano работали на старом коде, из‑за этого добыча этих участников уходила злоумышленнику.
Ошибка не дает хакерам доступа к кошелькам, не раскрывает приватные ключи и не позволяет украсть уже полученные монеты. Риск касается только будущих выплат: майнер на старой версии ПО может продолжать работу, но часть его добычи будет уходить злоумышленникам, предупредили разработчики.
Ранее в блокчейне Zcash обнаружили ошибку, которая позволяла создавать неограниченное количество поддельных токенов ZEC внутри пула. Причем эта уязвимость существовала с мая 2022 года. На фоне этого ZEC упал более чем на 50%.
