自带“招黑”体质?门罗币的“核心加密技术”又被黑客绑架了...

2019-03-06 17:00 稿源:小葱区块链  0条评论

XMR 门罗币

图片版权所属:站长之家

本文由站长之家内容合作伙伴 小葱app(微信公众ID:xcongapp)授权发布 ,作者:靳倩倩。

数字货币身陷熊市,可黑客依旧虎视眈眈。

近日,Ryo社区团队在Medium发表文章称,门罗币钱包软件存在漏洞,黑客或可利用该漏洞向交易所存入虚假存款。 

门罗币钱包是Monero(门罗币,简称XMR,是典型的一种匿名币)的官方钱包工具,用户可以使用门罗币钱包存储和交易门罗币,并支持门罗币挖矿功能,是门罗币投资者和矿工的必备工具。 

环形加密技术被指“极不安全” 门罗币紧急修复 

Medium文章提到, Ring CT(以下简称 RCT)的设计“极不安全”,显示给用户的金额与网络检查到的金额不同。 

小葱注:Ring CT,CT是匿名传输,Ring是“环形”,一种完全匿名的环形加密技术。 

以coinbase为例,正常情况下,当钱包和该交易所发生一笔交易时,将包含一个具体的金额和一个空的RCT签名。但在特定情况下,如果交易中包含一个非空的RCT签名,存入交易所的金额就会发生改变。也就是说,攻击者可以利用该漏洞伪造任意数量的门罗币。

该文章发布后不到 10 小时,Monero官方推特发文称:“请暂停交易,一个补丁很快就会发布。”紧接着,一个名为“修复coinbase tx # 5216 中错误处理的RCT输出”的补丁包按时发布。

假充值漏洞事件不到一年

虽说Monero这次的应急方案做得很及时,但不少用户对此却并不满意,因为自门罗币诞生以来,总能听到黑客劫持网络、劫持计算机、服务器用于挖矿赚钱的负面消息。 

早在 2 年前,就有网友在reddit论坛上就门罗币的安全漏洞问题进行讨论: 

去年 6 月,门罗币因“门罗币假充值漏洞”登上新闻头条,引发加密市场的关注。

据了解,当时,有用户在门罗币的GitHub仓库上提交了一个问题,称他在执行show_transfers out指令的时候客户端给他返回了错误的转账数量,他并表示非常怪异。

随后,在当天门罗币的官方团队便对此进行了修复,并发布了修复的代码。 

区块链安全档案当时还对这起漏洞作了分析。其认为,攻击者可以发送大量重复的交易给对方,这在门罗币中是允许的,因为最终计算余额不会计算重复的交易,重复的交易会被忽略。但是由于该漏洞修复之前,门罗币客户端的show_transfers指令并没有跳过重复的交易,所以每笔重复交易的转账金额也会被计算在内并最终输出出来。

说到这,大家有没有感觉这两起安全漏洞似乎有相似之处,即黑客都是利用系统中的漏洞,最终实现交易金额的伪造。

自带“招黑”体质,门罗币如何给自己“洗白”?

那么问题来了,虽说交易所和公链对接尚有不完善之处,可为啥门罗币钱包就这么“招黑”呢?

这还要从门罗币自身的独有的特性开始说起。 

首先,门罗币之所以备受黑客们的欢迎,主要原因还是因为它采用环形加密技术,这是一种是完全的匿名加密货币,交易地址、交易金额、交易时间、发送方和接收方等信息完全隐匿,无法查询与追踪。也就是说,一旦被黑客入侵,就算被发现电脑被植入挖矿木马,也无法通过挖矿的地址、交易等信息查询到黑客的行踪。黑客可以完全做到消失于无形。 

此外,门罗币自 2014 年诞生以来,就号称是比特币的竞争币,其总发行量为 1844 万个,总量比比特币还要少。发展至今,门罗币现已成为主流货币之一的币种,当前市值高达 8 亿美元,现排名第 13 位。 

葱有料此前文章也指出,门罗币与其他加密货币相关性很低,可对冲熊市风险。 

由此可见,黑客之所以这么青睐门罗币,主要原因还是看中他的“完全匿名”特性,黑客的行踪很难被追踪。此外,门罗币当前市值稳定,而且升值潜力比较好,从长期来看,可以保证黑客获得较为稳定的收益。

所谓“欲戴王冠,必承其重”,门罗币因“环形加密技术”大放光彩,也要有能力将承受该技术所带来的“副作用”。

声明:本文转载自第三方媒体,如需转载,请联系版权方授权转载。协助申请

相关文章

相关热点

查看更多