Источник: forklog.com
Обратились представители криптобиржи Livecoin с суточным объемом торгов $25 млн, которые сообщили, что из-за критического бага в коде Monero, позволяющего манипулировать суммами транзакций, они понесли существенные убытки. Общая сумма ущерба составила 15108 XMR (более $1,8 млн).
По их словам, некорректные транзакции начали заходить на биржу 20 июля.
«Транзакции были на суммы в 100 раз больше фактических, и наша нода и наши сотрудники их видели именно такими (неверными), и они были зачислены клиентам автоматически именно так, как они отображались.
То есть клиент послал 9,85 Monero, а получил на свой счет 985, и таких транзакций было достаточно» — сообщили представители Livecoin.
Список проблемных транзакций:
Если обновить ноду релизом, вышедшим 24 июля, то эти же транзакции уменьшаются в 100 раз:
Представители Livecoin возмущены, что криптобиржи не были официально оповещены об опасности, срочном апдейте или необходимости закрыть ввод/вывод Monero.
«Мы считаем, что когда разработчик узнает о такой уязвимости, которая позволяет менять сумму транзакции произвольно и по сути может разрушить всю сеть, он обязан предупредить в первую очередь биржи, что необходимо закрыть пополнение по их монете, а в данном случае и вывод, и только потом начинать работать над фиксами. Этого сделано не было» — утверждают представители Livecoin.
На официальном сайте Monero до сих пор висит срочное уведомление об апрельском апдейте, однако ничего не говорится о критической уязвимости.
«Новость в Twitter была опубликована только 26 июля и не носила характер «критичной» и «срочной», это был рутинный апдейт ноды на их взгляд.
Официальные обозреватели блоков, указанные на Coinmarketcap, не работают: последние таймстампы на Monero blockchain относятся к маю, на Monero Blocks — к 28 июля» — добавляет команда Livecoin.
Представители биржи написали официальный запрос команде разработчиков Monero, на который получили ответ, что «если биржа игнорировала все предупреждения об обновлении ноды до версии 0.12.3, то суммы для зачисления могут отображаться неправильно».
Вопрос о выплате компенсаций до настоящего момента остался без ответа.
Добавим, что на момент написания материала биржа Livecoin закрыла ввод-вывод по XMR на неопределенное время. Сроки возобновления функционала будут зависеть от переговоров с разработчиками криптовалюты.
Журнал ForkLog также запросил комментарии по ситуации у ряда бирж. Так, представители EXMO сообщили, что у площадки не возникло каких-либо проблем.
«Мы не понесли финансовых потерь, потому что по регламенту не начисляем вручную депозиты, посланные не на интегрированный адрес» — заявил СЕО криптовалютной биржи EXMO Сергей Жданов.
Напомним, ранее стало известно, что в рамках программы по поиску багов HackerOne в криптовалюте Monero было найдено несколько уязвимостей.
Одна из них позволяла злоумышленникам выводить из криптовалютных бирж суммы, значительно превышающие изначальный депозит.
К числу прочих багов относятся открытый вектор для осуществления DoS-атак с целью создания перегрузки в блокчейне Monero и уязвимость нод, позволявшая выводить их из строя с помощью скрипта.
Самые актуальные новости - в 
