オープンソースの仮想通貨モネロ(Monero、XMR)の開発者は25日、ネットワーク攻撃者に組織のウォレット内の資金を消失させうるバグをパッチ(修正)した。モネロが25日発表した。

コミュニティーメンバーが、潜在的な攻撃の可能性についてレディットのXMR掲示板で説明したため、同バグが発見された。このバグは、XMRエコシステム内のマーチャントや組織に影響を与え、大きな被害を引き起こす可能性があった。ブログ記事では、バグがどのように悪用されるのかについてさらに詳しく説明している。

攻撃者は、最初にランダムなプライベートトランザクションキーを生成する。その後、この特定のプライベートトランザクションキーを単に使用できるようにコードを修正。これにより、同じパブリックアドレス(例えば、取引所のホットウォレット)への複数のトランザクションが、同じステルスアドレスに送られることになるという。それから、攻撃者は取引所に1 XMR送るトランザクションを1000回実施する。取引所のウォレットはこの特定の異常(つまり、同じステルスアドレスで資金が受け取られている)を警告しないため、取引所はいつものように攻撃者に1000 XMRをクレジットすることになる。

モネロは、攻撃者がそのような攻撃で金銭的利益を直接的に享受することはできないと述べているが、間接的に利益を得る手段がある可能性が残ることを示唆した。
攻撃の後、ハッカーはXMRとビットコイン(BTC)を交換し、その後BTCを回収する。攻撃の結果、取引所には、出力不能な999の、「燃え尽きた」1XMRの結果が残されることになる。

同バグはプロトコルやコインの供給に影響を与えていない。XMRの開発者はその後、XMRの公式ツイッターアカウントを介して、コードをパッチしたと発表している。 

モネロエコシステムに参加する取引所、サービス、マーチャントその他の組織で、まだパッチしていないところは、v0.13.0.0-RC1をコンパイルし、パッチを確実に含めること

XMRは、匿名性のある「追跡不可能な」仮想通貨を主張していたが、以前は仮想通貨空間での不正行為の標的だった。今月初め、MEGAクローム拡張機能が攻撃され、サイバー犯罪者が機密情報に加えてユーザーのXMRを盗みとった。

6月、セキュリティ会社Palo Alto Networksが発行したレポートによると、当時の流通中のXMRの約5%が悪意を持ってマイニングされていた。仮想通貨の中でもXMRに対するマルウェアの攻撃は多いと伝えられている。総額1億7500万ドル分のXMRはは悪意をもってマイニングされたものという。

コインマーケットキャップによれば、XMRは現在、10番目に取引量の多い通貨であり、時価総額は約19億ドルだ。現在XMRは、約114ドルで取引されている。