Revelada falha de segurança: carteira CCS da Monero teve US$ 460.000 drenados

Em uma reviravolta surpreendente, a Monero, a popular criptomoeda focada em privacidade, revelou uma vulnerabilidade em sua carteira do Sistema de Financiamento Coletivo da Comunidade (CCS) ocorrida em 1º de setembro de 2023. O invasor conseguiu drenar 2.675,73 XMR da carteira, o equivalente a aproximadamente US$ 460.000. Essedent levantou preocupações sobre a segurança e a privacidade do blockchain da Monero.

O ataque se desenrolou em uma série de nove transações, onde o perpetrador conseguiu desviar todo o saldo da carteira CCS. Odent permaneceu despercebido até recentemente, quando a Moonstone Research, uma empresa de segurança blockchain,dentas ações do atacante.

A Moonstone Research tracas transações do atacante e sugeriu que a exploração foi executada por um usuário da carteira Monerujo que havia habilitado um recurso conhecido como “PocketChange”. Monerujo é uma carteira Monero não custodial para Android que oferece o recurso PocketChange, projetado para aprimorar o modelo de privacidade do Monero criando múltiplos “bolsos” ou “enotes”.

Analisando a exploração dos recursos de privacidade do Monero

O recurso PocketChange do Monerujo funciona dividindo moedas Monero em partes menores e distribuindo-as em dez compartimentos diferentes. Essa fragmentação garante que as moedas não se fundam novamente, permitindo que os usuários gastem de vários compartimentos instantaneamente, sem o período de espera usual.

De acordo com as descobertas da Moonstone Research, o atacante explorou esse recurso para criar 11 eNotes de saída, um comportamento inconsistente com transações típicas. A Moonstone Research expressou confiança em sua avaliação, independentemente de o atacante ter usado a versão 3.3.7 ou 3.3.8 do Monerujo.

O jornalista chinês Colin Wu, conhecido por suas análises sobre o setor de criptomoedas, comentou o ataque. Wu compartilhou suas observações em sua página oficial na X, Wu Blockchain, e destacou a hipótese da SlowMist de que a vulnerabilidade pode ser uma "brecha no modelo de privacidade do Monero". Embora a origem do ataque permaneça um mistério, o incidentedent questões sobre a segurança do blockchain do Monero e a eficácia de seus recursos de privacidade.

A carteira CCS, que serve como sistema de financiamento para projetos conduzidos pela comunidade, possuía um saldo total de 2.675,73 XMR até 1º de setembro de 2023. Esse saldo foi acumulado por meio de doações da comunidade e tinha como objetivo apoiar diversas iniciativas dentro do ecossistema.

A exploração da vulnerabilidade da carteira CCS gerou preocupações sobre a segurança da rede Monero. A privacidade é um princípio fundamental no design de empresas, mas essedent levantou questões sobre a possibilidade de exploração das funcionalidades de privacidade. Embora os desenvolvedores do Monero trabalhem continuamente para aprimorar a segurança da rede, odent serve como um lembrete de que nenhum sistema é totalmente imune a vulnerabilidades.