В майнинговом пуле P2Pool для Монеро исправили необычную уязвимость. Необычную - потому что она позволяла красть не те монеты, которые уже находятся в чьих-то кошельках, а те, которые создаются в новых блоках и распределяются в качестве вознаграждения.
Если у злоумышленника была возможность запустить много узлов (ботнет), подключённых к пулу P2Pool, то он мог перетянуть на себя значительную часть вознаграждения за блок (до 100%). А P2Pool - это очень популярный пул. Его можно назвать своего рода стандартом для Монеро. Он очень нравится майнерам, потому что в нём нет центрального сервера, который раздаёт задачи и делят награду. Все работают независимо, а награды распределяются автоматически. И вот в это-то автоматическое распределение, как оказалось, можно было внедрить вредоносную логику.
Что ж, взломов в крипте сейчас очень много, и злоумышленники находят самые неожиданные узкие места, которые можно взломать. Про кражи монет в момент их ввода в обращение я ещё никогда не слышал!
Но хорошая новость в том, что на безопасности сети Монеро в целом эта уязвимость особо не сказывается. Она, конечно, могла бы опосредованно повлиять на сеть, если бы майнеры из-за убыточности добычи решили отключить свои узлы. В отличие от прошлого года, когда проблемы, созданные майнинговым пулом Qubic, привели к тому, что некоторые сервисы стали принимать XMR только после сотен подтверждений, сейчас ничего подобного не наблюдается. По крайней мере, мы на Rabbit.io по-прежнему проводим обмены XMR на другие криптовалюты после 10 - 25 подтверждений (в зависимости от маршрута обмена).
