Hầu hết các khai thác tiền điện tử nhắm vào những đồng tiền đã thuộc sở hữu của ai đó. Một lỗ hổng trong P2Pool mới được vá, bể đào Monero phổ biến, lại khác. Nó không động tới ví hiện có của bất kỳ ai. Thay vào đó, nó nhắm vào các đồng mới được khai thác: phần thưởng khối đang được phân phối ngay tại thời điểm tạo.
Cách nó hoạt động như sau. Nếu kẻ tấn công có thể vận hành đủ nhiều nút kết nối với P2Pool, ví dụ thông qua một botnet, họ có thể chuyển hướng một phần đáng kể phần thưởng khối về phía mình — thậm chí có thể lên tới 100%.
P2Pool không phải là một bể đào mơ hồ. Đây là một trong những cách phổ biến nhất để khai thác Monero, gần như là tiêu chuẩn trong hệ sinh thái Monero. Thợ đào ưa sử dụng vì không có máy chủ trung tâm phân công công việc hay phân phối thanh toán. Mọi người tham gia độc lập và phần thưởng được chia tự động. Như đã thấy, cơ chế phân phối phần thưởng tự động đó có thể bị thao túng.
Hiện nay các vụ tấn công tiền điện tử diễn ra khắp nơi, và kẻ tấn công liên tục tìm thấy những điểm yếu bất ngờ nhất. Nhưng đánh cắp tiền ngay vào thời điểm chúng lưu thông? Đó là điều tôi chưa từng gặp trước đây.
Gạc bạc là lỗ hổng này dường như không gây ra mối đe dọa nghiêm trọng cho mạng lưới Monero nói chung. Về lý thuyết, nó có thể gây hậu quả gián tiếp nếu việc khai thác trở nên không có lợi đến mức thợ đào bắt đầu tắt các nút của họ. Nhưng không giống như năm ngoái, khi các vấn đề do bể khai thác Qubic gây ra khiến một số dịch vụ yêu cầu hàng trăm xác nhận trước khi chấp nhận XMR, hiện tại không có chuyện tương tự xảy ra.
Tại Rabbit.io, chúng tôi vẫn xử lý hoán đổi XMR sang các loại tiền điện tử khác sau 10-25 xác nhận, tùy theo đường trao đổi.
