大多数加密货币漏洞利用针对的是已经属于某人的币。一处最近被修补的 P2Pool 漏洞(这是一家流行的门罗币挖矿池)则不同。它没有触及任何人的现有钱包。相反,它针对的是新铸造的币:在创建的瞬间正在分配的区块奖励。
它的工作原理是这样的。如果攻击者能够运行足够多连接到 P2Pool 的节点,例如通过僵尸网络,他们就可以将相当大一部分区块奖励重定向到自己——甚至有可能达到 100%。
P2Pool 并非什么默默无闻的矿池。它是挖掘门罗币最流行的方式之一,几乎已成为门罗生态系统的标准。矿工喜欢它,因为没有中央服务器分配工作或发放报酬。每个人独立参与,奖励自动分配。事实证明,这种自动化的奖励分配机制可以被操纵。
如今加密货币攻击无处不在,攻击者不断发现最出乎意料的薄弱环节。但在币进入流通的瞬间就偷走它们?这是我以前没遇到过的情况。
好消息是,这一漏洞似乎并未对门罗网络整体构成严重威胁。理论上,如果挖矿变得足够无利可图以致矿工开始关闭他们的节点,可能会产生间接后果。但与去年不同,当时 Qubic 矿池引发的问题导致一些服务在接收 XMR 前要求 数百次确认,现在并没有发生类似情况。
在 Rabbit.io,我们仍根据兑换路径在 10-25 次确认后处理 XMR 兑换成其他加密货币。
