原标题:门罗币的钱包软件暗藏可“烧毁”业者货币的重大漏洞
图片来源:Monero
门罗币(Monero,XMR)的开发者在本周修补了一个藏匿在门罗币钱包软件中的安全漏洞,该漏洞允许骇客诈骗门罗币交易中心、服务供应商或商家,耗尽业者的门罗币,因而被称为“烧毁臭虫”(Burning△Bug)。
根据门罗币开发者的说明,骇客先要产生一个随机的私密交易金钥,继之修改程式码以让它只能使用该私钥,确保与同一钱包地址(例如交易中心)的多个交易都被传送到同一个隐匿地址(Stealth△Address),随后骇客与交易中心执行1,000次的1个门罗币交易,交易中心的钱包并未因为这些基金全都被送至同一个隐匿地址而提出警告,并让骇客成功取得1,000个门罗币。
骇客以帐户中的1,000个门罗币来兑换比特币,并提领出比特币,留给交易中心的则是无法再使用的999个门罗币。骇客的成本只有交易手续费,而交易中心的资金则彷若人间蒸发。
门罗币现为全球第十大加密货币,今日的价格为114.84美元,除了是市场上受欢迎的加密货币之外,也几乎独占了恶意挖矿市场,根据Palo△Alto△Networks今年6月的估计,市面上所流通的门罗币中,有5%是恶意开采而来,价值约1.75亿美元。
iThome△Security
相关:
资安一周第10期:新恶意程式Xbash锁定Linux及Windows平台。Magecart骇客集团犯案连连,三家大型业者用户资料遭骇
针对Chrome△69,有开发人员发现,只要利用Chrome登入各种Google服务,就会自动登入Chrome浏览器,让Google再遭控诉漠视用户意愿及隐私。(图片来源/Google) 0920-0926一定要看的资安新闻?#Xbash△#恶意程式新
委托闺蜜的男友对虚拟货币进行投资理财,不但没赚到钱,投资的本金还损失了一大半,因不甘接受损失,便要求闺蜜赔偿亏损的本钱,还将闺蜜诉至法院。闺蜜则提出,委托人与虚拟货币交易平台构成理财合同关系,应当向虚
资安业者踢爆微软JET Database Engine含有远端程式攻击的零时差漏洞
图片来源: 趋势科技 趋势科技旗下的Zero△Day△Initiative(ZDI)周一(9/24)踢爆了一个隐藏在微软JET△Database△Engine中的越界写入(out△of△bounds△write)漏洞,成功的开采将允许骇客自远端执行任意程式,虽
macOS△10.14提供了Dark△Mode模式。 图片来源: Apple 苹果于周一(9/24)释出macOS△Mojave(macOS△10.14)正式版,它支援深色模式(Dark△Mode),提供新的“堆叠”(Stacks)桌面整理功能,改善了Finder与荧幕
微信香港钱包开通大陆商户 WeChat Pay HK推跨境流动支付 | 香港 UNWIRE.HK 玩生活.乐科技
腾讯宣布为微信香港钱包 WeChat Pay HK 实现“双向跨境支付”,香港用户可在中国大陆商户畅通无阻地使用 WeChat Pay HK 进行付款。WeChat Pay HK 将成为首家为香港用户在大陆商户消费提供便捷流动支付服务的香港持牌