Уязвимость Monero позволяла красть у бирж XMR

Уязвимость Monero позволяла красть у бирж XMR

Уязвимость Monero позволяла красть у бирж XMR

Популярная криптовалюта Monero, которую часто хвалят за повышенную конфиденциальность, оказалась насквозь пронизана уязвимостями, одна из которых позволяла красть валюту непосредственно из обменников.

Для успешной эксплуатации злоумышленникам нужно было применить социальную инженерию, что позволяло подделывать данные транзакций и использовать их для обмана работников поддержки, которые перечисляли мошенникам XMR на их аккаунты.

Просто скопировав строку кода из кошелька Monero, чей исходный код доступен для всех, киберпреступники могли манипулировать суммами, указанными в кошельке. Каждая дополнительная строка умножала количество отображаемых XMR.

После этого преступникам оставалось убедить сотрудников биржи одобрить транзакции. Затем мошенники могли запросить вывод средств, который значительно превышал реальный размер.

«Злоумышленник мог использовать эту уязвимость неоднократно», — объяснил обнаруживший эту брешь исследователь.

Эксперта обеспокоило, что этот баг, судя по всему, может затрагивать и другие монеты, основанные на Monero — например, ARQ.

В настоящее время недостаток в безопасности устранен.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Google меняет процесс патчей для Android: теперь главное — риск уязвимости

На протяжении десяти лет Google стабильно выпускала патчи для Android каждый месяц. Даже если для своих Pixel компания не успевала подготовить патч, список уязвимостей публиковался всегда. Но в июле 2025 года случился прецедент: впервые за всю историю бюллетень вышел пустым.

А уже в сентябре — обратная картина: сразу 119 закрытых уязвимостей. На самом деле дело не в резком скачке числа багов, а в том, что Google изменила сам процесс выпуска обновлений.

Теперь компания внедряет систему Risk-Based Update System (RBUS). Суть простая:

  • ежемесячно публикуются только «высокорисковые» уязвимости — те, что активно эксплуатируются или могут быть частью реальных атак;
  • остальные исправления копятся и выходят в крупных квартальных бюллетенях — в марте, июне, сентябре и декабре.

Для производителей смартфонов это должно упростить жизнь: меньше патчей каждый месяц, больше времени на тестирование и возможность сосредоточиться на квартальных релизах. В итоге Google рассчитывает, что даже бюджетные устройства будут обновляться хотя бы раз в квартал, но с более «весомыми» апдейтами.

Однако есть и минусы. Эксперты отмечают, что из-за длинного окна между публикацией приватного и публичного бюллетеня потенциально возрастает риск утечек информации об уязвимостях. Кроме того, исходный код для исправлений теперь тоже будет выкладываться только раз в квартал — а значит, энтузиастам и авторам кастомных прошивок станет сложнее выпускать свои ежемесячные апдейты.

Для рядовых пользователей перемены будут почти незаметны: если ваш смартфон получал ежемесячные обновления, скорее всего, он их продолжит получать. Но в любом случае теперь ключевым остаётся квартальный цикл — именно там будет основной объём закрытых дыр.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru