- 27,609
- 46
- 8 Ноя 2022
Разработчики P2Pool призвали майнеров Monero срочно обновить ПО до версии 4.16 из-за активной атаки.
Майнеры Monero получили срочное предупреждение: в P2Pool нашли критическую ошибку, которую уже используют в реальной атаке. Разработчик проекта sech1 сообщил об активной эксплуатации уязвимости на Reddit и призвал всех участников сети немедленно обновить P2Pool до версии 4.16, иначе будущие выплаты за майнинг могут уйти на кошелёк злоумышленника.
P2Pool работает как децентрализованный пул для добычи Monero. Участники запускают собственные узлы, а награды распределяются без центрального сервера и без хранения средств у третьей стороны. Такая схема снижает зависимость от обычных пулов, но найденная ошибка ударила по механизму учёта долей, от которого зависит размер выплат.
В нормальной работе P2Pool каждый успешный результат майнинга создаёт одну уникальную долю. Уязвимость ломала это правило: злоумышленник мог добыть одну настоящую долю, затем создать тысячи поддельных копий, а старые версии P2Pool принимали копии за корректные записи. В предупреждении GitHub говорится, что из одного удачного результата можно было получить более 12 000 фальшивых копий.
Атака влияла на окно выплат PPLNS, через которое P2Pool делит награду за найденный блок между майнерами. Поддельные доли заполняли окно и вытесняли честную работу других участников. В результате атакующий мог забрать до 80% награды, а при добыче следующей доли - всю выплату за блок.
Ошибка не даёт доступа к кошелькам, не раскрывает ключи и не позволяет украсть уже полученные монеты. Риск касается будущих выплат: майнер на старой версии может продолжать работу, но часть добычи будет уходить в цепочку злоумышленника. Во время атаки обновлённые и устаревшие узлы могут расходиться по разным боковым цепочкам, а старые клиенты способны надолго застрять на неправильной ветке.
По словам sech1, сначала под удар попали старые цепочки P2Pool Mini и Nano, где часть майнеров не перешла на версию 4.16. Позднее атака затронула P2Pool Main: в предупреждении указано время 16 июня, 00:02:46 UTC. Разработчик также сообщил, что больше половины хешрейта Mini и Nano на момент публикации всё ещё работало на старом коде, поэтому добыча этих участников терялась в пользу атакующего.
sech1 и DataHoarder заявили, что начали добывать специально сформированные блоки, чтобы перехватить выплаты у злоумышленника и позднее вернуть средства майнерам. Авторы проекта планировали запросить у сообщества дополнительный хешрейт после подготовки безопасной схемы распределения.
Исправление уже доступно в P2Pool v4.16 . В релизе закрыта консенсусная уязвимость, также добавлены улучшения сетевого кода, поддержка TLS для merge mining через JSON RPC и проверка состояния узла на зависание. Разработчики подчёркивают, что для защиты достаточно обновить P2Pool и перезапустить программу. Переносить монеты, менять кошелёк или обновлять сам кошелёк из-за ошибки не требуется.
Майнеры Monero получили срочное предупреждение: в P2Pool нашли критическую ошибку, которую уже используют в реальной атаке. Разработчик проекта sech1 сообщил об активной эксплуатации уязвимости на Reddit и призвал всех участников сети немедленно обновить P2Pool до версии 4.16, иначе будущие выплаты за майнинг могут уйти на кошелёк злоумышленника.
P2Pool работает как децентрализованный пул для добычи Monero. Участники запускают собственные узлы, а награды распределяются без центрального сервера и без хранения средств у третьей стороны. Такая схема снижает зависимость от обычных пулов, но найденная ошибка ударила по механизму учёта долей, от которого зависит размер выплат.
В нормальной работе P2Pool каждый успешный результат майнинга создаёт одну уникальную долю. Уязвимость ломала это правило: злоумышленник мог добыть одну настоящую долю, затем создать тысячи поддельных копий, а старые версии P2Pool принимали копии за корректные записи. В предупреждении GitHub говорится, что из одного удачного результата можно было получить более 12 000 фальшивых копий.
Атака влияла на окно выплат PPLNS, через которое P2Pool делит награду за найденный блок между майнерами. Поддельные доли заполняли окно и вытесняли честную работу других участников. В результате атакующий мог забрать до 80% награды, а при добыче следующей доли - всю выплату за блок.
Ошибка не даёт доступа к кошелькам, не раскрывает ключи и не позволяет украсть уже полученные монеты. Риск касается будущих выплат: майнер на старой версии может продолжать работу, но часть добычи будет уходить в цепочку злоумышленника. Во время атаки обновлённые и устаревшие узлы могут расходиться по разным боковым цепочкам, а старые клиенты способны надолго застрять на неправильной ветке.
По словам sech1, сначала под удар попали старые цепочки P2Pool Mini и Nano, где часть майнеров не перешла на версию 4.16. Позднее атака затронула P2Pool Main: в предупреждении указано время 16 июня, 00:02:46 UTC. Разработчик также сообщил, что больше половины хешрейта Mini и Nano на момент публикации всё ещё работало на старом коде, поэтому добыча этих участников терялась в пользу атакующего.
sech1 и DataHoarder заявили, что начали добывать специально сформированные блоки, чтобы перехватить выплаты у злоумышленника и позднее вернуть средства майнерам. Авторы проекта планировали запросить у сообщества дополнительный хешрейт после подготовки безопасной схемы распределения.
Исправление уже доступно в P2Pool v4.16 . В релизе закрыта консенсусная уязвимость, также добавлены улучшения сетевого кода, поддержка TLS для merge mining через JSON RPC и проверка состояния узла на зависание. Разработчики подчёркивают, что для защиты достаточно обновить P2Pool и перезапустить программу. Переносить монеты, менять кошелёк или обновлять сам кошелёк из-за ошибки не требуется.
- Источник новости
- www.securitylab.ru
