ساناز موسوی | 1397.07.12

مونرو برای رفع باگ ها و محافظت از کاربرانش محصولی جدید ارائه کرد

مونرو رسما از وب سایت Malware Response Workgroup رونمایی کرد. این وب سایت در تلاش برای کمک به حفظ جامعه مونرو، منابع آموزشی درمورد انواع بدافزار ها که ممکن است کاربران را هدف قرار دهد تهیه می کند. از جمله، در مورد مسائلی همچون استخراج ناخواسته از طریق  مرورگر و سیستم (cryptojacking) و باج افزار که مشکلات دیرینه و رو به رشدی هستند، پشتیبانی ارائه می کند. در پست وبلاگی که توسط Justin Ehrenhofer در وب سایت مونرو منتشر شد، Malware Response Workgroup یک مجموعه داوطلبانه خود سازمان یافته معرفی شده که آموزش ها را تولید می کند و به پشتیبانی از کاربران می پردازد.

بیشتر بخوانید: گام بلند اتریوم (Ethereum) برای عادلانه تر شدن صنعت استخراج

در این پست وبلاگی خدمات برای ارائه حمایت مستقیم از طریق وب سایت تشریح شده است. این خدمات داوطلبانه در حال حاضر با #monero-mrw در دسترس کاربران است.

مونرو برای رفع باگ ها و محافظت از کاربرانش محصولی جدید ارائه کرد

Monero Releases Malware Response Group/ Source

رفع باگ ها

پس از گذشت مدت کوتاهی از رفع موفقیت آمیز یک باگ در کد کیف پول، این اعلامیه دومین خبر مثبت از جامعه مونرو است.

رفع باگ، روی پروتکل یا عرضه کوین اثر نگذاشته، اما اگر مورد سوء استفاده قرار می گرفت به یک خرابکار اجازه می داد تا به سازمان های اکوسیستم مونرو (همچون صرافی ها و هر کسی که از کیف پول مونرو استفاده می کند) آسیب بزند.

بیشتر بخوانید: گفتگو با رامک صدیق در حاشیه اولین روز همایش ماینرها در گرجستان

باگ می توانست به شرح زیر مورد بهره برداری قرار گیرد:

خرابکار ابتدا یک کلید خصوصی تصادفی برای خود ایجاد می کند. سپس، کد را تنها با استفاده از کلید خصوصی مخصوص خود تایید می کند و مطمئن می شود که تراکنش های چندگانه آن را به آدرس های عمومی (مثل صرافی هایی که کیف پول های پر طرفداری دارند) بفرستند. سپس، مکررا به صرافی پیام میفرستند؛ مانند هزار تراکنش با 1 XMR. از آنجایی که کیف پول های صرافی نسبت به این درخواست نامتعارف هشدار نمی دهد (مثلا سرمایه ها در آدرس های پنهانی مشابه دریافت می شوند)، معمولا صرافی به خرابکار، 1000XMR اعتبار می دهد. سپس خرابکار XMR را با BTC تعویض می کند و سپس BTC را نیز می فروشد. در نتیجه، هکر ها صرافی را با ۹۹۹ تبادل سوخته و غیر قابل مصرف به ارزش 1XMR تنها می گذارند.

مونرو برای رفع باگ ها و محافظت از کاربرانش محصولی جدید ارائه کرد

Monero Releases Malware Response Group/ Source

در ساده ترین حالت، این باگ امکان می داد که سرمایه ارسال شود اما گیرنده نتواند آنها را خرج کند. این یعنی امکان ارسال چندین تراکنش به آدرس مشابه در یک زمان که هر تراکنش با یک کلید متفاوت انجام می شود. از آنجا که آدرس های یکبار مصرف تنها یکبار قابلیت استفاده دارند، تنها یکبار می توان به آن آدرس ارسال انجام داد، اما کیف پول های نرم افزاری مقدار تمام تراکنش ها را تجمیع می کنند.

بیشتر بخوانید: بدافزار های استخراج تهدیدی جدی برای تخریب سخت افزار و باتری

در حالیکه مفهوم سوختن سرمایه به خاطر ارسال تراکنش های چندگانه به آدرس های مشابه پنهانی در جامعه مونرو جدید نیست، پیامد های آن هرگز توسط اشخاص ثالث درگیر (همچون صرافی ها) به درستی مورد بررسی قرار نگرفت. ماه می ۲۰۱۷، موضوع  Monero SE Q&A کمی مورد بحث قرار گرفت. کاربران در معرض این اخبار قرار می گیرند و این طور نتیجه گیری می کنند که «آنها از پیامد ها آگاه نیستند یا محافظان پروتکل را در برابر خود دارند». تا زمانی که سناریوی فرضی شامل اکسچنج ها نمی شد جامعه متوجه اثرات واقعی چنین سوء استفاده هایی نبود.

کشف و رفع باگ

این سوء استفاده در تاریخ ۱۶ سپتامبر ۲۰۱۸، زمانی که شخصی با نام کاربری  s_c_m_l در Reddit آن را تشریح کرد، کشف شد. سناریویی که این کاربر ارائه کرده بود این طور بود که شخصی تراکنش های زیادی از XMR را با آدرس مخفی به صرافی می فرستد. بدین ترتیب کاربر قادر خواهد بود پول خود را مبادله و سپس خارج کند. این اولین باری بود که کسی چنین موقعیتی را مجسم می کرد.

کمی پس از انتشار این پست تیم توسعه دهنده مونرو یک پچ ساختند و همراه ورژن 0.12.3.0 منتشر کردند. پس از اعلان رسمی، تیم توسعه دهنده به صورت خصوصی بسیاری از صرافی ها، سرویس دهندگان و بازرگانان را برای حداقل کردن خطر، آگاه کردند.

بیشتر بخوانید: مصر هم از حمله بدافزار استخراج مونرو در امان نماند!

پاسخ جامعه مونرو

همان گونه که dEBRUYNE در پست وبلاگ خود اشاره می کند، این اتفاق یک تمرین ایده آل نبود چراکه سازمان هایی وجود داشتند که نمی توانستیم آنها را آگاه کنیم. اعلانات پشت پرده نیز می توانند به عنوان روش های جایگزین مورد استفاده قرار بگیرند، هرچند که هرگز برای جامعه ای که به سمت غیر متمرکز و عادلانه بودن پیش می رود، ایده آل نیست.

مونرو برای رفع باگ ها و محافظت از کاربرانش محصولی جدید ارائه کرد

Monero Releases Malware Response Group/ Source

به دنبال انتشار پچ، اعضای جامعه در Reddit نسبت به موقعیت جدید نامطمئن بودند و در این مورد که آیا تیم توسعه دهنده مونرو باید وجود و رفع چنین باگی را افشا کند یا نه بحث می کردند. در نهایت یکی از کاربران پیشنهاد داد:

«به نظر من افشای این اتفاقات در آینده مفید واقع خواهند شد… (برای مثال) یک باگ گزارش شده و فهمیده ایم که واقعا وجود دارد. توسعه دهندگان مونرو اعلام می کنند که یک باگ وجود دارد و ما در حال کار کردن روی آن هستیم، اما جزئیات برای جلوگیری از سوء استفاده اعلام نمی شود. چیزی که در این شرایط غیر عادی است این است که وجود باگ ابتدا در Reddit اعلام شده بود به جای آنکه در گروه توسعه دهندگان رسمی مونرو اعلام شود و دلیلش این است که کاربران دقیقا نمی دانند چطور وجود یک باگ را به تیم اصلی اطلاع دهند. در هر حال، با پاسخ سریع تیم مونرو به نظر می رسد اعتماد به نفس این جامعه تقویت شده است. در آینده، جامعه مونرو امیدوار است که تلاش های بیشتر جامعه همچون Malware Response Workgroup منابع بهتری برای گزارش باگ ها برای کاربران ایجاد کند.»

بیشتر بخوانید: رویارویی دو پروژه حافظ حریم خصوصی : زدکش در برابر مونرو

با اشاره به تمرکز اصلی این گروه، Ehrenhofer نوشت: «ما نمی توانیم خرابکاری های استخراج را از بین ببریم، اما امیدواریم آموزش لازم برای درک بهتر مونرو را برای مردم ایجاد کنیم که به معنی حذف نرم افزار های مخرب خواهد بود.»

 



توجه!

دیدگاه هایی که در این مقاله ارائه شده اند، متعلق به نویسنده می باشند و لزوماً مربوط به Coiniran نمی باشد و نباید به آن نسبت داده شود.



Source & Image