Con una sorprendente svolta degli eventi, Monero, la popolare criptovaluta incentrata sulla privacy, ha rivelato un exploit del portafoglio del suo Community Crowdfunding System (CCS) avvenuto il 1 settembre 2023. L'aggressore è riuscito a prosciugare il portafoglio di 2.675,73 XMR, equivalenti a circa $ 460.000. Questo incidente ha sollevato preoccupazioni sulla sicurezza e sulla privacy della blockchain di Monero.
L'attacco si è svolto in una serie di nove transazioni, durante le quali l'autore del reato è riuscito a sottrarre l'intero saldo dal portafoglio CCS. L'incidente è rimasto nascosto fino a poco tempo fa, quando Moonstone Research, una società di sicurezza blockchain, ha identificato le azioni dell'aggressore.
Moonstone Research ha tracciato le transazioni dell'aggressore e ha suggerito che l'exploit fosse stato eseguito da un utente del portafoglio Monerujo che aveva abilitato una funzionalità nota come "PocketChange". Monerujo è un portafoglio Monero non custodito basato su Android che offre la funzionalità PocketChange, progettata per migliorare il modello di privacy di Monero creando più "tasche" o "note".
Analisi dello sfruttamento delle funzionalità di privacy di Monero
La funzione PocketChange di Monerujo funziona suddividendo le monete Monero più grandi in parti più piccole e distribuendole in dieci tasche diverse. Questa frammentazione garantisce che le monete non si uniscano nuovamente, consentendo agli utenti di spendere istantaneamente da varie tasche senza il consueto periodo di attesa.
Secondo i risultati di Moonstone Research, l'aggressore ha sfruttato questa funzionalità per creare 11 note di output, un comportamento incoerente con le transazioni tipiche. Moonstone Research ha espresso fiducia nella propria valutazione, indipendentemente dal fatto che l'aggressore abbia utilizzato la versione 3.3.7 o 3.3.8 di Monerujo.
Il reporter cinese Colin Wu, noto per le sue intuizioni sul settore delle criptovalute, è intervenuto sull'hacking. Wu ha condiviso le sue osservazioni sulla sua pagina X ufficiale, Wu Blockchain, e ha sottolineato il presupposto di SlowMist secondo cui la vulnerabilità potrebbe essere una "scappatoia nel modello di privacy di Monero". Sebbene la fonte dell'attacco rimanga un mistero, l'incidente ha sollevato dubbi sulla sicurezza della blockchain di Monero e sull'efficacia delle sue funzionalità di privacy.
Il portafoglio CCS, che funge da sistema di finanziamento per progetti guidati dalla comunità, ha mantenuto un saldo totale di 2.675,73 XMR fino al 1 settembre 2023. Questo saldo è stato accumulato attraverso donazioni da parte della comunità ed era destinato a supportare varie iniziative all'interno dell'ecosistema.
L'exploit del portafoglio CCS ha suscitato preoccupazioni sulla sicurezza della rete Monero. La privacy è un principio centrale nella progettazione delle aziende, ma questo incidente ha sollevato dubbi sulla possibilità di sfruttare le funzionalità di privacy. Mentre gli sviluppatori Monero lavorano continuamente per migliorare la sicurezza della rete, l'incidente serve a ricordare che nessun sistema è completamente immune alle vulnerabilità.