一個“重大”的誘餌選擇錯誤是 報導 Monero 通過項目的官方Twitter 句柄。根據由軟件開發商賈斯汀·伯曼(Justin Berman) 進行的調查,在收到資金後的短時間內,該漏洞“可能會影響你的交易隱私”。
如果用戶在共識規則允許的前2 個區塊中的鎖定時間之後立即花費資金(收到資金後約20 分鐘),那麼很有可能將輸出識別為真正的花費。
門羅研究實驗室澄清,有暴露風險的數據與地址或交易金額有關,資金本身“永遠不會有被盜的風險”。自該報告在大約10 小時前發布以來,該漏洞一直存在於“官方錢包代碼”中。
為了緩解該漏洞,用戶可以在收到資金後等待1 小時才能支出資金。開發人員目前正在開發錢包軟件更新。這不需要通過硬分叉來實現。
門羅研究實驗室和門羅開發人員非常重視這個問題。當錢包修復可用時,我們將提供更新。
Monero 誘餌選擇錯誤的潛在修復
在門羅項目的GitHub 倉庫上,伯曼對這個bug 做了詳細的解釋。他透露,他的調查在發布之前由核心開發人員進行。他澄清說,影響軟件錢包的誘餌選擇機制“選擇最近的輸出作為誘餌的變化為0”。
因此,為什麼用戶可以通過一段時間後花費他們的資金來緩解錯誤。正如開發人員澄清的那樣,該算法在門羅環中引入了10 個“誘餌”,然後隱藏了真正的輸出。選擇機制幾乎有0 機會選擇少於100 個輸出的誘餌,但仍然存在概率:
仍然有機會選擇輸出索引100 個輸出的塊的輸出有機會被選為誘餌。
儘管仍在開發中,但伯曼認為,解決門羅幣漏洞的方法需要修改誘餌選擇機制。開發人員說,如果交易由沒有更新的節點處理,這可能會影響交易的一致性,而不是更新節點構建環的方式。
我目前傾向於的解決方法是算法偏離了1 個塊,這意味著論文觀察到的伽馬分佈只是繪製了觀察到的花費。在120 秒的區塊時間中,你會期望在不到120 秒的時間內花費接近0 個輸出,論文推薦的伽瑪分佈似乎證實了這一點。
在撰寫本文時,Monero (XMR) 的交易價格為220.95 美元,週線圖上的利潤為16.1%。 XMR 跟隨整體市場情緒在周末大幅上漲後橫盤整理。
XMR 遵循日線圖中的一般市場情緒。資料來源:XMRUSDT Tradingview
資訊來源:由0x資訊編譯自NEWSBTC。版權歸作者所有,未經許可,不得轉載
0X簡體中文版:此門羅幣(XMR) 錯誤如何影響用戶隱私