Вплоть до марта злонамеренные майнеры Monero гипотетически могли создавать особые блоки, чтобы использовать их для зачисления фейковых депозитов XMR на сторонние кошельки в размере, устанавливаемым самим организатором атаки.
«Мы считаем, что эта уязвимость может использоваться для кражи денег с бирж криптовалют», - заявил исследователь проблем безопасности, впервые сообщивший о наличии уязвимости через портал HackerOne.
Впоследствии за свою находку он получил награду в 45 XMR ($4100).
Также была раскрыта информация о пяти векторах DoS-атак, а одна из уязвимостей была оценена как «критическая».
Информация о большинстве из упомянутых багов была отправлена приблизительно 4 месяца назад. Из них восемь уязвимостей было устранено, а информация об одной к настоящему моменту не была выложена в открытый доступ. Обнародовать сведения об имевшихся проблемах разработчики решили после выхода обновлённого клиента Monero версии 0.14.1.0 в июне.
Многие уязвимости сопровождаются пометкой «доказательство работоспособности концепции», то есть подтверждений того, что они использовались на практике, найти не удалось.
