Команда Monero выпустила критический алерт для майнеров, использующих децентрализованный пул P2Pool. В программном коде обнаружена опасная уязвимость, которой хакеры уже активно пользуются для перехвата вознаграждений. Единственный способ защиты — экстренное обновление клиентского софта до релиза версии 4.16. При этом разработчики спешат успокоить пользователей: манипуляции с кошельками, смена адресов или перевод уже накопленной крипты не требуются.
Суть бага кроется в механике распределения наград по алгоритму PPLNS. В устаревших сборках P2Pool злоумышленники научились мутировать одну легитимную «шару» (майнинговую долю) в тысячи ее фантомных копий — вплоть до 12 000 дубликатов. Поскольку старые ноды не могли отличить оригинал от подделки, фейковые записи массово заполняли расчетное окно пула. В результате честные участники экосистемы лишались своих законных выплат: атакующие сначала забирали до 80% награды за блок, а при следующем успешном майнинге могли перехватить и все 100%.
Масштаб проблемы оказался тревожным: по состоянию на среду, 17 июня, более 50% вычислительных мощностей узлов Mini и Nano все еще функционировали на дырявом коде, фактически работая на киберпреступников. Важно подчеркнуть, что эксплойт не дает хакерам доступа к приватным ключам или уже зачисленным на балансы монетам XMR. Зона риска ограничена исключительно будущими начислениями: майнер может продолжать добычу, но его хешрейт будет невидимо перенаправляться в карман атакующего.
Чтобы минимизировать ущерб честным участникам, ядро Monero пошло на беспрецедентный шаг. Разработчики начали целенаправленно майнить специфические блоки, чтобы перехватывать украденные средства у хакеров. Команда проекта заверила, что все конфискованные таким образом монеты в последующем будут возвращены пострадавшим майнерам.
