安全预警：门罗币虚假充值漏洞分析

当个人或交易所通过 show_transfers 命令确认到账资金时，就会出现问题。 一种非常常见的攻击场景是，攻击者向交易所的充值地址发送多次重复交易。 如果交易所验证不严谨，没有检测到真实钱包收款余额，仅通过show_transfers确认用户充值，就会存在虚假充值漏洞，导致交易所充值的余额与实际收到的余额不符由交易所本身。 进行购买或取款。 更多福利：19plus.me

最近，关于交易所的假充值漏洞出现了很多。 显然，交易所与公链的对接并没有我们想象的那么完美。 门罗币问题披露后，进行了相关的追溯分析，供业界参考。

此前，有消息称瑞波币（XRP）存在虚假充值漏洞（类似于此前披露的USDT和以太币代币虚假充值漏洞），并发生了真实的攻击事件。 一旦攻击成功，后果将非常严重。 严肃的。 而这个漏洞在2014年就已经被披露了。

据发现 Monero 安全漏洞的研究人员称，Monero 存在一个漏洞，允许从数字货币交易所进行盗窃。 就严重性而言，该漏洞在 10 个可能中排名第 9。 Bug Bounty Hunter 在 Monero 钱包中发现了一个漏洞。 Jason Rhineland 在 HackerOne 上提交了一篇文章，他在其中披露了一个 Monero 业务逻辑问题。

按照当时的说法，修复了一个钱包余额显示错误，看似无伤大雅，但这个错误也延伸到了交易所：比如充值了1个XMR到交易所，重复发送TX pubkey，以及交易所将显示它已收到 2 XMR 存款usdt还有假的吗，然后允许攻击者从交易所的钱包中提取 2 XMR。 攻击者可以反复利用这一点来耗尽所有交易所的余额。

该漏洞允许网络罪犯伪造交易数据，以诱骗虚拟货币运营商的支持人员使用 XMR 手动从他们的用户帐户中扣款。 每增加一行代码都会增加帐户中显示的门罗币数量，迫使员工尊重任何手动处理交易的用户。 由于 Monero 的漏洞，Altex 交易所损失惨重。 基于 Monero 的硬币也容易受到同样的漏洞的影响，加密货币运营商 Altex 钱包中的 ARQ 硬币被黑客攻击就是证明。

漏洞分析

该问题于今年 6 月 11 日被用户发现，相关问题已提交至 Monero 的 GitHub 仓库。

该用户表示，当他执行show_transfers out命令时，客户端向他返回了错误的转账金额usdt还有假的吗，并表示很奇怪。

随后，门罗币官方团队于当天修复并发布了修复代码。

右边的代码是修复后的代码。 实际上，修复漏洞的关键代码就是红框标记的部分。 让我们仔细看看。

以上是最重要的修复代码，大致意思是判断当前交易的pubkey是否已经存在于之前的pubkey中，存在则跳过该交易。

如果不添加这段代码，会发生什么？

每笔交易的pubkey都是唯一的，所以如果两笔交易的pubkey相同，就说明这两笔交易是完全相同的重复交易，保留其中一笔交易后，其他的重复交易应该完全忽略。

攻击者可以向对方发送大量重复交易，这在门罗币中是允许的，因为最终的余额计算不会统计重复交易，重复交易将被忽略。 但是在修复bug之前，Monero客户端的show_transfers命令并没有跳过重复交易，所以每笔重复交易的转账金额也会被统计并最终输出。

也就是说，当有人或交易所通过show_transfers命令确认到账资金时，就会出现问题。 一种非常常见的攻击场景是，攻击者向交易所的充值地址发送多次重复交易。 如果交易所验证不严谨，没有检测到真实钱包余额。 如果仅通过show_transfers确认用户充值，就会存在虚假充值漏洞，导致交易所充值的余额与交易所实际收到的余额不符。 充值成功后，即可进行消费或提现。

提醒大家：

交易所使用 Monero 客户端 v0.12.3.0 或更高版本，而不是旧版本。 交易所加强了充值验证逻辑，比如钱包实际余额的验证。