❌ Критическая уязвимость в Monero – original
В Monero P2Pool нашли баг, из-за которого майнеры Monero могли работать не на себя, а на кошелек хакера.
10 июня – разработчик предупредил о критической уязвимости консенсуса во всех версиях P2Pool до 4.16 и анонсировал патч на 13 июня.
13 июня – вышла версия P2Pool v4.16 с исправлением. Майнерам необходимо было обновиться и перезапустить ноду.
15-16 июня – уязвимость начали активно эксплуатировать. Сначала под удар попали цепочки Mini и Nano, затем Main.
Суть атаки: злоумышленник мог взять одну найденную майнером долю участия в пуле, создать тысячи фейковых копий, забить ими окно выплат и забирать до 80-100% награды за блок.
Кошельки и уже полученные XMR не взломаны. Но майнеры, которые не обновились вовремя, теряли будущие выплаты – их хешрейт фактически работал на атакующего.