4 апреля появились сообщения об атаке на блокчейн криптовалюты Verge (XVG) со стороны майнеров-злоумышленников. Первым человеком, кто заметил проблему, был Ocminer – известный криптоэнтузиаст, владелец майнингового пула Supernova и уважаемый член форума Bitcointalk.
Злоумышленники используют особенность протокола Verge, заключающуюся в том, что майнинг криптовалюты SVG подразумевает попеременное нахождение значений хэш-функций по трём алгоритмам – Scrypt, x17, lyra. , потом снова Scrypt, x17, lyra, и.т.д. Хакерам удалось найти уязвимость в коде, позволяющую менять timestamp блока.
Это работает следующим образом: злоумышленник майнит блок, присваивая ему ложный timestamp (отстающий от текущего времени на час). Таким образом, система Verge получит ложную информацию о том, что последний блок, найденный с использованием данного алгоритма, был добавлен в блокчейн час назад. Следующий найденный блок будет помечен корректно и добавляется в главную цепочку. Данная уязвимость позволяет злонамеренному пулу майнить 1 блок в секунду.
В данной ситуации интерес представляет и реакция команды Verge, сначала отрицавших наличие проблемы, а позднее занижавших суммы, полученные атаковавшими сеть майнерами в качестве добычи.
Ocminer выяснил, что при помощи этой уязвимости хакеру удалось заработать около 20,000,000 XVG, что составляет около 0,14% общей эмиссии валюты в обращении. Команда Verge объявила, что не будет возвращать средства при помощи хардфорка. Приводим самые интересные выдержки из IRC-переписки майнера и разработчика XVG.
[16:13:08] <vergeDEV> we dont do rollbacks.
[16:13:16] <vergeDEV> we roll forward
[16:14:25] <vergeDEV> i already talked to bittrex and binance, theyre updated
[16:19:11] <vergeDEV> i said the attack wasnt as bad
[16:19:14] <ocminer> [16:18:30] <vergeDEV> yeah it wasnt that bad until ocminer posted it on bitcointalk, and then everyone and their mother joined in.
[16:19:15] <vergeDEV> it was worse after
[16:26:22] <ocminer> listen.. kid... you have a absolutely trashy shitcoin pumped in heaven through that tweet from john mcafee back in that day.. you probably made a lof of money by that idiot tweeting xvg to the moon.. you should have used the chance and invested some of that money and invest it into a decent dev team, as seriously, and everyone knows that, you have not the slightest idea of coding whatsoever... If you've had done that, you could have patched your
[16:26:22] <ocminer> super-old codebase already to a super-recent codebase like myriad or digibyte and wallets would't have memory leaks all over, wouldn't take >30 mins until they startup and also those two drama's with the earlier tor hardforks wouldn't have happen. I'm not the guy who "keeps bullshit silent" - when I see something is happening, I report it - immediately and from my POV your users/miners have been betrayed by over 20 M coins which were injected
[16:26:22] <ocminer> maliciously into the blockchain... This is not a kiddo script hack and my post didn't change anyhting but just revealing what is happening at the moment (as you didn't notice yourself until I came into your hostile discord) and it's not a bad thing to post that publicly. You know see me as your enemy or whatever - I don't care, if you want to continue with your coin, go ahead, surely without me, but this should be your utmost last warning - think
[16:26:22] <ocminer> about yourself, think about how you make decisions and maybe come down a bit from your emperor throne and get help from professionals if you can't handle it alone... You'll see what happens after your HF - nothing, guaranteed, because you don't fix the root cause of this.
[16:26:27] vergeDEV (~sunerok@unaffiliated/sunerok) left IRC (Ping timeout: 240 seconds)