開發者會議記錄 DevMeeting 20180909

    • 由於與表定分叉更新的時間已非常接近(約於20181018),因此下次的版號將直上V0.13.0.0而非原規劃的v0.12.4.0

    • 最新的PoW已更動為CryptoNightv2,需要一些會C++的開發者幫忙審查

    • Kovri 的程式碼已正式從GitHub移至Gitlab,而主要的Monero 程式碼尚未決定是否要移動

      • 很可能以Gitlab為主而Github作為鏡像備份

      • 也可能Monero就直接用Gitlab的軟體自行架站

      • 防彈協定(BulletProofs)與CryptoNightv2程式碼的合併並於testnet上運行預期會在9月10-11號開始

      • 下次開會時間為2018年9月16號

閱讀更多開發者會議記錄 DevMeeting 20180909

關於重複計數漏洞的事後檢討

這篇文章要來談重複計數(multiple counting)的漏洞,其包括了兩個變種。這篇文章的目標是對上述的漏洞提供完整的細節,解釋這是如何被用來攻擊線上服務、商家與交易所,並且 Monero (開發)社群是如何處理這個漏洞。

重複計數漏洞的兩個變種存在於子地址(subaddress)功能中,這功能用了個不同的交易金鑰程式碼架構。第一個漏洞的變種簡單來說就是沒有對重複的公鑰進行檢查,因此攻擊者可以重複將同份交易公鑰包含在交易中,這結果導致了接收者的錢包會回報收到了x倍於其真正收到的的交易數量(x是代表收到幾次交易金鑰的一個整數),所有用來回報收到交易的指令(如show_transfers (CLI), get_transfers (RPC))都被此漏洞影響。但是餘額並沒有受到影響,錢包依舊會回報正常的資金餘額。可惜的是,大多數的交易所都是利用 get_transfers 或 get_payments RPC指令在運作,因此重複的交易公鑰將會導致計算出錯誤的金額。

閱讀更多關於重複計數漏洞的事後檢討