以隐私为中心的加密货币门罗币（Monero）的开发者已经修复了一个漏洞。一旦被攻击者发现这个漏洞，他们就可以从交易所（或者门罗钱包）直接窃取门罗。

加密货币交易所“死里逃生”

开发者已经向交易所分配软件补丁并修复了这个漏洞，随后还在官网上公布了这个消息。这个漏洞可能导致用户向同一个“Stealth address”（隐身地址能够隐藏一笔交易的实际收币地址以及发送方的身份）发送多笔交易，从而故意“burn”（销毁）门罗。接收方能够花费一个输出（一开始钱包会自动使用最大的输出），但后续交易中发送的资金将不能被花费，因为这些交易造成了密钥被重复使用的现象，可能会被网络视为双花攻击并且拒绝确认。

攻击者可能利用这个漏洞向同一个属于加密货币或相关商户的隐身地址发送一连串的交易。这个漏洞是在门罗的钱包软件中被发现的，而该软件并未检测到这个异常。因此，钱包很可能不会发现其中存在问题，而是接收这些交易。

这样一来，攻击者可以将全部资金换成其它加密货币，并提取到外部钱包中。不过，当交易所试图纳入这部分资金用于未来交易时，他们只能花费最大输出。尽管攻击者无法获得直接的物质利益，但他们可以付出极低的交易费用使交易所以及相关平台上的交易者损失大量资金。

一旦攻击者开始大规模部署这个漏洞，就会间接导致门罗有效供应量的减少，也就是可花费的门罗币数量减少。因此，从理论上来说，可以增加可花费的门罗币价值。

值得注意的是，很多人早就知道有这种攻击方式存在。然而，直到最近，门罗的reddit板块才开始讨论这个问题，这才引起开发者的注意。他们意识到这个漏洞可能会被作恶者利用，对加密货币交易所、商户以及相关机构造成不良影响。

这个漏洞被披露之后，并未对门罗币的价格造成较大影响。截至发稿时，门罗币的价格为114美元。

代码审核迫在眉睫

公开披露代码，私下向易受攻击的对象发送补丁，门罗币社区管理员dEBRUYNE承认，在这一过程中采用的方法并不理想，社区还没有找到一个更好地漏洞报告机制。

我（和其他人）私下尽可能地通知了交易所、服务商以及商户有关这个补丁可以被用到v0.12.3.0中的事。我想要重申，这不是最好的解决方式，因为这么做首先一定会遗漏很多我或者其他人无法联系上的但却对门罗生态至关重要的组织，其次，可能会有人认为其中存在对某些组织特别优待的情况。然而，改进漏洞报告流程的时间实在有限。

dEBRUYNE呼吁更多开发者参与门罗代码的审核，以防止类似事件再次发生。

本次事件再次印证了加密货币以及相关的软件依然处于发展初期，因此可能存在（重大）漏洞。

确实，就连比特币也不能例外。近期，比特币开发者也修复了一个漏洞。这个漏洞可能让恶意矿工创造新币，人为地增加比特币的总量。