Gebruikers van de populaire digitale valuta Monero zijn gewaarschuwd voor een kwetsbaarheid in de portemonnee die wordt gebruikt om het geld te beheren. Via het beveiligingslek kan een aanvaller op afstand namelijk Monero van gebruikers stelen. Het bezoeken van een website is hiervoor voldoende.

Monero is een digitale valuta die zich richt op privacy, decentralisatie en schaalbaarheid. Het was deze maand na bitcoin de meest verhandelde digitale valuta. Onderzoekers van MWR Labs ontdekten in de Monero Simplewallet een cross site request forgery (csrf) kwetsbaarheid. Via csrf kan een aanvaller de browser van het slachtoffer ongewenste acties laten uitvoeren op de webapplicatie of website waar hij of zij is ingelogd.

In het geval van de Monero SimpleWallet blijkt die een rpc-webdienst te hosten die geen enkele authenticatie vereist voor het uitvoeren van betalingen. Door een gebruiker naar een kwaadaardige pagina te lokken kan de aanvaller, via de browser van de gebruiker, betalingen via zijn of haar wallet uitvoeren. Zo is het mogelijk om de digitale valuta naar zijn eigen wallet over te maken.

Op 6 september waarschuwde MWR Labs de ontwikkelaar voor de kwetsbaarheid. Die gaf aan met een hotfix te komen, die op 19 september verscheen. Deze patch bleek echter standaard niet te zijn ingeschakeld, waardoor gebruikers nog steeds kwetsbaar zijn. De ontwikkelaar stelt dat dit "by design" is om zo de productondersteuning niet te breken. Gebruikers moeten de patch dan ook handmatig inschakelen. Volgens de onderzoekers is een groot aantal wallets voor Monero kwetsbaar, aangezien ze allemaal Simplewallet in rpc-mode gebruiken.