这个门罗币漏洞如何影响用户隐私

已通过该项目的官方 Twitter 句柄报告了 Monero 的“重大”诱饵选择错误。根据由软件开发人员贾斯汀·伯曼 (Justin Berman) 进行的调查，该漏洞在收到资金后的短时间内“可能会影响您的交易隐私”。

如果用户在共识规则允许的前 2 个区块中的锁定时间之后立即花费资金（收到资金后约 20 分钟），那么很有可能将输出识别为真实花费。

门罗研究实验室澄清说，面临暴露风险的数据与地址或交易金额有关，资金本身“永远不会有被盗的风险”。自该报告于大约 10 小时前发布以来，该漏洞一直存在于“官方钱包代码”中。

为了缓解该漏洞，用户可以在收到资金后等待 1 小时再花钱。开发人员目前正在开发钱包软件更新。这不需要通过硬分叉来实现。

门罗研究实验室和门罗开发者非常重视这个问题。当钱包修复可用时，我们将提供更新。

门罗币诱饵选择错误的潜在修复

在门罗项目的 GitHub 仓库上，Berman 对这个 bug 做了详细的解释。他透露，他的调查在发布之前由核心开发人员进行。他澄清说，影响软件钱包的诱饵选择机制“选择最近的输出作为诱饵的变化为 0”。

因此，为什么用户可以通过在一段时间后花费他们的资金来缓解错误。正如开发人员澄清的那样，该算法在门罗环中引入了 10 个“诱饵”，然后隐藏了真正的输出。选择机制几乎有 0 机会选择少于 100 个输出的诱饵，但仍然存在这种可能性：

仍然有机会选择具有输出索引的诱饵的事实