Monero und gesperrte Zahlungen

2022-11-30

Wir verwenden für die Abwicklung von Zahlungen mit Monero und Bitcoin unsere eigene Instanz des BTCPay Servers.

Am 19. November 2022 hat uns eine Nachricht von Mochi101 erreicht, die uns über ein Problem für Empfänger von Monero-Transaktionen informierte, welches auch den BTCPay Server betrifft.

Am Beispiel eines Einkaufs auf unserer Seite digitalgoods.proxysto.re konnte er oder sie zeigen, dass eine Zahlung mit Monero empfangen (Block 2.759.573) und bestätigt (Block 2.759.583) wurde und im Anschluss die digitale Bestellung ausgeliefert wurde, obwohl das Guthaben erst in einem späteren Block (2.760.291) für uns verfügbar wurde. Absender konnten das Guthaben für Empfänger über Tage, Wochen oder gar Jahre sperren, indem sie die unlock_time entsprechend setzten.

Kukks hat diesen Fehler am 21. November mit einem Commit behoben, welcher mit Version 1.7.0 des BTCPay Server verteilt wurde.

Auch andere Dienste waren von dem Problem betroffen. Ein Anbieter hat dazu bereits einen Text auf Reddit veröffentlicht: [Warning] Incoming payments can confirmed but locked on protocol level forever

Wir haben inzwischen festgestellt, dass dieses Risiko schon länger bekannt ist und Nutzer diese Funktion aber auch für sich selbst nutzen.

Wir möchten Mochi101 an dieser Stelle für die Meldung und Kukks für die schnelle Lösung danken.

Wer sich bei Mochi101 erkenntlich zeigen möchte kann dafür nachfolgende Adressen von ihm oder ihr verwenden: