Были найдены ошибки, которые могут поставить под удар крипто-кошельки

Эксперты по безопасности заявили, что они выявили ряд уязвимостей в библиотеках с открытым исходным кодом, используемых многочисленными криптовалютными биржами и финансовыми учреждениями, что может подсобить хакерам, ищущими доступ к кошелькам пользователей.

На недавней конференции по кибербезопасности Black Hat эксперты заявили, что некоторые проблемы, которые затронули биржи, теперь исправлены, но заявили, что другие по-прежнему представляют угрозу для их владельцев.

Жан-Филипп Аумассон, соучредитель фирмы по технологиям обмена криптовалютой Taurus Group и вице-президент Kudelski Security, обратил внимание на уязвимости, которые были обнаружены Омером Шломовицем, соучредитель производителя мобильных кошельков ZenGo, и разделил их на три категории атак., рассказал Wired.

Первый тип атаки заключается в том, чтобы хакеры использовали инсайдера на одной из бирж для эксплуатации уязвимости в библиотеке с открытым исходным кодом, созданной ведущей биржей, которую исследователи решили не называть.

Используя недостаток в механизме обновления ключей библиотеки, хакеры могут манипулировать процессом для изменения ключевых компонентов, оставляя все остальные компоненты нетронутыми. В результате злоумышленники могут помешать бирже получить доступ к криптовалюте на ее собственной платформе.

Исследователи сообщили разработчику библиотеки о существовании ошибки через неделю после запуска кода. Но, поскольку он был найден в библиотеке с открытым исходным кодом, возможно, что другие биржи все еще могут использовать его в своих операциях.

Второй сценарий атаки предполагает использование хакерами недостатка в процессе ротации ключей. Здесь ошибка при проверке всех заявлений, которые пользователи и биржи составляют, может позволить мошеннической бирже извлечь закрытые ключи своих пользователей после нескольких обновлений ключей, захватив контроль над крипто-активами.

Опять же, ошибка была обнаружена в библиотеке с открытым исходным кодом, разработанной крупной управляющей фирмой, имя которой исследователи не раскрывают.

Третья категория атак может произойти, когда доверенные стороны изначально получают свои сегменты ключа, генерируя случайные числа, которые затем публично проверяют и тестируют их для дальнейшего использования.

Исследователи обнаружили, что в рамках этого процесса протокол в библиотеке с открытым исходным кодом, разработанный криптобиржей Binance, не смог проверить эти случайные числа.

Эта проблема может позволить злоумышленнику в процедуре генерации ключа извлечь выгоду из невозможности извлечь сегменты ключа других сторон.
Binance исправил ошибку в марте, призвав своих пользователей перейти на новую версию библиотеки «tss-lib».
___

Узнать больше:
How Bitcoin Critic Peter Schiff Launched Another ‘Proof of Keys’ Day
Discovered Vulnerability Made Ledger to Choose Between ‘Security and Usability’
‘A New Class of Attack’ In Crypto Is ‘Actively Exploited’ – Research
Seedless Wallets Want to Make Bitcoin More User Friendly