安全专家表示,他们公布了众多加密交易所和金融机构使用的开源库中的一些漏洞——这些漏洞可能会被黑客利用,寻找进入用户钱包的途径。
在最近的黑帽网络安全会议上,专家们表示,一些影响交易所的问题现在已经得到修复--但声称其他问题仍然对其所有者构成威胁。
据Wired报道,加密交易所技术公司TaurusGroup的联合创始人、KudelskiSecurity的副总裁Jean-PhilippeAumasson指出,移动钱包制造商ZenGo联合创始人OmerShlomovits发现的漏洞分为三类攻击。
研究人员发现以太坊钱包Argent出现高危漏洞:网络安全公司OpenZeppelin研究人员发文称,发现以太坊钱包Argent上出现高危漏洞。漏洞可使攻击者接管用户钱包,特别是那些没有激活“守护”功能的用户。与此同时,文章称,Argent团队已经修复了这个漏洞,并已联系受影响的用户。(The Block )[2020/6/20]
第一类攻击要求黑客利用其中一家交易所的内部人员,利用一家领先交易所制作的开源库中的漏洞,研究人员选择不点名。
声音 | 以太坊2.0研究人员:以太坊2.0将使用SHA256:以太坊2.0研究人员Justin Drake今日在推特上表示,以太坊2.0将使用哈希算法SHA256,告别Keccak256,实现标准化以及与大多数现有和未来区块链的互操作性。开发团队将耐心等待在以太坊3.0上可行的STARK / SNARK / MPC友好型哈希函数。[2019/3/27]
通过利用该库刷新密钥机制中的一个漏洞,黑客可以操纵该过程来改变关键组件--同时让所有其他组件保持不变。因此,攻击者可以阻止交易所在自己的平台上访问加密货币。
CCN研究人员:比特币价格将在2018第二季度回升:CCN研究人员称,比特币价格将在2018第二季度回升,有以下三个原因:美国税收季即将结束;Coincheck将被Monex收购;从历史来看,3月会是比特币价格最好的交易月份之一。[2018/4/6]
研究人员在代码上线一周后,将该bug的存在告知了库开发者。但是,由于它是在一个开源库中发现的,所以其他交易所在运营中仍有可能使用它。
第二种情况是黑客利用密钥轮换过程中的缺陷。在这里,如果用户和交易所相互之间的所有声明的验证失败,可能会让流氓交易所在多次密钥刷新中提取其用户的私钥,夺取其加密资产的控制权。
同样,这个bug也是在一家大型管理公司开发的开源库中发现的,研究人员没有透露该公司的名字。
第三类攻击可能发生在受信任方最初推导出他们的密钥段,生成随机数,然后公开验证和测试,供以后使用。
研究人员发现,作为这个过程的一部分,加密交易所Binance开发的一个开源库中的协议未能检查这些随机数。
这个问题可能会让密钥生成程序中的流氓方利用未能提取其他方的密钥段。
Binance在3月份修复了这个错误,当时Binance呼吁用户升级到新版本的"tss-lib"库。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。