фото показано с : profitgid.ru

Эксперты по безопасности заявили о выявлении ряда уязвимостей в библиотеках с открытым исходным кодом, которые используются большим числом криптобирж и финансовых учреждений. Специалисты отмечают, что эти недочеты могут использовать в своих целях хакеры в поисках доступа к кошелькам пользователей.

На прошлой неделе прошла конференция по кибербезопасности Black Hat. На ней эксперты отметили, что некоторые из проблем, которые влияли на работу бирж, уже исправлены. Однако при этом они сообщили, что остался ряд других вопросов, которые все еще представляют угрозу для владельцев платформ и их пользователей, пишет Cryptonews.

Соучредитель компании Taurus Group и вице-президент Kudelski Security Жан-Филипп Омассон, разделил уязвимости, обнаруженные соучредителем ZenGo Омером Шломовицем, на 3 категории атак, сообщает Wired.

Первый тип атаки требует, чтобы хакеры использовали инсайдера на одной из бирж для эксплуатации уязвимости в библиотеке с открытым исходным кодом, созданной ведущей биржей (специалисты решили ее не называть).

Применяя недостаток в механизме обновления библиотечных ключей, хакеры могут манипулировать процессом для изменения основных компонентов – оставляя все остальные компоненты нетронутыми. В итоге преступники могут навсегда помешать бирже получить доступ к ее же активам.

Исследователи уведомили разработчика о существовании ошибки примерно через 7 дней после запуска кода. Но, поскольку он был найден в библиотеке с открытым исходным кодом, возможно, что другие биржи все же успели использовать его в своих операциях.

Второй сценарий предполагает использование хакерами ошибки в процессе ротации ключей. Здесь сбой в проверке всех утверждений, которые пользователи и биржи делают друг другу, может позволить мошеннической бирже извлекать закрытые ключи своих пользователей через несколько обновлений ключей, захватывая контроль над их криптоактивами.

Опять же, ошибка была обнаружена в библиотеке с открытым исходным кодом, разработанной крупной управляющей фирмой, название которой не было раскрыто исследователями.

Третья категория атак может произойти, когда доверенные стороны изначально получают свои сегменты ключа, генерируя случайные числа, которые затем публично проверяются и тестируются для последующего использования.

Исследователи выяснили, что в рамках этого процесса протокол в библиотеке с открытым исходным кодом, разработанный криптобиржей Binance, не смог проверить эти случайные числа.

Эта проблема может позволить преступнику в процедуре генерации ключа извлечь выгоду из невозможности извлечь сегменты ключа других сторон.

Binance исправил ошибку в марте, когда призвал своих пользователей перейти на новую версию библиотеки “tss-lib”.

Сообщение Исследователи нашли ошибки, которые могут подвергнуть опасности кошельки на криптобиржах появились сначала на ПрофитГид: рейтинг ICO, блокчейн, биржи и курсы криптовалют.

Аналог Notcoin - TapSwap Получай Бесплатные Монеты

источник »

124 +