Исследователи обнаружили уязвимости в протоколах безопасности, разработанных крупными Криптo биржами

Согласно новому исследованию, Криптовалюта биржи, на которых хранятся средства пользователей, рискуют столкнуться с многочисленными проблемами безопасности, поскольку не обеспечивают надлежащую реализацию протоколов безопасности.

• Говоря сПроводной В воскресной статье Жан-Филипп Омассон, соучредитель компании по обеспечению безопасности бирж Taurus Group, сообщил, что он и его команда, а также Омер Шломовиц из компании- Maker Криптo кошельков ZenGo, обнаружили три существенные уязвимости в способах хранения средств пользователей на некоторых кастодиальных биржах.
• В то время как частные Криптo обычно имеют только ONE закрытый ключ для держателя, биржи идут дальше и разделяют ключи на разные компоненты — схема распределенных ключей — так что ни ONE организация не имеет полного контроля над основным кошельком.
• В целом это повышает безопасность, но, как обнаружила Taurus Group, новые векторы атак возникли из-за разделения закрытых ключей отчасти потому, что они предполагали, что держатели ключей, субъекты, ответственные за часть ключа, не будут злонамеренными.
• Некоторые векторы исходят из функции обновления, которая повышает Политика конфиденциальности путем замены ключевых компонентов, чтобы третья сторона T могла медленно выработать полный закрытый ключ.
• В ONE из примеров, полученном с помощью программного обеспечения с открытым исходным кодом биржи, которую исследователи отказались назвать, злонамеренный владелец ключа мог изменить или угрожать изменить часть компонента, в результате чего весь закрытый ключ был бы утерян, что не позволило бы бирже снова получить доступ к средствам.
• Вероятно, самая большая уязвимость возникла из-за протокола генерации ключей Binance, где держатель ключа выдавал себя за сам протокол, присваивая другим держателям ключей случайные значения, необходимые для подтверждения их личности.
• Вооружившись этой информацией, хакер может взломать систему с момента ее настройки, получив доступ к остальной части закрытого ключа и получив возможность слить средства с кошелька.
• Binance устранила проблему в марте и заявила, что рекомендует пользователям проходить процедуру генерации ключей только в том случае, если они обеспокоены тем, что ONE из держателей может быть злоумышленником.
• И Аумассон, и Шломовиц заявили, что исследование показало, насколько легко уязвимости могут появиться в якобы безопасных механизмах.

Смотрите также:Криптo , взломанная на 1,4 млн долларов, признает, что ей будет трудно возместить убытки пользователям