JarosławAdamowski着
安全专家表示,他们已经揭露了众多加密货币交易所和金融机构使用的开源库中的许多漏洞,黑客可能会利用这些漏洞寻找进入用户钱包的途径。
在最近的黑帽网络安全会议上,专家表示,影响交易所的一些问题现已解决,但声称其他问题仍对其所有者构成威胁。
加密货币交换技术公司Taurus Group的联合创始人,Kudelski Security的副总裁Jean-Philippe Aumasson指出了由移动钱包制造商ZenGo的联合创始人Omer Shlomovits发现的漏洞,分为三类攻击,据《连线》报道。
第一种攻击类型要求黑客在其中一个交易所使用内部人员来利用由领先的交易所(研究人员选择不愿透露姓名)制作的开源库中的漏洞。
通过利用库中的密钥刷新机制中的漏洞,黑客可以操纵该过程来更改密钥组件,同时使所有其他组件保持不变。结果,攻击者可以阻止交换在其自己的平台上访问加密。
研究人员在代码上线一周后,通知图书馆开发人员该错误的存在。但是,由于它是在开放源代码库中找到的,因此其他交易所可能仍会在其操作中使用它。
第二种情况涉及黑客利用密钥轮换过程中的缺陷。在这里,如果用户和交易所之间所做的所有陈述均无法通过验证,则恶意交易所可以通过多次刷新来提取其用户的私钥,从而控制其加密资产。
同样,该漏洞是在一家大型管理公司开发的开放源代码库中发现的,该公司的名称并未被研究人员透露。
当受信方最初获取其密钥段,生成随机数,然后将其公开验证并测试以备后用时,可能会发生第三类攻击。
研究人员发现,作为此过程的一部分,由加密货币交易所Binance开发的开源库中的协议无法检查这些随机数。
此问题可能使密钥生成过程中的流氓一方可以利用未能提取其他方的密钥段的失败。
Binance于3月份修复了该错误,当时该漏洞要求用户升级到新版本的“ tss-lib”库。
___

本文由《中币(zb)研究院》翻译,www.zb.live/www.zb.com

App下载地址:www.zb.live/download/