安全专家表示,他们公布了众多加密交易所和金融机构使用的开源库中的一些漏洞——这些漏洞可能会被黑客利用,寻找进入用户钱包的途径。
在最近的黑帽网络安全会议上,专家们表示,一些影响交易所的问题现在已经得到修复--但声称其他问题仍然对其所有者构成威胁。
据Wired报道,加密交易所技术公司TaurusGroup的联合创始人、KudelskiSecurity的副总裁Jean-PhilippeAumasson指出,移动钱包制造商ZenGo联合创始人OmerShlomovits发现的漏洞分为三类攻击。
安全研究人员披露Ledger签名安全漏洞 漏洞或导致用户资金被盗:安全研究人员Monokh撰文披露加密货币钱包Ledger硬件钱包存在的安全漏洞。Monokh指出,该漏洞可能导致用户资金被盗。Ledger会在除比特币之外的应用程序上公开比特币(主网)密钥和签名信息,会提供误导性的交易确认请求。以比特币和莱特币应用程序为例,漏洞攻击路径为:1.打开莱特币应用程序;2.获取比特币隔离见证地址;3.根据地址查看UTXOs;4.发起比特币交易并发送给Ledger设备要求签名;5.得到有效的已签名比特币交易信息。Ledger本应在上述第二、第四步骤中识别错误并对其进行阻止,但仍然提示用户进行交易。所有固件版本和App版本均受到此漏洞影响。Monokh建议Ledger在实时应用程序目录上禁用山寨币(Altcoin)应用程序,直至发布修补程序。根据漏洞披露进程表,2019年1月份,Monokh最初于2019年1月份向Ledger披露与隐私相关的安全漏洞,随后,Ledger更新了固件但未对应用程序进行更新,并表示在更新应用程序后将立即公开漏洞。2019年4月份,Monokh再次联系Ledger要求更新应用程序,但未得到反馈。今年5月份,Monokh将该漏洞的根本原因在签名功能方面,这可能会导致用户资金被盗。此后,Ledger称正在调查该漏洞。之后Monokh多次联系Ledger并要求披露漏洞并对其进行修复,但未得到回应,Ledger也没有修复或披露相关漏洞。[2020/8/5]
第一类攻击要求黑客利用其中一家交易所的内部人员,利用一家领先交易所制作的开源库中的漏洞,研究人员选择不点名。
松下宣布进行应届毕业生招聘 其中包括区块链研究人员:松下在3月16日宣布,它将开设“高科技人力资源课程”进行应届毕业生招聘。据悉,应征对象是具有博士学位的博士、博士后或具有同等知识和业绩的人才,其中包括对区块链应用解决方案开发具有专长的研究人员。(CryptoWatch)[2020/3/17]
通过利用该库刷新密钥机制中的一个漏洞,黑客可以操纵该过程来改变关键组件--同时让所有其他组件保持不变。因此,攻击者可以阻止交易所在自己的平台上访问加密货币。
动态 | 新勒索软件CryptoPokemon加密用户文件并索要比特币 Emsisoft研究人员已开发解密器:据SC Magazine消息,新勒索软件CryptoPokemon对用户文件进行加密,并要求大约104美元的比特币来解密文件。CryptoPokemon使用SHA256 + AES128对文件进行加密,并附带一个包含电子邮件地址和网站的注释。 Emsisoft研究人员敦促受害者不要支付赎金,他们发现了恶意软件源代码中的漏洞并创建一个免费的解密器。所有受害者必须首先从系统中删除恶意软件,否则它将反复锁定系统或加密文件,下载免费解密器工具,运行可执行文件,在询问时确认许可协议,单击便可开始解密文件。[2019/4/13]
研究人员在代码上线一周后,将该bug的存在告知了库开发者。但是,由于它是在一个开源库中发现的,所以其他交易所在运营中仍有可能使用它。
第二种情况是黑客利用密钥轮换过程中的缺陷。在这里,如果用户和交易所相互之间的所有声明的验证失败,可能会让流氓交易所在多次密钥刷新中提取其用户的私钥,夺取其加密资产的控制权。
同样,这个bug也是在一家大型管理公司开发的开源库中发现的,研究人员没有透露该公司的名字。
第三类攻击可能发生在受信任方最初推导出他们的密钥段,生成随机数,然后公开验证和测试,供以后使用。
研究人员发现,作为这个过程的一部分,加密交易所Binance开发的一个开源库中的协议未能检查这些随机数。
这个问题可能会让密钥生成程序中的流氓方利用未能提取其他方的密钥段。
Binance在3月份修复了这个错误,当时Binance呼吁用户升级到新版本的"tss-lib"库。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。