Исследователи нашли уязвимости в кошельках криптобирж

Эксперты по безопасности заявили, что выявили ряд уязвимостей в библиотеках с открытым исходным кодом, используемых многочисленными криптовалютными биржами и финансовыми учреждениями. Они могут быть использованы хакерами для получения доступа к кошелькам пользователей.

Исследователи нашли уязвимости в кошельках криптобирж

На недавней конференции по кибербезопасности Black Hat было заявлено, что некоторые проблемы уже исправлены, но некоторые по-прежнему представляют угрозу для владельцев криптовалют.

Жан-Филипп Аумассон, соучредитель компании Taurus Group, занимающейся технологиями для криптобирж, разделил уязвимости, обнаруженные соучредителем производителя мобильных кошельков ZenGo Омером Шломовицем на три возможные категории атак.

Первый тип атаки предполагает привлечение хакерами инсайдера на одной из бирж для использования уязвимости в библиотеке с открытым исходным кодом, созданной ведущей биржей, название которой не раскрывается.

Используя недостаток в механизме обновления ключей библиотеки, хакеры могут манипулировать процессом для изменения ключевых компонентов, оставляя остальные элементы нетронутыми. В результате злоумышленники могут помешать бирже получить доступ к криптовалюте на её собственной платформе.

Исследователи сообщили разработчику библиотеки о существовании ошибки через неделю после запуска кода. Однако, поскольку уязвимость была найдена в библиотеке с открытым исходным кодом, возможно, другие биржи также могут использовать его в своих операциях.

Второй сценарий предполагает использование хакерами недоработок в процессе ротации ключей. В данном случае неудача при проверке всех запросов, которые пользователи и биржи отправляют друг другу, могут позволить мошенническим биржам извлечь приватные ключи своих пользователей после нескольких обновлений ключей и получить контроль над криптоактивами.

Опять же, ошибка была обнаружена в библиотеке с открытым исходным кодом, разработанной крупной компанией, название которой также не раскрывается.

Третья категория атак может произойти, когда доверенные стороны получают свои сегменты ключа, генерируя случайные числа, которые затем публично проверяются и тестируются для дальнейшего использования.