安全专家表示,他们公布了众多加密交易所和金融机构使用的开源库中的一些漏洞——这些漏洞可能会被黑客利用,寻找进入用户钱包的途径。
在最近的黑帽网络安全会议上,专家们表示,一些影响交易所的问题现在已经得到修复--但声称其他问题仍然对其所有者构成威胁。
据Wired报道,加密交易所技术公司TaurusGroup的联合创始人、KudelskiSecurity的副总裁Jean-PhilippeAumasson指出,移动钱包制造商ZenGo联合创始人OmerShlomovits发现的漏洞分为三类攻击。
摩根士丹利:加密生态系统正变得越来越不去中心化:金色财经报道,摩根士丹利(Morgan Stanley)周三在一份研究报告中表示,加密生态系统正变得越来越不去中心化。
报告称,底层区块链本身可能是去中心化的,但随着加密货币监管的发展,需要在单个或少数云提供商上运行区块链的大部分,这成为一个潜在风险。报告补充说,以太坊65%的节点是云托管的,其中一半使用亚马逊网络服务(AWS)。如果某些服务提供商决定审查某些参与者或加密产品,或者服务器长时间停机,这可能会成为一个问题。该银行表示,这并不奇怪,因为“中心化是加密货币市场金融化的自然演变”,尽管它确实带来了新的挑战。(coindesk)[2022/10/12 10:32:32]
第一类攻击要求黑客利用其中一家交易所的内部人员,利用一家领先交易所制作的开源库中的漏洞,研究人员选择不点名。
观点:BTC交易者必须依赖数据,就像中央银行一样:金色财经报道,Kaiko研究人员在一份报告中写道,随着美联储准备加快缩减其9万亿美元的巨额资产负债表或在9月实施所谓的量化紧缩,波动性不太可能在未来几个月内消失。再加上利率上升和数据驱动的货币政策方法,这可能会给风险资产带来额外压力。
资产管理公司Arca的首席投资官Jeff Dorman称,我们现在就像美联储一样依赖数据,这意味着在未来几周内,交易员将评估企业收益报告以及就业和其他经济数据。比特币没有现金流,它没有起到对冲通胀的作用,也没有表现出不相关的作用,它没有做任何它本来要做的事情,所以在你获得比特币的新叙述之前,我认为它会继续落后于市场。[2022/9/1 13:01:23]
通过利用该库刷新密钥机制中的一个漏洞,黑客可以操纵该过程来改变关键组件--同时让所有其他组件保持不变。因此,攻击者可以阻止交易所在自己的平台上访问加密货币。
华沙研究人员准备推出以太坊闪电网络:近日,受比特币闪电网络的启发,一群来自华沙的研究人员发布了一份“基础渠道网络”的新白皮书,该白皮书概述了旨在帮助以太网规模支持更多更复杂的智能合约的协议。该项目还曾得到了以太坊创造者Vitalik Buterin的赞誉。[2018/4/19]
研究人员在代码上线一周后,将该bug的存在告知了库开发者。但是,由于它是在一个开源库中发现的,所以其他交易所在运营中仍有可能使用它。
第二种情况是黑客利用密钥轮换过程中的缺陷。在这里,如果用户和交易所相互之间的所有声明的验证失败,可能会让流氓交易所在多次密钥刷新中提取其用户的私钥,夺取其加密资产的控制权。
同样,这个bug也是在一家大型管理公司开发的开源库中发现的,研究人员没有透露该公司的名字。
第三类攻击可能发生在受信任方最初推导出他们的密钥段,生成随机数,然后公开验证和测试,供以后使用。
研究人员发现,作为这个过程的一部分,加密交易所Binance开发的一个开源库中的协议未能检查这些随机数。
这个问题可能会让密钥生成程序中的流氓方利用未能提取其他方的密钥段。
Binance在3月份修复了这个错误,当时Binance呼吁用户升级到新版本的"tss-lib"库。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。