کارشناسان امنیتی گفتهاند در بعضی از کتابخانههای اپن سورس که صرافیهای کریپتو و موسسات مالی متعددی از آنها استفاده میکردند، باگهای امنیتی شناسایی کردهاند. باگهای خطرناک والتها میتواند دستیابی و سوء استفاده هکرها از کیف پول کریپتو کاربران را ممکن سازند.
در کنفرانس امنیت سایبری اخیر بلک هَت، کارشناسان گفتند اکنون برخی از باگهایی که صرافیها در معرض آن هستند برطرف شده است، اما ادعا میکنند که تعداد دیگری از این باگها هنوز تهدیدی برای مالکان خود هستند.
ژان فیلیپ آوماسون، بنیانگذار شرکت فناوری رمزارز Taurus Group و قائم مقام در Kudelski Security، به آسیبپذیریهایی که توسط Omer Shlomovits، بنیانگذار کیف پول کریپتو ZenGo کشف شد، اشاره کرد و آنها را ذیل سه دسته طبقهبندی کرد:
دسته اول: در این حملات هکرها نیاز دارند که تا با کمک یکی از اعضای صرافی بتوانند از نقاط آسیبپذیرِ کتابخانه اپن سورس ساخته شده توسط یک مبادله پیشرو سو استفاده کنند.
با استفاده از نقص در مکانیسم کتابخانه برای رفرش کردن کلیدها، هکرها میتوانند در فرآیندتغییر مؤلفههای کلیدی مداخله کنند، در حالی که سایر اجزای دیگر دست نخورده باقی ماندهاند. در نتیجه، مهاجمان می توانند از دسترسی صرافی به کریپتو بر روی پلتفرم خود جلوگیری کنند.
محققان یک هفته پس از پخش مستقیم کد به سازنده کتابخانه از وجود این نقایص اطلاع دادند. اما، از آنجا که این باگها در یک کتابخانه اپن سورس پیدا شده است، ممکن است صرافیهای دیگر هنوز هم در این کارهایشان از آن استفاده کنند.
دسته دوم: شامل هکرهایی است که از یک نقص در روند تغییر کلید سوءاستفاده میکنند. در اینجا، موفق نبودن اعتبار اظهارات کاربران و مبادلات، میتواند به یک صرافی متقلب اجازه دهد کلیدهای خصوصی کاربران خود را از خلال رفرش کردن چندباره کلید استخراج کند، و کنترل داراییهای آنها را به دست آورد. باز هم این اشکال در یک کتابخانه اپن سورس ایجادشده توسط یک شرکت بزرگ مدیریتی که نام آن توسط محققان افشا نشده است، پیدا شد.
بیشتر بخوانید: ||بهترین کیف پول Binance در سال ۲۰۱۹||
دسته سوم: این حملات ممکن است زمانی اتفاق بیفتد که طرفین مورد اعتماد بخشهایی از یک کلید بدست آورند: اعدادی تصادفی که در مرحله بعد به صورت عمومی تأیید و برای استفاده بعدی آزمایش میشوند.
محققان دریافتهاند که به عنوان بخشی از این فرایند، پروتکل یک کتابخانه اپن سورس که توسط Binance ساخته شده است، نتوانست از این اعداد تصادفی جلوگیری کند. البته Binance این مشکل را در ماه مارس برطرف کرد، هنگامی که از کاربران خود خواست تا نسخه خود را به ورژن جدیدی از کتابخانه “tss-lib” ارتقا دهند.
