باگ در کیف های پول - کوین ایران
مهدی اسدی | 2020.08.10

باگ‌های خطرناک والت‌‌ها که هنگام معامله در صرافی شما را تهدید می‌کنند!

کارشناسان امنیتی گفته‌اند در بعضی از کتابخانه‌های اپن سورس که صرافی‌های کریپتو و موسسات مالی متعددی از آنها استفاده می‌کردند، باگ‌های امنیتی شناسایی کرده‌اند. باگ‌های خطرناک والت‌‌ها می‌تواند دستیابی و سوء استفاده هکرها از کیف ‌پول‌ کریپتو کاربران را ممکن سازند.

در کنفرانس امنیت سایبری اخیر بلک هَت، کارشناسان گفتند اکنون برخی از باگ‌هایی که صرافی‌ها در معرض آن هستند برطرف شده است، اما ادعا می‌کنند که تعداد دیگری از این باگ‌ها هنوز تهدیدی برای مالکان خود هستند.

ژان فیلیپ آوماسون، بنیانگذار شرکت فناوری رمزارز Taurus Group و قائم مقام در Kudelski Security، به آسیب‌پذیری‌هایی که توسط Omer Shlomovits، بنیانگذار کیف ‌پول‌ کریپتو ZenGo کشف شد، اشاره کرد و آنها را ذیل سه دسته طبقه‌بندی کرد:

دسته اول: در این حملات هکرها نیاز دارند که تا با کمک یکی از اعضای صرافی‌ بتوانند از نقاط آسیب‌پذیرِ کتابخانه اپن سورس ساخته شده توسط یک مبادله پیشرو سو استفاده کنند.
با استفاده از نقص در مکانیسم کتابخانه برای رفرش کردن کلیدها، هکرها می‌توانند در فرآیندتغییر مؤلفه‌های کلیدی مداخله کنند، در حالی که سایر اجزای دیگر دست نخورده باقی مانده‌اند. در نتیجه، مهاجمان می توانند از دسترسی صرافی به كریپتو بر روی پلتفرم خود جلوگیری كنند.

محققان یک هفته پس از پخش مستقیم کد به سازنده کتابخانه از وجود این نقایص اطلاع دادند. اما، از آنجا که این باگ‌ها در یک کتابخانه اپن سورس پیدا شده است، ممکن است صرافی‌های دیگر  هنوز هم در این کارهایشان از آن استفاده کنند.

دسته دوم: شامل هکرهایی است که از یک نقص در روند تغییر کلید سوءاستفاده می‌کنند. در اینجا، موفق نبودن اعتبار اظهارات کاربران و مبادلات، می‌تواند به یک صرافی متقلب اجازه دهد کلیدهای خصوصی کاربران خود را از خلال رفرش کردن چندباره کلید استخراج کند، و کنترل دارایی‌های آنها را به دست آورد. باز هم این اشکال در یک کتابخانه اپن سورس ایجادشده توسط یک شرکت بزرگ مدیریتی که نام آن توسط محققان افشا نشده است، پیدا شد.

بیشتر بخوانید: ||بهترین کیف پول Binance در سال 2019||

دسته سوم: این حملات ممکن است زمانی اتفاق بیفتد که طرفین مورد اعتماد بخش‌هایی از یک کلید بدست آورند: اعدادی تصادفی که در مرحله بعد به صورت عمومی تأیید و برای استفاده بعدی آزمایش می‌شوند.

محققان دریافته‌اند که به عنوان بخشی از این فرایند، پروتکل یک کتابخانه اپن سورس که توسط  Binance ساخته شده است، نتوانست از این اعداد تصادفی جلوگیری کند. البته Binance این مشکل را در ماه مارس برطرف کرد، هنگامی که از کاربران خود خواست تا نسخه‌ خود را به ورژن جدیدی از کتابخانه “tss-lib” ارتقا دهند.

 

Source