安全专家表示,他们公布了众多加密交易所和金融机构使用的开源库中的一些漏洞——这些漏洞可能会被黑客利用,寻找进入用户钱包的途径。
在最近的黑帽网络安全会议上,专家们表示,一些影响交易所的问题现在已经得到修复--但声称其他问题仍然对其所有者构成威胁。
据Wired报道,加密交易所技术公司TaurusGroup的联合创始人、KudelskiSecurity的副总裁Jean-PhilippeAumasson指出,移动钱包制造商ZenGo联合创始人OmerShlomovits发现的漏洞分为三类攻击。
DWF Labs从Bella Protocol接收的BEL已上涨27%:金色财经报道,据链上分析师余烬监测,DWF Labs从Bella Protocol:用户增长基金地址接收BEL时,BEL价格0.51美元。5 天后BEL价格到达0.65美元,上涨 27%。[2023/9/6 13:22:10]
第一类攻击要求黑客利用其中一家交易所的内部人员,利用一家领先交易所制作的开源库中的漏洞,研究人员选择不点名。
数据:0xa22地址9小时前从Cumberland收到25000ETH或为抄底:金色财经报道,据余烬监测,可能是鲸鱼/机构在通过Cumberland抄底,0xa22地址9小时前从Cumberland收到25000ETH(4154万美元),这些ETH源于Cumberland昨天从Coinbase、Binance提出。5个月前,在市场下跌后他以同样的方式收到27000ETH。目前持有52330ETH,成本1550美元。[2023/8/19 18:10:06]
通过利用该库刷新密钥机制中的一个漏洞,黑客可以操纵该过程来改变关键组件--同时让所有其他组件保持不变。因此,攻击者可以阻止交易所在自己的平台上访问加密货币。
一巨鲸购买66.5947万枚ARB 买入均价为1.39美元:金色财经报道,据Lookonchain监测,一鲸鱼曾用300个ETH(约49.8万美元)买入12,445枚GMX((目前价值约92.7万美元),GMX价格为40美元。
然后用12,445枚GMX买入665,947枚ARB,买入均价为1.39美元。[2023/3/26 13:26:51]
研究人员在代码上线一周后,将该bug的存在告知了库开发者。但是,由于它是在一个开源库中发现的,所以其他交易所在运营中仍有可能使用它。
第二种情况是黑客利用密钥轮换过程中的缺陷。在这里,如果用户和交易所相互之间的所有声明的验证失败,可能会让流氓交易所在多次密钥刷新中提取其用户的私钥,夺取其加密资产的控制权。
同样,这个bug也是在一家大型管理公司开发的开源库中发现的,研究人员没有透露该公司的名字。
第三类攻击可能发生在受信任方最初推导出他们的密钥段,生成随机数,然后公开验证和测试,供以后使用。
研究人员发现,作为这个过程的一部分,加密交易所Binance开发的一个开源库中的协议未能检查这些随机数。
这个问题可能会让密钥生成程序中的流氓方利用未能提取其他方的密钥段。
Binance在3月份修复了这个错误,当时Binance呼吁用户升级到新版本的"tss-lib"库。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。