【加密交易所黑客攻】研究人员声称以三种方式发生加密交易所黑客攻击

《【加密交易所黑客攻】研究人员声称以三种方式发生加密交易所黑客攻击》

黑帽安全大会上的研究人员发现,加密交易可能容易受到黑客的攻击。根据《连线》(Wired)8月9 日的报道,尽管加密交易所具有很高的隐私权和安全性来保护自己的资金,但研究人员仍然发现了黑客攻击这些加密交易所的三种方式。

报告说,加密货币交换攻击的运作方式更像是“一个老式的银行保险库,必须同时打开六个密钥。” 加密货币私钥被分成较小的部分。这意味着攻击者必须先找到它们,然后再窃取资金。

密码学家Aumasson和密钥管理公司KZen Networks的联合创始人Omer Shlomovits将攻击分为三类:内部攻击,利用交易所和客户之间关系的攻击以及部分秘密密钥的提取。

内幕人士的工作,开源库漏洞和受信任方验证
报告称,内部人士或其他金融机构利用加密货币交易所产生的开源库中的漏洞是黑客攻击交易所的第一种方法。它解释说:

“在易受攻击的库中,刷新机制允许一个密钥持有者启动刷新,然后操纵该过程,因此密钥的某些组件实际上已更改,而其他组件则保持不变。虽然您无法合并旧密钥和新密钥的大部分,但攻击者实际上可能会导致拒绝服务,从而将交易所永久锁定在自有资金之外。”

攻击者还可以在密钥轮换过程中利用开源库漏洞中的另一个未命名的密钥管理。然后,攻击者可以使用错误的验证语句来操纵交易所及其客户之间的关系。那些具有恶意动机的用户可以通过多次刷新密钥来缓慢地从交换用户中找出私有密钥。该报告称,然后进行流氓交换就可以开始窃取过程。

研究人员说,可能发生攻击的最后一种方法是,当加密交换信任方派生他们的密钥部分时。据报道,各方为公众验证生成了几个随机数。研究人员指出,例如Binance并未检查这些随机值,而不得不在3月份解决此问题。该报告补充说:

“密钥生成中的恶意方可以向其他人发送特制的消息,这些消息实际上将选择并分配所有这些值,从而使攻击者以后可以使用此未经验证的信息来提取每个人的秘密密钥部分。”

Shlomovits和Aumasson告诉新闻,该研究的目的是要引起人们的注意,即在实现用于加密货币交换的多方分布式密钥时,容易犯错误。具体来说,这些错误在开放源代码库中甚至更容易受到攻击。

正如之前报道的那样,CryptoCore发起了针对多个加密货币交易所的网络钓鱼活动,并在两年内成功窃取了2亿美元。

↓↓↓
专注真诚分享,帮助新人跃迁。
QQ:334026,一起交流。微信公众号:
“今日币有约”,及时掌握我的一手分享

点赞

发表评论

邮箱地址不会被公开。 必填项已用*标注