安全专家表示,他们公布了众多加密交易所和金融机构使用的开源库中的一些漏洞——这些漏洞可能会被黑客利用,寻找进入用户钱包的途径。
在最近的黑帽网络安全会议上,专家们表示,一些影响交易所的问题现在已经得到修复--但声称其他问题仍然对其所有者构成威胁。
据Wired报道,加密交易所技术公司TaurusGroup的联合创始人、KudelskiSecurity的副总裁Jean-PhilippeAumasson指出,移动钱包制造商ZenGo联合创始人OmerShlomovits发现的漏洞分为三类攻击。
研究人员:EIP-721标准内“setApprovalForAll”函数风险性极高:4月16日消息,在周杰伦NFT被盗之后,研究人员RomanZaikin、DiklaBarda和OdedVanunu开始调查NFT常用的EIP-721标准,结果发现欺诈者可以引诱用户点击恶意NFT的链接,然后通过该标准内一个名为setApprovalForAll的函数控制受害者账户,该函数可以授权任何人控制NFT,其设计初衷是为了让Rarible和OpenSea等第三方能够代表用户控制NFT。
一旦该函数完成授权,攻击者就可以通过使用合约上的transferFrom函数将受害者名下的所有NFT转移到自己的账户。研究人员表示,该功能在设计上非常危险,用户并不总是清楚他们通过签署交易给予了哪些权限。大多数时候,受害者认为这些仅为常规交易。(TheRegister)[2022/4/16 14:28:11]
第一类攻击要求黑客利用其中一家交易所的内部人员,利用一家领先交易所制作的开源库中的漏洞,研究人员选择不点名。
美国国会研究人员:立法者需考虑数字货币立法将如何影响美元:金色财经报道,美国国会研究服务局在其题为“美元作为世界主要储备货币”的报告中称,不断增长的加密货币空间的影响并没有引起任何与美元地位有关的重大担忧。报告承认,尽管“加密货币仍然是一个小而动荡的利基市场”,但中央银行数字货币(CBDC)正在兴起。报告指出,迄今为止,尚无证据表明美元已脱离主要储备货币。但是,国会不妨考虑一下包括制裁和数字货币在内的一系列政策领域的立法将如何影响美元。[2020/12/22 16:03:19]
通过利用该库刷新密钥机制中的一个漏洞,黑客可以操纵该过程来改变关键组件--同时让所有其他组件保持不变。因此,攻击者可以阻止交易所在自己的平台上访问加密货币。
动态 | MakerDAO修补相关安全漏洞 并奖励研究人员5万美元:据The Next Web今日消息,在以太坊上运行的去中心化组织MakerDAO披露了一个安全漏洞,该漏洞可允许攻击者仅通过一笔交易就盗取了为其Dai系统提供支持的所有抵押品。这个bug如果被利用,将导致所有持有Dai的用户资金完全遭受损失,并可能导致整个MakerDAO生态系统崩溃。不过据悉,该错误最初于8月29日提交审查。七天前,MakerDAO开发人员宣布已修补代码,并为研究人员奖励50,000美元。[2019/10/4]
研究人员在代码上线一周后,将该bug的存在告知了库开发者。但是,由于它是在一个开源库中发现的,所以其他交易所在运营中仍有可能使用它。
第二种情况是黑客利用密钥轮换过程中的缺陷。在这里,如果用户和交易所相互之间的所有声明的验证失败,可能会让流氓交易所在多次密钥刷新中提取其用户的私钥,夺取其加密资产的控制权。
同样,这个bug也是在一家大型管理公司开发的开源库中发现的,研究人员没有透露该公司的名字。
第三类攻击可能发生在受信任方最初推导出他们的密钥段,生成随机数,然后公开验证和测试,供以后使用。
研究人员发现,作为这个过程的一部分,加密交易所Binance开发的一个开源库中的协议未能检查这些随机数。
这个问题可能会让密钥生成程序中的流氓方利用未能提取其他方的密钥段。
Binance在3月份修复了这个错误,当时Binance呼吁用户升级到新版本的"tss-lib"库。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。