安全专家表示,他们公布了众多加密交易所和金融机构使用的开源库中的一些漏洞——这些漏洞可能会被黑客利用,寻找进入用户钱包的途径。
在最近的黑帽网络安全会议上,专家们表示,一些影响交易所的问题现在已经得到修复--但声称其他问题仍然对其所有者构成威胁。
据Wired报道,加密交易所技术公司TaurusGroup的联合创始人、KudelskiSecurity的副总裁Jean-PhilippeAumasson指出,移动钱包制造商ZenGo联合创始人OmerShlomovits发现的漏洞分为三类攻击。
纽约联储研究人员:稳定币不是支付的未来:2月8日消息,纽约联邦储备银行的研究人员在周一发表的论文中表示,稳定币不是支付的未来,代币化存款是更好的选择。研究人员分别来自加州大学圣巴巴拉分校经济学教授Rod Garratt,纽约联储研究和统计小组成员Michael Lee和Antoine Martin以及法律小组的Joseph Torregrossa。
他们认为,如果分布式账本技术(DLT)融入传统金融,稳定币就不是转移资金的最佳方式。报告写道:“稳定币与安全和流动资产捆绑意味着它们不能用于其他用途,例如帮助银行满足监管要求以保持足够的流动性。”
该论文认为,代币化存款是更好的支付方式,虽然需要制定一些实际细节,但它背后的原理很简单。银行存款人将能够将他们的存款转换为数字资产(代币化存款),这些资产可以在DLT平台上流通。这些代币化存款将代表对存款人商业银行的债权,就像普通存款一样。(CoinDesk)[2022/2/8 9:37:20]
第一类攻击要求黑客利用其中一家交易所的内部人员,利用一家领先交易所制作的开源库中的漏洞,研究人员选择不点名。
智能合约平台Fantom研究人员提出智能合约链下执行和测试解决方案:官方消息,智能合约平台Fantom的研究人员在Usenix2021年度技术会议中,展示了一种专注智能合约链下执行和测试的全新解决方案,其效率将高于现有的解决方案。目前,开发人员测试智能合约需要用三个方案:存档节点、全节点或测试网,其中每一种都可能受到扩展性、速度和存储的限制。为了解决这些问题,Fantom的研究人员提出了一个建立在交易「记录和重放」机制的链下测试环境,开发者就能重放交易,而不依赖于以前的交易和区块链的整个世界状态。在针对900万个区块样本集的测试中,「记录和重放」模型将所需的存储量减少了50%。[2021/7/21 1:07:13]
通过利用该库刷新密钥机制中的一个漏洞,黑客可以操纵该过程来改变关键组件--同时让所有其他组件保持不变。因此,攻击者可以阻止交易所在自己的平台上访问加密货币。
瑞士研究人员:比特币市值年内将缩水逾三分之一:两位瑞士研究人员表示,按照“梅特卡夫定律”,随着比特币新增活跃用户的增速放缓,这种加密货币的市值也将无法保持之前的增速。比特币的市值年底无法超过770亿美元。展望未来,比特币的价格遭到大幅高估,但并非史无前例,研究表明比特币将会经历许多个月的震荡。”此外,关于数字货币支持者坚持认为的,一旦监管态度明朗,比特币就会回升,甚至再创新高;以及比特币采用的底层区块链技术将像互联网一样改变世界的观点,学术人员表示,比特币价格的数学分析显示出一条可预测的路径。人们不应该关注瞬间且不可预测的触发因素本身,而应该关注这个泡沫市场越发不稳定的状态,并为调整做好准备。”[2018/4/3]
研究人员在代码上线一周后,将该bug的存在告知了库开发者。但是,由于它是在一个开源库中发现的,所以其他交易所在运营中仍有可能使用它。
第二种情况是黑客利用密钥轮换过程中的缺陷。在这里,如果用户和交易所相互之间的所有声明的验证失败,可能会让流氓交易所在多次密钥刷新中提取其用户的私钥,夺取其加密资产的控制权。
同样,这个bug也是在一家大型管理公司开发的开源库中发现的,研究人员没有透露该公司的名字。
第三类攻击可能发生在受信任方最初推导出他们的密钥段,生成随机数,然后公开验证和测试,供以后使用。
研究人员发现,作为这个过程的一部分,加密交易所Binance开发的一个开源库中的协议未能检查这些随机数。
这个问题可能会让密钥生成程序中的流氓方利用未能提取其他方的密钥段。
Binance在3月份修复了这个错误,当时Binance呼吁用户升级到新版本的"tss-lib"库。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。