video thumb

محققان ادعا می‌کنند که هک‌های صرافی ارز دیجیتال به سه روش رخ می‌دهد

گزارش های منتشر شده حاکی از آن است که محققان کنفرانس امنیتی بلک هات عنوان کرده اند که صرافی ارز دیجیتال ممکن است در برابر هکرها آسیب پذیر باشد. اگرچه طبق گفته های Wired، صرافی های ارز دیجیتال

در این گزارش، حملات صورت گرفته به صرافی های ارز دیجیتال بیشتر شبیه به “یک گاو صندوق بانکی قدیمی با شش کلید بود که همگی باید همزمان بچرخند.” کلیدهای خصوصی ارز دیجیتال به قطعات کوچکتری تبدیل شده اند. این بدان معنی است که یک مهاجم قبل از سرقت بودجه باید آنها را با هم پیدا کند.

Aumasson که یک رمزنگار است و Omer Shlomovits ، بنیان گذار شرکت مدیریت کلیدی KZen Networks این حملات را به سه دسته تقسیم کرد: یک حمله خودی، یک حمله با سوء استفاده از رابطه بین صرافی و مشتری و دیگری استخراج بخشی از کلیدهای مخفی.

در این گزارش آمده است: یک فرد خودی یا موسسه مالی دیگری که از آسیب پذیری در یک کتابخانه متن باز که توسط یک صرافی ارز دیجیتال تولید شده است، استفاده می کند، اولین راهی است که هکرها می توانند به صرافی حمله کنند. این توضیح داد:

“در کتابخانه آسیب پذیر، مکانیسم رفرش به یکی از دارندگان کلید اجازه داد تا فرآیند رفرش را انجام دهد و سپس فرایند را دستکاری کند تا بعضی از اجزای کلید در واقع تغییر کنند و برخی دیگر نیز در همین حالت باقی بمانند. در حالی که شما نمی توانید تکه های یک کلید قدیمی و جدید را با هم ادغام کنید، یک مهاجم اساساً می تواند باعث انکار سرویس شود و بطور دائم صرافی را از دستیابی به بودجه خود بازدارد. “

یک مهاجم همچنین می تواند یک مدیریت کلید بی نام دیگری را از طریق نقص کتابخانه متن باز در فرآیند چرخش کلید به دست آورد. مهاجم سپس می تواند رابطه بین صرافی و مشتریان خود را با بیانیه های اعتبار سنجی غلط دستکاری کند. کسانی که انگیزه های مخرب دارند می توانند به آرامی کلیدهای خصوصی را از کاربران صرافی تشخیص دهند. براساس این گزارش، صرافی می تواند روند سرقت را آغاز کند.

آخرین راه محققان عنوان کرده اند که حمله ممکن است رخ دهد زمانی است که طرفین مورد اعتماد صرافی ارز دیجیتال قسمت های اصلی خود را از کلید دریافت می کنند. بنا بر گزارش ها، هر طرف برای تأیید عمومی چند عدد تصادفی تولید می کند. محققان خاطرنشان کردند که به عنوان مثال بایننس، این مقادیر تصادفی را بررسی نمی کند و مجبور شد که این مسئله را در ماه مارس برطرف کند. در این گزارش آمده است:

“طرف مخرب می تواند برای همه افراد دیگر پیام های ساختگی ارسال کند که اساساً همه این مقادیر را انتخاب کنند و به مهاجم اجازه دهد که بعداً از این اطلاعات غیر معتبر استفاده کند تا بخشی از کلید مخفی هر فرد را استخراج کند.”

Shlomovits و Aumasson گفتند که هدف از این تحقیق توجه به این نکته است که انجام اشتباه در هنگام اجرای کلیدهای توزیع شده چند جانبه برای صرافی ارز دیجیتال آسان است. به طور خاص، این اشتباهات می توانند حتی در کتابخانه های متن باز نقض بیشتری ایجاد کنند.

همانطور که پیش از این کوین تلگراف گزارش داده بود، CryptoCore اقدام به فیشینگ علیه چندین صرافی ارز دیجیتال کرد و موفق شد طی دو سال ۲۰۰ میلیون دلار سرقت کند.