محققان ادعا می کنند که Crypto Exchange Hacks به سه روش اتفاق می افتد

محققان گفتند ، هک شدن در مبادلات ارز دیجیتال  ، کتابخانه های open-source را هدف قرار می دهد و از  آنها استفاده می کند.

محققان کنفرانس امنیتی Black Hat فاش کردند که مبادلات ارزدیجتال ممکن است در برابر هکرها آسیب پذیر باشد. اگرچه طبق گفته های Wired در تاریخ ۹ اوت ، مبادلات ارزدیجتال از حریم خصوصی و امنیت بالایی برای محافظت از بودجه خود برخوردار هستند ، اما محققان هنوز هم معتقدند به سه روش هکرها می توانند به این صرافی ها حمله کنند .

 

در این گزارش ، روش مبادله ارزدیجیتال بیشتر شبیه به “یک گاوصندوق بانکی قدیمی با شش کلید بود که همگی باید همزمان بچرخند” وکلیدهای خصوصی Cryptocurrency به قطعات کوچکتر شکسته شدند. این بدان معنی است که یک مهاجم قبل از سرقت باید آن ها را با هم پیدا کند.

 

Aumasson ، مسئول امنیت شبکه ارزدیجیتال و Omer Shlomovits ، بنیانگذار شرکت مدیریت کلیدی KZen Networks این حملات را به سه دسته تقسیم کرد: یک حمله خودی ، یک حمله با سوء استفاده از رابطه بین صرافی و مشتری و استخراج بخشی از کلیدهای مخفی.

 

 

کار خودی ، نقص در کتابخانه open-source و تأیید شخص ثالث معتبر

در این گزارش آمده است: یک شخص خودی یا موسسه مالی دیگری که از یک کتابخانه open-source آسیب پذیر تولید شده توسط صرافی استفاده می کند ، اولین راهی است که هکرها می توانند به صرافی حمله کنند. او  توضیح داد:

 

وی افزود: “در كتابخانه آسیب پذیر ، ساز و كار بروزرسانی به یكی از دارندگان كلید اجازه میدهد تا بروزرسانی را انجام دهد و سپس فرایند را دستکاری كند تا بعضی از اجزای كلید تغییر دهند و برخی دیگر نیز در همین حالت باقی بمانند. در حالی که شما نمی توانید تکه های یک کلید قدیمی و جدید را با هم ادغام کنید ، یک مهاجم اساساً می تواند باعث خطا سرویس شود و بطور دائم بودجه مبادله را قفل می کند. ”

 

براساس این گزارش یک مهاجم همچنین می تواند از نقص کلید در نقص کتابخانه منبع باز در فرآیند چرخش کلید بهره ببرد. مهاجم سپس می تواند ارتباط  بین صرافی و مشتریان خود را با اعتبار سنجی غلط دستکاری کند. کسانی که انگیزه های مخرب دارند می توانند به آرامی کلیدهای خصوصی کاربران از  تبادلات آنها  تشخیص دهند و می تواند روند سرقت را آغاز کند.

 

آخرین راه که  محققان گفتند که حمله ممکن است رخ دهد وقتی شخص ثالث  مورد اعتماد تبادل ارزدیجیتال قسمت های اصلی خود را از کلید دریافت می کنند. بنا بر گزارش ها ، هر طرف برای تأیید عمومی چند عدد تصادفی تولید می کند. محققان خاطرنشان كردند كه به عنوان مثال Binance ، اين مقادير تصادفي را بررسي نمي كند و مجبور است مسئله را در ماه مارس برطرف كند. در این گزارش آمده است:

 

“یک سیستم ثالث  مخرب می تواند پیام هایی بسازد و برای هر کس دیگری ارسال کند که اساساً می تواند همه این مقادیر را انتخاب و اختصاص دهند ، به مهاجم اجازه می دهد که بعداً از این اطلاعات غیر معتبر استفاده کند تا بخشی از کلید مخفی را استخراج کند.”

 

Shlomovits و Aumasson به این خبر گفتند که هدف از این تحقیق توجه به این نکته است که انجام اشتباه در هنگام اجرای کلیدهای توزیع شده چند جانبه برای مبادلات cryptocurrency آسان است. به طور خاص ، این اشتباهات می توانند حتی در کتابخانه های منبع باز آسیب پذیرتر باشند.

 

همانطور که پیش از این Cointelegraph گزارش داده بود ، CryptoCore اقدام به پیگیری فیشینگ علیه چندین تبادل ارزدیجیتال کرد و موفق شد طی دو سال ۲۰۰ میلیون دلار به دست آورد.

منبع خبر: https://cointelegraph.com