研究人员发现漏洞，可能会暴露交易所的加密钱包

安全专家表示，他们公布了众多加密交易所和金融机构使用的开源库中的一些漏洞——这些漏洞可能会被黑客利用，寻找进入用户钱包的途径。

在最近的黑帽网络安全会议上，专家们表示，一些影响交易所的问题现在已经得到修复--但声称其他问题仍然对其所有者构成威胁。

据Wired报道，加密交易所技术公司TaurusGroup的联合创始人、KudelskiSecurity的副总裁Jean-PhilippeAumasson指出，移动钱包制造商ZenGo联合创始人OmerShlomovits发现的漏洞分为三类攻击。

Wintermute研究人员：Jane Street钱包可能与UST depeg相关联:金色财经报道，Wintermute 研究人员Igor Igamberdiev在社交媒体上表示，与去年Terra depeg 相关的钱包可能属于贸易公司Jane Street。根据交易分析，2022年5月3日，Clearpool宣布Jane Street使用他们的许可贷款池从BlockTower借了2500万USDC。1.在Terra崩盘的两周内，这个地址收到1500万美元，并与另外的1000万美元一起偿还给贷款人，没有任何用途；2.在tonicdex投资了15万美金；3.再次借了2500万美元，并将其存入一个非常有趣的Coinbase钱包中。

在收到Jane Street的2500万美元之前，这个Coinbase钱包在互换之后，从UST depegger那里收到了8450万USDC。这个钱包除了上述两笔存款外，没有任何其他互动。因此，它们极有可能属于同一个实体。[2023/2/28 12:34:41]

第一类攻击要求黑客利用其中一家交易所的内部人员，利用一家领先交易所制作的开源库中的漏洞，研究人员选择不点名。

声音 | 研究人员：新的DLT协议可扩展、安全且没有共识:研究人员开发了一种新的分布式账本协议算法，记者称，该算法可以实现安全，而无需比特币(BTC)挖掘的高功耗。该算法名为“可伸缩的拜占庭式可靠广播”(Scalable Byzantine Reliable Broadcast)，在今年8月首次发表的一篇论文中概述了该算法，并于10月16日在匈牙利布达佩斯举行的分布式计算国际研讨会(DISC 2019)上发表。[2019/10/16]

通过利用该库刷新密钥机制中的一个漏洞，黑客可以操纵该过程来改变关键组件--同时让所有其他组件保持不变。因此，攻击者可以阻止交易所在自己的平台上访问加密货币。

美国国家标准和技术研究所的研究人员宣布 密码学中随机数的方面出现突破:美国国家标准和技术研究所的研究人员最近宣布，在密码学最重要的一个“随机数的产生”方面取得了突破。这种实验性的新技术可能会对网络安全产生巨大影响。在以电子方式运行现代世界的“1”和“0”的数字面纱后面，随机数字每天都要在加密过程中进行数千亿次的排序，这些过程通过不断扩大的互联网为全球提供数据。[2018/4/19]

研究人员在代码上线一周后，将该bug的存在告知了库开发者。但是，由于它是在一个开源库中发现的，所以其他交易所在运营中仍有可能使用它。

第二种情况是黑客利用密钥轮换过程中的缺陷。在这里，如果用户和交易所相互之间的所有声明的验证失败，可能会让流氓交易所在多次密钥刷新中提取其用户的私钥，夺取其加密资产的控制权。

同样，这个bug也是在一家大型管理公司开发的开源库中发现的，研究人员没有透露该公司的名字。

第三类攻击可能发生在受信任方最初推导出他们的密钥段，生成随机数，然后公开验证和测试，供以后使用。

研究人员发现，作为这个过程的一部分，加密交易所Binance开发的一个开源库中的协议未能检查这些随机数。

这个问题可能会让密钥生成程序中的流氓方利用未能提取其他方的密钥段。

Binance在3月份修复了这个错误，当时Binance呼吁用户升级到新版本的"tss-lib"库。

标签：TERTREESTREPEETERtreeswap币购买astr币价格今日行情FLOKIPEPE

AVAX热门资讯