Vědci na bezpečnostní konferenci Black Hat odhalili, že kryptoburzy mohou být zranitelné vůči hackerům. Přestože kryptoburzy poskytují vysoké soukromí a zabezpečení, aby chránily své prostředky, vědci přišli na to, že hackeři mohou zaútočit třemi způsoby.
Jako skládat puzzle
Útoky na kryptoburzy fungovaly spíše na principu “starobylého bankovního trezoru se šesti klíči, které se všechny musely otáčet současně”, uvádí zpráva. Soukromé klíče kryptoburz byly rozděleny na menší kousky. To znamená, že je útočník musel všechny najít, než ukradl finanční prostředky.
Aumasson, kryptograf, a Omer Shlomovits, spoluzakladatel mobilní peněženky ZenGo rozdělil útoky do tří kategorií: útok zasvěcených osob, útok využívající vztah mezi burzou a zákazníkem a extrakce částí tajných klíčů.
Úloha zasvěcených osob, nedostatky opensource knihoven a ověření důvěryhodných stran
Zasvěcenci nebo jiné finanční instituce využívající zranitelnost v opensource knihovně vytvořené pomocí kryptoburzy jsou prvními způsoby, jak mohou hackeři na burzu zaútočit. Vysvětluje, že:
“Ve zranitelné knihovně mechanismus aktualizace umožnil jednomu z držitelů klíčů iniciovat aktualizaci a poté manipulovat s procesem, takže některé součásti klíče se skutečně změnily a jiné zůstaly stejné. I když jste nemohli sloučit kousky starého a nového klíče, útočník by mohl v podstatě způsobit odmítnutí služby a permanentně blokovat burzu od vlastních zdrojů.”
Útočník by také mohl využít další nepojmenovanou správu klíčů z chyby opensource knihovny, a to v procesu rotace klíčů. Útočník pak může manipulovat se vztahem mezi burzou a jejími zákazníky pomocí nepravdivých prohlášení o ověření. Ti, kteří chtějí škodit, mohou pomalu zjišťovat soukromé klíče uživatelů burzy během aktualizace klíčů. Podle toho může pak burza zahájit proces krádeže.
Poslední způsob, jak vědci uvedli, že by útoky mohly nastat, je, když kryptoburza získá své části důvěryhodného klíče. Každá strana údajně generuje několik náhodných čísel pro veřejné ověření. Výzkumníci poukázali na to, že například kryptoburza Binance tyto náhodné hodnoty nekontrolovala a musela tento problém vyřešit v březnu. Zpráva dodala:
“Zlovolná strana by mohla při generaci klíčů posílat speciálně konstruované zprávy všem ostatním, kteří by si v zásadě vybrali a přiřadili všechny tyto hodnoty, což později útočníkovi umožní tuto neplatnou informaci použít k extrahování části každého tajného klíče.”
Shlomovits a Aumasson sdělili, že cílem výzkumu bylo upozornit na to, jak snadné je dělat chyby při implementaci distribuovaných klíčů pro více kryptoburz. Konkrétně mohou být tyto chyby v opensource knihovnách ještě zranitelnější.
Závěr
Bezpečnost je důležitá a tento výzkum jen dokazuje, jakou cestu ještě musíme ujít, aby obchodování bylo opravdu bezpečné jak pro uživatele, tak pro burzu.