Araştırmacılar, Kripto Cüzdanlarını Borsalarda Açığa Çıkarabilecek Hatalar Buldu
Güvenlik uzmanları, çok sayıda kripto borsası ve finans kurumu tarafından kullanılan açık kaynaklı kütüphanelerde, kullanıcıların cüzdanlarına girmek için bir yol arayan bilgisayar korsanları tarafından kullanılabilecek bir dizi güvenlik açığını ortaya çıkardıklarını söyledi.
Kısa süre önce yapılan Black Hat siber güvenlik konferansında uzmanlar, borsaları etkileyen bazı sorunların artık düzeltildiğini, ancak diğerlerinin hala sahipleri için tehdit oluşturduğunu iddia ettiler.
Kripto borsası teknolojisi firması Taurus Group‘un kurucu ortağı ve Kudelski Security Başkan Yardımcısı Jean-Philippe Aumasson, mobil cüzdan üreticisi ZenGo‘nun kurucu ortağı Omer Shlomovits tarafından, bildirilen Wired’in, üç saldırı kategorisinde keşfedilen güvenlik açıklarını not etti.
İlk saldırı türü, bilgisayar korsanlarının, araştırmacıların isim vermemeyi seçtiği önde gelen bir borsa tarafından yapılan bir açık kaynak kitaplığındaki bir güvenlik açığından yararlanmak için borsalardan birinde, içeriden birisini kullanmasını gerektirir.
Bilgisayar korsanları, anahtarları yenilemek için kitaplığın mekanizmasındaki bir kusuru kullanarak, diğer tüm bileşenleri olduğu gibi bırakırken, önemli bileşenleri değiştirmek için süreci manipüle edebilir. Sonuç olarak, saldırganlar borsanın kendi platformu üzerinden kriptoya erişmesini engelleyebilir.
Araştırmacılar, kod yayınlandıktan bir hafta sonra kütüphane geliştiricisine hatanın varlığını bildirdi. Ancak, açık kaynak kodlu bir kitaplıkta bulunduğu için, diğer borsaların hala işlemlerinde kullanıyor olması mümkündür.
İkinci senaryo, bilgisayar korsanlarının anahtar rotasyon sürecindeki bir kusurdan yararlanmasını içerir. Burada, kullanıcıların ve borsaların birbirlerine yaptıkları tüm ifadelerin doğrulanmasında ki bir başarısızlık, hileli bir borsaya, kullanıcıların kripto varlıklarının kontrolünü ele geçirerek birden fazla anahtar yenilemesinde, kullanıcılarının özel anahtarlarını çıkarmasına izin verebilir.
Yine, hata, adı araştırmacılar tarafından açıklanmayan büyük bir yönetim şirketi tarafından geliştirilen açık kaynaklı bir kütüphanede bulundu.
Üçüncü saldırı kategorisi, güvenilir taraflar bir anahtarın segmentlerini orijinal olarak türettiklerinde ve daha sonra kamuya açık olarak doğrulanan ve daha sonra kullanılmak üzere test edilen rastgele sayılar ürettiklerinde meydana gelebilir.
Araştırmacılar, bu sürecin bir parçası olarak, kripto borsası Binance tarafından geliştirilen bir açık kaynak kitaplığında ki bir protokolün, bu rastgele sayıları kontrol edemediğini buldular.
Bu sorun, anahtar oluşturma prosedüründeki sahtekar bir tarafın diğer tarafların anahtar segmentlerini çıkaramama durumundan yararlanmasına izin verebilir.
Binance Mart ayında, kullanıcılarını “tss-lib” kitaplığının yeni bir sürümüne yükseltmeye çağırdığında hatayı düzeltti.
___
Daha fazla bilgi edin:
How Bitcoin Critic Peter Schiff Launched Another ‘Proof of Keys’ Day
Discovered Vulnerability Made Ledger to Choose Between ‘Security and Usability’
‘A New Class of Attack’ In Crypto Is ‘Actively Exploited’ – Research
Seedless Wallets Want to Make Bitcoin More User Friendly
