已在证券交易所也使用的库中发现漏洞

安全研究人员在开放源代码库中发现了许多漏洞，可以供多个加密货币和金融机构使用。 这使黑客甚至可以访问用户的钱包。

尽管在最近的网络安全会议上，专家们解决了一些也影响到证券交易所的问题，但仍有一些问题对其用户构成了威胁。

该漏洞是由开发加密钱包的公司ZenGo的联合创始人Omer Shlomovits发现的。 《连线》报道说，根据攻击的形式，已经出现了三种类型的漏洞。

你需要一个内在的人

第一种是潜在的攻击，其中黑客可以利用领先的交易所通过内部人员在证券交易所上创建的开源目录中的漏洞。 研究人员出于明显的原因没有透露具体名称。

该库的漏洞在于密钥更新机制。 在分布式密钥生成（DKG）中，如果秘密密钥（或秘密密钥的一部分）始终保持不变，则没有好处。 这样做的原因是，随着时间的推移，攻击者可能会非常缓慢地解密它。

在受攻击的目录中，任何密钥生成方都可以以这样的方式启动更新，即它有机会通过更改密钥的某些元素并留下其他元素来操纵该过程。

最终结果是潜在的拒绝服务（DoS）攻击，因此从长远来看有机会锁定股票市场资产。

事情真是太幸运了，研究人员在代码最终发布一周后就发现了该错误，因此，任何股票市场都不太可能有时间使用该库。 但是，由于这是一个开放源代码文档，因此某些金融机构可能仍会在不了解此漏洞的情况下使用它。

客户端的私钥可以解密

在第二种情况下，黑客可以针对交易所与其客户端之间的关系。 在几次连续的密钥更新之后，恶意更改者可能能够解密客户的私钥，然后为自己分配存储在与该密钥关联的钱包中的资产。

但是，股票市场本身并不一定要有退缩意图。 黑客以某种方式成为领导者就足够了。

该目录由一家未命名的密钥管理公司开发。 尽管它没有在自己的产品中使用，但我们没有有关开源的其他用途的信息。

密钥生成者中的叛国者

当涉及密钥生成的机密各方首先获取其密钥份额时，第三种可能的攻击开始。 然后，每一方都必须生成一系列随机数，这些随机数将在随后的零知识证明期间（即，当各个关键所有者证明自己有权访问信息而不必显示其内容时）公开认证。

研究人员发现，由Binance开发的开源库中的协议没有检查这些随机值。 结果，恶意方能够在密钥生成过程中使用可能解密整个密钥的做法。

顺带一提，Binance早在3月就纠正了后者的漏洞，指出该漏洞仅在最初的密钥生成过程中存在。 这意味着以后，有问题的目录将不再具有隐藏的安全漏洞，除非在生成密钥时团队中已经存在老鼠。

研究人员指出，对于黑客而言，要进行此类攻击根本不是一件容易的事，因为要利用每个漏洞，都需要在证券交易所内发挥更高的作用。

他们的所有目标是引起人们的注意，即使在最重要的协议中也容易出错。 但是，密码术行业非常复杂，以至于不能轻视开发过程。

Borítókép：derekbruff的“ Enigma”已获得CC BY-NC 2.0的许可。

连接：

—-

原文链接：https://www.bitcoinbazis.hu/sebezhetosegeket-fedeztek-fel-tozsdek-altal-is-hasznalt-konyvtarakban/

原文作者：Winterbrn

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。