Des chercheurs découvrent des failles dans les protocoles de sécurité développés par les principaux échanges de Crypto

Selon une nouvelle étude, les échanges de Cryptomonnaie détenant des fonds d'utilisateurs risquent de tomber dans de nombreux pièges de sécurité en ne garantissant pas que les protocoles de sécurité sont correctement mis en œuvre.

• Parler àCâblé Dans un article publié dimanche, Jean-Philippe Aumasson, cofondateur de la société de sécurité d'échange Taurus Group, a déclaré que lui et son équipe, ainsi qu'Omer Shlomovits du Maker de portefeuilles Crypto ZenGo, avaient découvert trois vulnérabilités importantes dans la manière dont certaines bourses de dépôt détiennent les fonds des utilisateurs.
• Alors que les portefeuilles Crypto privés n'ont généralement qu'une ONE clé privée pour le titulaire, les échanges vont plus loin et divisent les clés en différents composants - un système de clés distribuées - de sorte ONE entité n'a le contrôle total du portefeuille principal.
• Cela améliore généralement la sécurité mais, comme l’a constaté le groupe Taurus, les nouveaux vecteurs d’attaque découlent de la division des clés privées en partie parce qu’ils supposent que les détenteurs de clés, les entités responsables d’une partie de la clé, ne seraient pas malveillants.
• Certains vecteurs proviennent de la fonction d'actualisation qui améliore la Politique de confidentialité en remplaçant les composants clés afin qu'un tiers ne puisse T élaborer lentement une clé privée complète.
• Dans un exemple, à partir d'un logiciel open source d'une bourse que les chercheurs ont refusé d'identifier, un détenteur de clé malveillant pourrait modifier, ou menacer de modifier, une partie du composant de sorte que la clé privée complète soit perdue, empêchant ainsi la bourse d'accéder à nouveau aux fonds.
• La plus grande vulnérabilité est sans doute venue d'un protocole de génération de clés de Binance où le détenteur de la clé prétendait être le protocole lui-même, attribuant à d'autres détenteurs de clés les valeurs aléatoires dont ils avaient besoin pour vérifier leur identité.
• Armé de ces informations, un pirate informatique pourrait compromettre le système dès sa configuration, lui donnant accès au reste de la clé privée et lui permettant de vider les fonds du portefeuille.
• Binance a résolu le problème en mars et a déclaré qu'il recommandait aux utilisateurs de suivre la procédure de génération de clés uniquement s'ils craignent que ONEun des détenteurs puisse être malveillant.
• Aumasson et Shlomovits ont tous deux déclaré que la recherche a mis en évidence à quel point il était facile pour les vulnérabilités d'apparaître dans des mécanismes apparemment sécurisés.

Voir aussi :Une société de Crypto monnaie piratée pour 1,4 million de dollars admet qu'elle aura du mal à rembourser ses utilisateurs