I ricercatori trovano difetti nei protocolli di sicurezza sviluppati dai principali exchange Cripto

Secondo una nuova ricerca, gli exchange Criptovaluta che detengono fondi degli utenti hanno rischiato di cadere in numerose insidie ​​in termini di sicurezza non riuscendo a garantire la corretta implementazione dei protocolli di sicurezza.

• Parlando conCablato in un articolo di domenica, Jean-Philippe Aumasson, co-fondatore della società di sicurezza degli exchange Taurus Group, ha affermato che lui e il suo team, insieme a Omer Shlomovits del Maker di portafogli Cripto ZenGo, hanno scoperto tre vulnerabilità significative nel modo in cui alcuni exchange di custodia trattengono i fondi degli utenti.
• Mentre i portafogli Cripto privati ​​solitamente hanno ONE sola chiave privata per il detentore, gli exchange vanno oltre e suddividono le chiavi in ​​componenti diverse, uno schema a chiave distribuita, in modo che ONE entità abbia il controllo completo sul portafoglio principale.
• In genere, ciò migliora la sicurezza ma, come ha scoperto Taurus Group, i nuovi vettori di attacco derivano dalla suddivisione delle chiavi private, in parte perché si presumeva che i detentori delle chiavi, ovvero le entità responsabili di una parte della chiave, non sarebbero stati dannosi.
• Alcuni vettori derivano dalla funzione di aggiornamento che migliora la Privacy sostituendo i componenti chiave in modo che una terza parte T possa elaborare lentamente una chiave privata completa.
• In ONE esempio, tramite un software open source di un exchange che i ricercatori si sono rifiutati di identificare, un detentore di chiavi malintenzionato potrebbe modificare, o minacciare di modificare, parte del componente, in modo che l'intera chiave privata vada persa, impedendo all'exchange di accedere nuovamente ai fondi.
• Si può sostenere che la vulnerabilità più grande provenga da un protocollo di generazione di chiavi di Binance, in cui il detentore della chiave fingeva di essere il protocollo stesso, assegnando ad altri detentori della chiave i valori casuali di cui avevano bisogno per verificare la loro identità.
• Dotato di queste informazioni, un hacker potrebbe compromettere il sistema dal momento stesso in cui è stato creato, ottenendo così accesso al resto della chiave privata e prosciugando i fondi del portafoglio.
• Binance ha risolto il problema a marzo e ha affermato di consigliare agli utenti di eseguire la procedura di generazione delle chiavi solo se temono che ONE dei detentori possa essere malintenzionato.
• Sia Aumasson che Shlomovits hanno affermato che la ricerca ha evidenziato quanto fosse facile che le vulnerabilità si manifestassero in meccanismi apparentemente sicuri.

Vedi anche:La società Cripto hackerata per 1,4 milioni di dollari ammette che avrà difficoltà a rimborsare gli utenti