Директор по стратегическому планированию и развитию Taurus Жан-Филипп Омассон обнаружил, что популярный кошелек TronLink использует простую, но слабую форму шифрования.
CSO и сооснователь Taurus, швейцарской финтех-компании, специализирующейся на безопасной цифровой инфраструктуре для криптовалют и цифровых активов, выявил потенциальную уязвимость в кошельке TronLink, принадлежащем известному проекту Tron.
Ранее блокчейн-платформа Tron уже подвергалась критике за халатное отношение к вопросам безопасности. Так, в начале 2018 года в white paper проекта был обнаружен плагиат. На этот раз предполагаемая уязвимость находится в базовом коде кошелька TronLink, которая, по словам Омассона, осталась незамеченной:
Режим ECB уже давно подвергается критике со стороны многочисленных исследователей в сфере безопасности. К примеру, компания NotSoSecure назвала этот тип шифрования самым простым и популярным и одновременно весьма слабым.
При таком режиме шифрования хакер может совершить локальную атаку, взломав собственное устройство пользователя и таким образом без особых усилий перевести криптовалюту Tron на свой адрес.
Омассон подчеркивает, что эта уязвимость не относится ко всем держателям Tron, а только лишь к пользователям данного кошелька.
Если верить исследователю, то пользователям Tron не помешает принять меры предосторожности и убедиться, что разработчики устранят проблему в следующем обновлении кошелька, обзавестись надежными паролями и подумать над альтернативными приложениями-кошельками.
Ранее блокчейн-платформа Tron уже подвергалась критике за халатное отношение к вопросам безопасности. Так, в начале 2018 года в white paper проекта был обнаружен плагиат. На этот раз предполагаемая уязвимость находится в базовом коде кошелька TronLink, которая, по словам Омассона, осталась незамеченной:
Это лежащие на поверхности базовые недостатки, который обнаружит любой компетентный аудитор.Мнемонический код представляет собой список из 12 слов, которые могут быть использованы для создания частного ключа, контролирующего доступ к криптовалюте. Омассон утверждает, что шифрование мнемонического кода TronLink очень слабое:
Судя по всему, официальный кошелек Tron использует шифрование AES-ECB для мнемонического кода.Шифрование AES-ECB относится к коду, используемому для шифрования из 12 слов. Как поясняет Омассон, это плохой выбор, поскольку режим ECB на самом деле недостаточно защищает зашифрованные данные. Данный режим относится к каждому блоку данных по отдельности, и для гарантии безопасности между этими блоками должна быть определенная корреляция.
Режим ECB уже давно подвергается критике со стороны многочисленных исследователей в сфере безопасности. К примеру, компания NotSoSecure назвала этот тип шифрования самым простым и популярным и одновременно весьма слабым.
При таком режиме шифрования хакер может совершить локальную атаку, взломав собственное устройство пользователя и таким образом без особых усилий перевести криптовалюту Tron на свой адрес.
Омассон подчеркивает, что эта уязвимость не относится ко всем держателям Tron, а только лишь к пользователям данного кошелька.
Если верить исследователю, то пользователям Tron не помешает принять меры предосторожности и убедиться, что разработчики устранят проблему в следующем обновлении кошелька, обзавестись надежными паролями и подумать над альтернативными приложениями-кошельками.
Дисклеймер
Вся информация, содержащаяся на нашем вебсайте, публикуется на принципах добросовестности и объективности, а также исключительно с ознакомительной целью. Читатель самостоятельно несет полную ответственность за любые действия, совершаемые им на основании информации, полученной на нашем вебсайте.
Юлия Юдина
Переводчик и аналитик финансовых рынков с более чем десятилетним опытом работы в изданиях финансовой и криптовалютной направленности. Работала аналитиком, переводчиком и...
Переводчик и аналитик финансовых рынков с более чем десятилетним опытом работы в изданиях финансовой и криптовалютной направленности. Работала аналитиком, переводчиком и...
READ FULL BIO
Sponsored
Sponsored