Исследователи назвали 3 сценария взлома бирж цифровых активов

Три подхода ко взлому бирж

По мнению специалистов, многие торговые криптоплатформы, несмотря на попытки усилить их безопасность, по-прежнему уязвимы ко взлому. Соучредитель компании-поставщика решений в сфере безопасности KZen Омер Шломовиц (Omer Shlomovits) и криптограф Жан-Филипп Аумассон (Jean-Philippe Aumasson) считают, что атаки злоумышленников на биржи цифровых активов можно распределить на три категории:

1. Внутренние.
2. На базе отношений пользователей и проекта.
3. С извлечением секретных ключей.

Внутренние атаки включают работу инсайдера. Способ подразумевает поиск лазеек. В том числе, мошенники проверяют возможность организовать доступ на базе данных о коде платформы. Злоумышленники могут привлекать к работе доверенных лиц, при помощи которых можно получить необходимые для взлома инструменты. Пример внутренней атаки – взлом через уязвимость библиотек проекта. Для этого мошенники используют механизм обновления. С его помощью хакеры могут изменить части ключа для отказа в обслуживании. Так владелец учетной записи может потерять доступ к своим средствам на бирже. Атака, в ходе которой мошенники используют отношения биржи и пользователей, подразумевает манипулирование. Например, хакеры могут отправить клиенту платформы запрос на подтверждение данных от лица биржи. Полученные сведения открывают злоумышленникам доступ к аккаунтам жертв. Третий вариант взлома можно реализовать в момент получения доверенными сторонами своих частей ключа доступа. Каждая партия – случайно сгенерированные числа, которые должны пройти публичную проверку. По данным исследователей, далеко не все торговые платформы обращают внимание на этот процесс. В результате мошенники могут подменять части ключей на другие значения, чтобы в итоге получить доступ к средствам жертвы. В качестве примера биржи, которая в течение продолжительного периода времени не проверяла значения, специалисты привели Binance. Разработчики проекта, по данным исследователей, должны были исправить недостаток в марте этого года. Узнайте больше о системе безопасности торговой платформы из нашего материала. Читайте также: Binance запускает еще два продукта для криптокредитования Напомним, осенью 2019 года в сети появились сообщения от представителей проектов, согласно которым команда Binance начала требовать с них деньги за «защиту от хакеров».