Forscher finden Fehler, die Wallets sichtbar machen
Sicherheitsexperten sagten, sie hätten eine Reihe von Schwachstellen in den Open-Source-Bibliotheken aufgedeckt, die von zahlreichen Krypto-Börsen und Finanzinstitutionen genutzt werden – die von Hackern ausgenutzt werden könnten, die nach einem Weg in die Wallets der Benutzer suchen.
Auf einer kürzlich abgehaltenen Black-Hat-Cybersicherheitskonferenz sagten die Experten, dass einige der Probleme, die die Börsen betrafen, inzwischen behoben wurden – behaupteten aber, dass andere nach wie vor eine Bedrohung für ihre Besitzer darstellen.
Jean-Philippe Aumasson, Mitbegründer der Krypto-Börsen-Technologiefirma Taurus Group und Vizepräsident bei Kudelski Security, wies auf die Schwachstellen hin, die von Omer Shlomovits, Mitbegründer des Herstellers mobiler Wallets ZenGo, in drei Kategorien von Angriffen entdeckt wurden, berichtet Wired.
Bei der ersten Art von Angriffen müssen Hacker einen Insider an einer der Börsen einsetzen, um eine Schwachstelle in einer Open-Source-Bibliothek auszunutzen, die von einer führenden Börse hergestellt wurde und die die Forscher nicht nennen wollten.
Durch Ausnutzung einer Schwachstelle im Mechanismus der Bibliothek zur Aktualisierung von Schlüsseln konnten Hacker den Prozess manipulieren, um Schlüsselkomponenten zu ändern – während alle anderen Komponenten intakt blieben. Infolgedessen konnten die Angreifer den Austausch daran hindern, auf die Kryptographie auf der eigenen Plattform zuzugreifen.
Die Forscher informierten den Bibliotheksentwickler über die Existenz des Fehlers eine Woche, nachdem der Code live geschaltet wurde. Da der Fehler jedoch in einer Open-Source-Bibliothek gefunden wurde, ist es möglich, dass andere Börsen ihn noch immer in ihren Operationen verwenden.
Das zweite Szenario beinhaltet Hacker, die einen Fehler im Schlüsselrotationsprozess ausnutzen. Hier könnte ein Fehlschlag bei der Validierung aller Aussagen, die Benutzer und Börsen untereinander machen, es einer betrügerischen Börse ermöglichen, die privaten Schlüssel ihrer Benutzer über mehrere Schlüsselaktualisierungen zu extrahieren und so die Kontrolle über ihre Kryptoguthaben zu erlangen.
Auch hier wurde der Fehler in einer Open-Source-Bibliothek gefunden, die von einer großen Verwaltungsfirma entwickelt wurde, deren Name von den Forschern nicht bekannt gegeben wurde.
Die dritte Kategorie von Angriffen könnte auftreten, wenn vertrauenswürdige Parteien ursprünglich ihre Segmente eines Schlüssels ableiten und Zufallszahlen erzeugen, die dann öffentlich überprüft und für die spätere Verwendung getestet werden.
Die Forscher fanden heraus, dass als Teil dieses Prozesses ein Protokoll in einer Open-Source-Bibliothek, die von der Kryptobörse Binance entwickelt wurde, diese Zufallszahlen nicht überprüfte.
Dieses Problem könnte es einer abtrünnigen Partei bei der Schlüsselgenerierung ermöglichen, aus dem Versäumnis, die Segmente des Schlüssels anderer Parteien zu extrahieren, Kapital zu schlagen.
Binance behob den Fehler im März, als es seine Benutzer aufforderte, auf eine neue Version der "tss-lib"-Bibliothek zu aktualisieren.
Sie finden de.CryptoNews auch auf Facebook und Twitter.
