取引所の暗号資産ウォレットを危険にさらすバグ、研究者が発見

35752909_s.jpg

 セキュリティ専門家は多くの暗号資産(仮想通貨)取引所や金融機関で使用されているオープンソースライブラリで数多くの脆弱性を発見したと話している。利用者のウォレットへの侵入方法を探しているハッカーに利用される可能性がある。

 最近のブラックハット・サイバーセキュリティ会議で、取引所に影響を与える問題のいくつかは解決したが、まだ所有者に脅威を与える問題が残っていると専門家は主張した。

 暗号資産取引所テクノロジー企業タウラスグループの共同設立者でクデルスキー・セキュリティの副社長ジョン・フィリップ・オマスン氏は、ウォレット開発企業ゼンゴーの共同設立者オマール・スロモヴィッツ氏が発見した脆弱性を攻撃の3分類として記録したとワイアードは報道した。

 第1の攻撃では、ハッカーは取引所のひとつの内部関係者を利用する必要がある。研究者は名前を挙げなかったが、主導的取引所が開発したオープンソースライブラリの脆弱性が利用される。

 鍵をリフレッシュするためのライブラリ構造の欠陥を使用し、ハッカーは他のコンポーネントはそのままにし、鍵のコンポーネントを変更する過程を操作する。結果として、ハッカーは取引所を自身のプラットフォームにアクセスできなくする。

 研究者はコードが公開された1週間後にライブラリ開発者にバグの存在を知らせた。しかし、オープンソースライブラリで発見されたため、いまだ他の取引所が運営に使用している可能性がある。

 第2のシナリオはハッカーが鍵の交換過程で欠陥を利用することだ。利用者と取引所がお互いに行う認証に失敗することで、詐欺のやり取りを可能にし、利用者の鍵を引き出すために複数回の鍵のリフレッシュをし、利用者の暗号資産を奪い取る。

 研究者は名前を開示しなかったが、再度バグは主要な管理会社が開発したオープンソースライブラリで発見された。

 第3の攻撃は信頼できる機関が鍵の一部を引き出し、無作為の数字を生成し、公に認証し、後の使用のために確認されるときに起こる可能性がある。

 暗号資産取引所バイナンスが開発したオープンソースライブラリのプロトコルのこの過程の一部で、バイナンスはこの無作為の数字を確認するのに失敗していることを研究者は発見した。
 
 この問題は、詐欺団体が他の団体の鍵の一部を引き出すために、鍵の生成過程でこの欠陥を利用することを可能にする。

 バイナンスは3月にこのバグを修正し、利用者に「tss―lib」ライブラリの新しいバージョンにアップグレードするよう呼び掛けた。

(イメージ写真提供:123RF)

https://cryptonews.com/news/researchers-find-bugs-that-could-expose-crypto-wallets-on-ex-7375.htm

This story originally appeared on cryptonews.com.

ランキングページ
ビットコイン詳細ページ
イーサ詳細ページ
XRP詳細ページ
ICOレーティングについて