binance:研究人员发现漏洞，可能会暴露交易所的加密钱包_COMOS Finance

安全专家表示，他们公布了众多加密交易所和金融机构使用的开源库中的一些漏洞——这些漏洞可能会被黑客利用，寻找进入用户钱包的途径。

在最近的黑帽网络安全会议上，专家们表示，一些影响交易所的问题现在已经得到修复--但声称其他问题仍然对其所有者构成威胁。

据Wired报道，加密交易所技术公司TaurusGroup的联合创始人、KudelskiSecurity的副总裁Jean-PhilippeAumasson指出，移动钱包制造商ZenGo联合创始人OmerShlomovits发现的漏洞分为三类攻击。

安全研究人员：黑客通过使用恶意软件感染黑客工具进行攻击:Cybereason安全研究人员Amit Serper最近发现一种新的恶意软件活动，黑客组织通过感染流行的黑客工具，将其他黑客作为攻击目标。此类活动据称已持续一年，尽管它是最近才被发现。它似乎还瞄准了一些现有的黑客工具，其中许多是为了通过滥用产品密钥生成器等从各种数据库中过滤数据而设计的。据Serper报道，这些工具正受到强大的远程访问特洛伊木马的感染。一旦有人打开它们，黑客就可以完全访问目标黑客的设备。Serper补充说，黑客在自己的网络中寻找受害者，他们正积极地试图通过在各种黑客论坛上发布重新打包的工具来感染尽可能多的其他人。（U.Today）[2020/3/11]

第一类攻击要求黑客利用其中一家交易所的内部人员，利用一家领先交易所制作的开源库中的漏洞，研究人员选择不点名。

巴西研究人员：对ETC实施51%攻击成本最低5500万美元，而获利可高达10亿:圣保罗FECAP大学的Husam Abboud通过计算发现，可能仅需5500万美元就能对一个主要的加密货币网络实施51%攻击，获利可达10亿美元。以ETC为例，Abboud称，“保守估计，目前对以太坊经典实施51％攻击的成本在5500万至8500万美元之间。”原来的假设中，成功实施51%攻击非常昂贵，并且会导致被攻击的加密货币变得毫无价值。然而，随着在设备成本方面去除了进入门槛，并且做空加密货币也可以获得可观的利润，现在情况不同了。[2018/5/27]

通过利用该库刷新密钥机制中的一个漏洞，黑客可以操纵该过程来改变关键组件--同时让所有其他组件保持不变。因此，攻击者可以阻止交易所在自己的平台上访问加密货币。

加拿大政府研究人员与印度科技产业合作 探索区块链技术在政府和学术界的应用:加拿大政府支持的研究人员正计划与印度技术行业协会NASSCOM联合研究区块链方面的合作。他们称，希望创造一个用于研究创新技术的全球中心，从而提升“顶尖技术能力”。本次合作旨在探索区块链技术在政府和学术界的应用。目前，印度有土地登记，医疗保健和银行金融几个行业领域，可能因区块链技术带来革新。加拿大研究所创始人兼主席唐·塔普斯科特称：“与NASSCOM的联盟是培育印度区块链社区的好机会，坚信印度有潜力领导区块链革命。”[2018/2/22]

研究人员在代码上线一周后，将该bug的存在告知了库开发者。但是，由于它是在一个开源库中发现的，所以其他交易所在运营中仍有可能使用它。

第二种情况是黑客利用密钥轮换过程中的缺陷。在这里，如果用户和交易所相互之间的所有声明的验证失败，可能会让流氓交易所在多次密钥刷新中提取其用户的私钥，夺取其加密资产的控制权。

同样，这个bug也是在一家大型管理公司开发的开源库中发现的，研究人员没有透露该公司的名字。

第三类攻击可能发生在受信任方最初推导出他们的密钥段，生成随机数，然后公开验证和测试，供以后使用。

研究人员发现，作为这个过程的一部分，加密交易所Binance开发的一个开源库中的协议未能检查这些随机数。

这个问题可能会让密钥生成程序中的流氓方利用未能提取其他方的密钥段。

Binance在3月份修复了这个错误，当时Binance呼吁用户升级到新版本的"tss-lib"库。

标签：NCENANbinanceGROCOMOS FinanceMcBase.financeBinance Wrapped BTCGrowing.fi

加密货币热门资讯