هکرها با سه روش از صرافی ها سرقت می کنند

هکرها با سه روش از صرافی ها سرقت می کنند

محققین در کنفرانس امنیتی بلک‌هت درباره‌ی آسیب‌پذیر بودن صرافی‌های کریپتو در مقابل هکرها گفت‌وگو کردند. دو محقق این حملات را به سه‌ دسته‌ی اصلی تقسیم کرده‌اند: 1) حمله‌ی داخلی 2)نفوذ به رابطه‌ی صرافی و مشتری 3) به‌دست آوردن بخشی از کلیدهای خصوصی.

 کلیدهای خصوصی در صرافی‌های کریپتو به قسمت‌های مختلفی تقسیم می‌شوند. هکر برای دزدیدن دارایی‌ها باید ابتدا تمام این قسمت‌ها را پیدا کند. در حمله‌ی داخلی، یک کارمند داخلی یا مؤسسه‌ی مالی می‌تواند با پیدا کردن راه نفوذی در کتابخانه‌های متن‌باز صرافی، به صرافی حمله کند. مهاجم می‌تواند بخش‌هایی از کلید را به‌کمک این راه نفوذ تغییر دهد. در این صورت صرافی نمی‌تواند بخش‌های قدیمی کلید و بخش‌های تغییریافته را با هم ترکیب کند و در واقع دسترسی به دارایی‌هایش را از دست می‌دهد.

 یکی دیگر از روش‌های مرسوم استفاده از فرایند تغییر کلید است. مهاجم می‌تواند از رابطه‌ی صرافی و مشتری استفاده کرده و با استفاده از عبارات اعتبارسنجی نادرست به تدریج کلید خصوصی کاربر را حدس بزند. صرافی بدخواه در نهایت می‌تواند به این روش دارایی‌های کاربرانش را بدزدد.

 روش آخر زمانی اتفاق می‌افتد که صرافی از نهادهای مورداعتماد دیگر برای نگهداری بخش‌هایی از کلید استفاده می‌کند. هر نهاد بخشی از کلید را نگهداری می‌کند و برای اعتبارسنجی اعداد تصادفی تولید می‌کند. نهاد بدخواه می‌تواند پیغام‌هایی سازمان‌یافته را به نهادهای دیگر بفرستد و این مقادیر تصادفی را از سایر نهادها دریافت کند. سپس با استفاده از این مقادیر تصادفی، هر بخش از کلید خصوصی را از سایر نهادها دریافت کند.

 محققین عنوان کردند که اشتباهات رایج در پیاده‌سازی کلیدهای توزیع‌شده‌ی چند حزبی می‌توانند بسیار خطرناک باشند. برای نمونه صرافی بایننس مقادیر تصادفی دریافتی از سوی هر نهاد را بررسی نمی‌کرد و در مارس مجبور شد این مشکل را برطرف کند. به گفته‌ی محققین، احتمال حمله در کتابخانه‌های متن‌باز بیشتر نیز می‌شود.