Оффлайн
- Регистрация
- 21.07.20
- Сообщения
- 40.408
- Реакции
- 1
- Репутация
- 0
Директор по стратегическому планированию и развитию Taurus Жан-Филипп Омассон обнаружил, что популярный кошелек TronLink использует простую, но слабую форму шифрования.
CSO и сооснователь Taurus, швейцарской финтех-компании, специализирующейся на безопасной цифровой инфраструктуре для криптовалют и цифровых активов, выявил потенциальную уязвимость в кошельке TronLink, принадлежащем известному проекту Tron.
Ранее блокчейн-платформа Tron уже подвергалась критике за халатное отношение к вопросам безопасности. Так, в начале 2018 года в white paper проекта был обнаружен плагиат. На этот раз предполагаемая уязвимость находится в базовом коде кошелька TronLink, которая, по словам Омассона, осталась незамеченной:
Это лежащие на поверхности базовые недостатки, который обнаружит любой компетентный аудитор.
Мнемонический код представляет собой список из 12 слов, которые могут быть использованы для создания частного ключа, контролирующего доступ к криптовалюте. Омассон утверждает, что шифрование мнемонического кода TronLink очень слабое:
Судя по всему, официальный кошелек Tron использует шифрование AES-ECB для мнемонического кода.
Шифрование AES-ECB относится к коду, используемому для шифрования из 12 слов. Как поясняет Омассон, это плохой выбор, поскольку режим ECB на самом деле недостаточно защищает зашифрованные данные. Данный режим относится к каждому блоку данных по отдельности, и для гарантии безопасности между этими блоками должна быть определенная корреляция.
Режим ECB уже давно подвергается критике со стороны многочисленных исследователей в сфере безопасности. К примеру, компания NotSoSecure назвала этот тип шифрования самым простым и популярным и одновременно весьма слабым.
При таком режиме шифрования хакер может совершить локальную атаку, взломав собственное устройство пользователя и таким образом без особых усилий перевести криптовалюту Tron на свой адрес.
Омассон подчеркивает, что эта уязвимость не относится ко всем держателям Tron, а только лишь к пользователям данного кошелька.
Если верить исследователю, то пользователям Tron не помешает принять меры предосторожности и убедиться, что разработчики устранят проблему в следующем обновлении кошелька, обзавестись надежными паролями и подумать над альтернативными приложениями-кошельками.
The post Исследователь обнаружил уязвимость в кошельке TronLink appeared first on BeInCrypto.
CSO и сооснователь Taurus, швейцарской финтех-компании, специализирующейся на безопасной цифровой инфраструктуре для криптовалют и цифровых активов, выявил потенциальную уязвимость в кошельке TronLink, принадлежащем известному проекту Tron.
Это лежащие на поверхности базовые недостатки, который обнаружит любой компетентный аудитор.
Мнемонический код представляет собой список из 12 слов, которые могут быть использованы для создания частного ключа, контролирующего доступ к криптовалюте. Омассон утверждает, что шифрование мнемонического кода TronLink очень слабое:
Судя по всему, официальный кошелек Tron использует шифрование AES-ECB для мнемонического кода.
Шифрование AES-ECB относится к коду, используемому для шифрования из 12 слов. Как поясняет Омассон, это плохой выбор, поскольку режим ECB на самом деле недостаточно защищает зашифрованные данные. Данный режим относится к каждому блоку данных по отдельности, и для гарантии безопасности между этими блоками должна быть определенная корреляция.
Режим ECB уже давно подвергается критике со стороны многочисленных исследователей в сфере безопасности. К примеру, компания NotSoSecure назвала этот тип шифрования самым простым и популярным и одновременно весьма слабым.
При таком режиме шифрования хакер может совершить локальную атаку, взломав собственное устройство пользователя и таким образом без особых усилий перевести криптовалюту Tron на свой адрес.
Омассон подчеркивает, что эта уязвимость не относится ко всем держателям Tron, а только лишь к пользователям данного кошелька.
Если верить исследователю, то пользователям Tron не помешает принять меры предосторожности и убедиться, что разработчики устранят проблему в следующем обновлении кошелька, обзавестись надежными паролями и подумать над альтернативными приложениями-кошельками.
The post Исследователь обнаружил уязвимость в кошельке TronLink appeared first on BeInCrypto.