NAN:研究人员发现漏洞，可能会暴露交易所的加密钱包_BINGDWENDWEN

安全专家表示，他们公布了众多加密交易所和金融机构使用的开源库中的一些漏洞——这些漏洞可能会被黑客利用，寻找进入用户钱包的途径。

在最近的黑帽网络安全会议上，专家们表示，一些影响交易所的问题现在已经得到修复--但声称其他问题仍然对其所有者构成威胁。

据Wired报道，加密交易所技术公司TaurusGroup的联合创始人、KudelskiSecurity的副总裁Jean-PhilippeAumasson指出，移动钱包制造商ZenGo联合创始人OmerShlomovits发现的漏洞分为三类攻击。

研究人员：Coinbase或存在严重的内幕交易问题:8月18日消息，澳大利亚悉尼科技大学的三名金融研究人员声称，在过去四年中，Coinbase平台上或存在内幕交易。在一篇尚未经过同行评审的论文中，EsterFelez Vinas教授、Talis Putnins教授和博士生Luke Johnson估计，在2018年9月至2022年5月之间，Coinbase平台上10-25%的上架Token都存在内幕交易问题，涉及资金达到150万美元。

研究人员检查了146个Coinbase上架加密货币，并追踪了这些加密货币在上架前300到100小时的价格，以寻找相关资产在去中心化交易平台(DEX)上的异常交易模式，结果发现在上市公告之前250小时左右，相关资产价格存在明显的上涨，涨势一直持续到上市公告发布。（Decrypt）[2022/8/18 12:32:33]

第一类攻击要求黑客利用其中一家交易所的内部人员，利用一家领先交易所制作的开源库中的漏洞，研究人员选择不点名。

门罗币研究人员质疑CipherTrace门罗币追踪工具有效性:对于CipherTrace声称开发出可追踪门罗币的工具一事，门罗币社区的许多人怀疑该工具是否像CipherTrace宣称的那样有效。门罗币研究人员Sarang Noether表示，在他看来，CipherTrace并没有提供“实质性的细节”来证明该工具的有效性或范围：“如果没有这些细节或证据，就不可能评估这个工具能做什么，或者它做得有多好。作为一名数学家和密码学家，我更喜欢把我的技术结论建立在数据上，而不是建立在新闻发布或未经证实的声明上。”

CipherTrace无法从基本钱包地址和交易数据中获取用户身份，那么就无法识别比特币用户。似乎该工具在很大程度上依赖于来自交易所和其他来源的链外数据。将个人数据与门罗币地址分开的用户可以获得合理的隐私。也就是说，政府和监管者可以自由使用此工具并得出自己的结论。而CipherTrace称这个工具已经在几次调查中使用过。

此前消息，CipherTrace声称已开发出可追踪门罗币交易的新工具。首席执行官Dave Jevans表示，此工具已开发了一年多，美国国土安全部将使用它来追踪门罗币交易，以支持犯罪调查。（Crypto Briefing）[2020/9/3]

通过利用该库刷新密钥机制中的一个漏洞，黑客可以操纵该过程来改变关键组件--同时让所有其他组件保持不变。因此，攻击者可以阻止交易所在自己的平台上访问加密货币。

松下宣布进行应届毕业生招聘 其中包括区块链研究人员:松下在3月16日宣布，它将开设“高科技人力资源课程”进行应届毕业生招聘。据悉，应征对象是具有博士学位的博士、博士后或具有同等知识和业绩的人才，其中包括对区块链应用解决方案开发具有专长的研究人员。（CryptoWatch）[2020/3/17]

研究人员在代码上线一周后，将该bug的存在告知了库开发者。但是，由于它是在一个开源库中发现的，所以其他交易所在运营中仍有可能使用它。

第二种情况是黑客利用密钥轮换过程中的缺陷。在这里，如果用户和交易所相互之间的所有声明的验证失败，可能会让流氓交易所在多次密钥刷新中提取其用户的私钥，夺取其加密资产的控制权。

同样，这个bug也是在一家大型管理公司开发的开源库中发现的，研究人员没有透露该公司的名字。

第三类攻击可能发生在受信任方最初推导出他们的密钥段，生成随机数，然后公开验证和测试，供以后使用。

研究人员发现，作为这个过程的一部分，加密交易所Binance开发的一个开源库中的协议未能检查这些随机数。

这个问题可能会让密钥生成程序中的流氓方利用未能提取其他方的密钥段。

Binance在3月份修复了这个错误，当时Binance呼吁用户升级到新版本的"tss-lib"库。

标签：NANANCBINbinanceToast.financeAncient WarriorBINGDWENDWENbinance-coin

FIL热门资讯