区块链 blockchain
您现在的位置:首页 > 区块链 > 黑帽安全大会研究人员声称以三种方式发生加密交易所黑客攻击

新闻

视频聊天聚会带来欢乐时光,生活在庇护的门后 视频聊天聚会带来欢乐时光,生活在庇护的门后

  人类确实是一群惊人的韧性。 尽管在佛罗里达海滩上举行聚会的偷偷摸摸的人肆意冒着将冠状病毒传...

  • “煤矿里的金丝雀”:西雅图营销技术初创公司Amplero...

      Amplero的前途一片光明。这家西雅图营销技术初创公司以积极的势头进入2020年,并计划将其收入增加近三倍。 但是随后发生了COVID-19疫情,经济陷入停滞。 Amplero的客户渠道突然枯竭。现在,该公司正...

  • 首席执行官表示,随着美国关闭,StockX的业务蓬勃发展

      StockX是一个高速发展的转售市场,连接着运动鞋,街头服装,手袋和其他可收藏物品的买卖双方,其财富随着价值60亿美元的全球运动鞋转售市场一起增长,而后者是更广泛的1000亿美元运动鞋类别的一部分。...

  • Zyl重现旧照片以创建协作故事

      法国初创公司Zyl发布了适用于iOS和Android的移动应用程序的重大更新。该应用程序旨在查找照片库中重要生活事件的被遗忘的回忆。 Zyl会扫描您的照片库,并神奇地找到重要的照片。每天,应用程序都会...

财经

伊丽莎白·沃伦(Elizabeth Warren)担任总统,为其2020年竞选技术开源 伊丽莎白·沃伦(Elizabeth Warren)担任总统,为其20...

  民主党参议员伊丽莎白·沃伦(Elizabeth Warren)可能已经结束了她的2020年总统大选,但用于推动她...

商业

视频聊天聚会带来欢乐时光,生活在庇护的门后 视频聊天聚会带来欢乐时光,生活在庇护的门后

  人类确实是一群惊人的韧性。 尽管在佛罗里达海滩上举行聚会的偷偷摸摸的人肆意冒着将冠状病毒传...

  • “煤矿里的金丝雀”:西雅图营销技术初创公司Amplero...

      Amplero的前途一片光明。这家西雅图营销技术初创公司以积极的势头进入2020年,并计划将其收入增加近三倍。 但是随后发生了COVID-19疫情,经济陷入停滞。 Amplero的客户渠道突然枯竭。现在,该公司正...

  • 首席执行官表示,随着美国关闭,StockX的业务蓬勃发展

      StockX是一个高速发展的转售市场,连接着运动鞋,街头服装,手袋和其他可收藏物品的买卖双方,其财富随着价值60亿美元的全球运动鞋转售市场一起增长,而后者是更广泛的1000亿美元运动鞋类别的一部分。...

  • Zyl重现旧照片以创建协作故事

      法国初创公司Zyl发布了适用于iOS和Android的移动应用程序的重大更新。该应用程序旨在查找照片库中重要生活事件的被遗忘的回忆。 Zyl会扫描您的照片库,并神奇地找到重要的照片。每天,应用程序都会...

黑帽安全大会研究人员声称以三种方式发生加密交易所黑客攻击

发布时间:2020/08/10 区块链 浏览:35

黑帽安全大会上的研究人员发现,加密交易可能容易受到黑客的攻击。根据《连线》(Wired)8月9日的报道,尽管加密交易所具有很高的隐私权和安全性来保护自己的资金,但研究人员仍然发现了黑客攻击这些加密交易所的三种方式。

报告说,加密货币交换攻击的运作方式更像是“一个老式的银行保险库,必须同时打开六个密钥。”加密货币私钥被分成较小的部分。这意味着攻击者必须先找到它们,然后再窃取资金。

密码学家Aumasson和密钥管理公司KZenNetworks的联合创始人OmerShlomovits将攻击分为三类:内部攻击,利用交易所和客户之间关系的攻击以及部分秘密密钥的提取。

内幕人士的工作,开源库漏洞和受信任方验证

报告称,内部人士或其他金融机构利用加密货币交易所产生的开源库中的漏洞是黑客攻击交易所的第一种方法。它解释说:“在易受攻击的库中,刷新机制允许一个密钥持有者启动刷新,然后操纵该过程,因此密钥的某些组件实际上已更改,而其他组件则保持不变。虽然您无法合并旧密钥和新密钥的大部分,但攻击者实际上可能会导致拒绝服务,从而将交易所永久锁定在自有资金之外。”

攻击者还可以在密钥轮换过程中利用开源库漏洞中的另一个未命名的密钥管理。然后,攻击者可以使用错误的验证语句来操纵交易所及其客户之间的关系。那些具有恶意动机的用户可以通过多次刷新密钥来缓慢地从交换用户中找出私有密钥。该报告称,然后进行流氓交换就可以开始窃取过程。

研究人员说,可能发生攻击的最后一种方法是,当加密交换信任方派生他们的密钥部分时。据报道,各方为公众验证生成了几个随机数。研究人员指出,例如Binance并未检查这些随机值,而不得不在3月份解决此问题。该报告补充说:“密钥生成中的恶意方可以向其他人发送特制的消息,这些消息实际上将选择并分配所有这些值,从而使攻击者以后可以使用此未经验证的信息来提取每个人的秘密密钥部分。”

姓 名:
邮箱
留 言: