Директор по стратегическому планированию и развитию Taurus Жан-Филипп Омассон обнаружил, что популярный кошелек TronLink использует простую, но слабую форму шифрования.

Реклама
Продолжить читать

CSO и сооснователь Taurus, швейцарской финтех-компании, специализирующейся на безопасной цифровой инфраструктуре для криптовалют и цифровых активов, выявил потенциальную уязвимость в кошельке TronLink, принадлежащем известному проекту Tron.

Ранее блокчейн-платформа Tron уже подвергалась критике за халатное отношение к вопросам безопасности. Так, в начале 2018 года в white paper проекта был обнаружен плагиат. На этот раз предполагаемая уязвимость находится в базовом коде кошелька TronLink, которая, по словам Омассона, осталась незамеченной:

Это лежащие на поверхности базовые недостатки, который обнаружит любой компетентный аудитор.

Мнемонический код представляет собой список из 12 слов, которые могут быть использованы для создания частного ключа, контролирующего доступ к криптовалюте. Омассон утверждает, что шифрование мнемонического кода TronLink очень слабое:

Судя по всему, официальный кошелек Tron использует шифрование AES-ECB для мнемонического кода.

Шифрование AES-ECB относится к коду, используемому для шифрования из 12 слов. Как поясняет Омассон, это плохой выбор, поскольку режим ECB на самом деле недостаточно защищает зашифрованные данные. Данный режим относится к каждому блоку данных по отдельности, и для гарантии безопасности между этими блоками должна быть определенная корреляция.

Режим ECB уже давно подвергается критике со стороны многочисленных исследователей в сфере безопасности. К примеру, компания NotSoSecure назвала этот тип шифрования самым простым и популярным и одновременно весьма слабым.

При таком режиме шифрования хакер может совершить локальную атаку, взломав собственное устройство пользователя и таким образом без особых усилий перевести криптовалюту Tron на свой адрес.

Омассон подчеркивает, что эта уязвимость не относится ко всем держателям Tron, а только лишь к пользователям данного кошелька.

Если верить исследователю, то пользователям Tron не помешает принять меры предосторожности и убедиться, что разработчики устранят проблему в следующем обновлении кошелька, обзавестись надежными паролями и подумать над альтернативными приложениями-кошельками.