Существует три сценария взлома бирж цифровых активов. Такую точку зрения представили исследователи во время выступления на конференции по компьютерной безопасности Black Hat, передает Wired.

Три подхода ко взлому бирж

По мнению специалистов, многие торговые криптоплатформы, несмотря на попытки усилить их безопасность, по-прежнему уязвимы ко взлому. Соучредитель компании-поставщика решений в сфере безопасности KZen Омер Шломовиц (Omer Shlomovits) и криптограф Жан-Филипп Аумассон (Jean-Philippe Aumasson) считают, что атаки злоумышленников на биржи цифровых активов можно распределить на три категории:

  1. Внутренние.
  2. На базе отношений пользователей и проекта.
  3. С извлечением секретных ключей.

Внутренние атаки включают работу инсайдера. Способ подразумевает поиск лазеек. В том числе, мошенники проверяют возможность организовать доступ на базе данных о коде платформы. Злоумышленники могут привлекать к работе доверенных лиц, при помощи которых можно получить необходимые для взлома инструменты.

Пример внутренней атаки – взлом через уязвимость библиотек проекта. Для этого мошенники используют механизм обновления. С его помощью хакеры могут изменить части ключа для отказа в обслуживании. Так владелец учетной записи может потерять доступ к своим средствам на бирже.

Атака, в ходе которой мошенники используют отношения биржи и пользователей, подразумевает манипулирование. Например, хакеры могут отправить клиенту платформы запрос на подтверждение данных от лица биржи. Полученные сведения открывают злоумышленникам доступ к аккаунтам жертв.

Третий вариант взлома можно реализовать в момент получения доверенными сторонами своих частей ключа доступа. Каждая партия – случайно сгенерированные числа, которые должны пройти публичную проверку. По данным исследователей, далеко не все торговые платформы обращают внимание на этот процесс. В результате мошенники могут подменять части ключей на другие значения, чтобы в итоге получить доступ к средствам жертвы.

В качестве примера биржи, которая в течение продолжительного периода времени не проверяла значения, специалисты привели Binance. Разработчики проекта, по данным исследователей, должны были исправить недостаток в марте этого года. Узнайте больше о системе безопасности торговой платформы из нашего материала.

Читайте также: Binance запускает еще два продукта для криптокредитования

Напомним, осенью 2019 года в сети появились сообщения от представителей проектов, согласно которым команда Binance начала требовать с них деньги за «защиту от хакеров».