В кошельках Tezos обнаружена критическая уязвимость слепых подписей – CoinMarket.News

v koshelkah tezos obnaruzhena kriticheskaja ujazvimost slepyh podpisej coinmarket.news - В кошельках Tezos обнаружена критическая уязвимость слепых подписей – CoinMarket.News

Разработчики форка Tezos, TzLibre, обнаружили уязвимость слепой подписи в некоторых кошельках Tezos, требующих идентификации личности владельца.

В результате проверки KYC-совместимых кошельков Tezos было обнаружено, что большинство из них не обладают необходимой защитой против «простой, но катастрофической атаки». В списке оказались Galleon, Tezbox, Magnum и Tezos Blue.

Представитель TzLibre пояснил, что угроза безопасности возникает из-за того, что данные кошельки подключаются к узлам удалённого вызова процедур (RPC) без предварительной отправки необработанных транзакций. Кроме того, кошелёк не проверяет бинарные данные, отправленные взломанным узлом, из-за чего хакер получает доступ к истории транзакций и может вывести средства.

Разработчики уже смогли устранить данную уязвимость в кошельке LibreBox. Они также предоставили средство проверки для других кошельков Tezos с помощью симуляции «вредоносного» RPC и ряд рекомендаций:

«1. Владельцы KYC-кошельков Tezos: не пользуйтесь уязвимым кошельком до тех пор, пока проблема не будет устранена.

2. Разработчики: немедленно предупредите пользователей об угрозе, пока все бинарные транзакции не будут обработаны и проверены. Если вы устранили уязвимость или вашего кошелька нет в списке, свяжитесь с нами, и мы обновим данный пост.

3. Tezos Foundation: немедленно опубликуйте спецификации бинарного формата транзакций и приведите документы к оптимальному стандарту».

В своём посте TzLibre привела в пример недавнюю атаку на сеть Electrum. Злоумышленникам удалось вывести 200 BTC на сумму приблизительно $750 000 (по курсу на момент взлома).



Источник

Зацените вот что

Совбез России считает криптовалюты инновацией, но не уверен в стойкости «криптографических алгоритмов» - Hash Telegraph

Совбез России считает криптовалюты инновацией, но не уверен в стойкости «криптографических алгоритмов» — Hash Telegraph

В Совете безопасности России криптовалюты считают инновационной технологией, однако обращают внимание на то, что их …

DeFi-Pulse.PNG

Вложения в DeFi достигли исторического показателя

Прогнозы многих экспертов в области DeFi говорили о достижении $5 миллиардов только к концу 2020 …

Биткоин демонстрирует 3 основных признака классической бычьей ловушки - Hash Telegraph

Как не потерять все свои деньги во время бычьего ралли — Hash Telegraph

Биткоин и весь крипторынок находятся на пороге нового бычьего ралли, поэтому опытные криптаны делятся уроками, …

Добавить комментарий