امروزه رمزارزها به مفاهیمی رایج تو دنیای فناوری تغییر شده اند. تعداد زیادی از کاربران امروزی، از ابزارهای انواع از اپلیکیشن تا پلتفرم آنلاین یا ابزارهای سخت افزاری برای نگه داری اموال رمزینه خود مصرف می کنند. درون این میان، صرافی های رمزارزی که وظیفه ی تبادل ارزها را برعهده دارند و حجم عظیمی از آن ها را مدیریت می کنند، نیازمند منابع و مخازنی زیاد امن برای نگه داری هستند که مانند به گاوصندوق های مبصر بانکی بوسیله نظر می رسند. محققان امنیتی در نشست اخیرBlack Hat ، آسیب پذیری های احتمالی را در مخازن پس انداز ی رمزارز گزارش کردند که برخی از آن ها ، صرافی های ارشد را تحت تأثیر صبر داده اند. اگرچه برخی از چالش های پیش آمده برای صرافی های رمزارزی، محلول شده اند، ولی هنوز حفره های امنیتی ظرفیت فوقانی بخاطر سوءاستفاده توسط هکرها دارند.
حمله بوسیله مخازن دیجیتالی نگه داری رمزارز و مایملک های دیجیتال، قطعا با نفوذ بوسیله گاوصندوق های فیزیکی و رویه هایی همچون شکستن قفل تباین پیدا می یواش. این مخازن با متد هایی قابل دسترسی هستند که متشابه به گاوصندوق های قدیمی ایفا می کنند. تخیل کنید ۶ کلید به صورت بی آرامی زمان باید باخبر گاوصندوق شود تا دسترسی بوسیله مایملک های داخلی را مقدور کند. در دنیای رمزارزها، کلیدهای خصوصی برای دخول به کیف پول ها به چند بسرنوشت شوم دچار کردن شکسته شده می شوند. درنتیجه مجرمان بخاطر نفوذ، باید بخش های گوناگون را درکنار هم داشته باشند و بوسیله صورت صحیح ترکیب کنند. ازطرفی برخلاف روش های سنتی توزیع کلیدهای فیزیکی، مکانیزم های رمزنگاری زیرساختی درون مدیریت کلیدهای چندگانه، پیچیده هستند و نمی توان به راحتی آن ها را پیاده سازی کرد. بوسیله فکر همین پیچیدگی، هرگونه خبط در فرایندها با پیامدهای ناگواری همراه می شود.
جان فیلیپ آماسون، حزن بنیان گذار شرکتTaurus Group ، فعال داخل صنعت فناوری های مرتبط با صرافی های رمزارزی و معاون بزرگ شرکتKudelski Security می گوید: « این دایره ها مستمری ی مدیریت حجم اضافی پول را برعهده دارند. درنتیجه باید نیازمندی های هنگفت و تیره ای را در حوزه ی امن و حریم مخصوص بزرگداشت کنند. آن ها به روش هایی حاجت دارند تا کلیدهای خصوصی نگاهداری از دارایی ها را بوسیله قطعات گوناگون انشعاب کنند. سیاق تقسیم باید به گونه ای انجام شود که هیچگاه یک از طرف های مهیا در فرایند، کلید کامل را دراختیار نداشته باشد. درنتیجه هیچگاه نقطه ی آسیب پذیری برای نفوذ کردن حیات نخواهد داشت. ما حفره هایی امنیتی را در فرایندهای شکستن کلیدها پیدا کردیم که از فاز تئوری فراتر رفته اند و زیبنده اجرا هستند. یک مقصر سایبری با احتمال بالا امکان سوءاستفاده از حفره ها را خواهد داشت».
آماسون درون تحقیقات خود با عمر شلومویتس، هم اساس گذار کیف پول موبایل ZenGo باهم اتحاد کردن کرد. نتیجه ی تحقیقات آن ها، سه روش نفوذ با سوءاستفاده از حفره های امنیتی موجود را نشان می دهد. نحو اول، به محدودیت نفوذی در صرافی رمزارز خواه سازمان مالی دیگر نیاز دارد که از آسیب پذیری موجود داخل یک هیئت دولت ی متن باز، سوءاستفاده کند. یک صرافی رمزارز مشهور، این هیئت دولت را توسعه داده است که محققان از تذکر نام آن خودداری می کنند. نفوذ طرز اول، از آسیب پذیری موجود در فرایند تازه سازی یا چرخش کلیدها سوءاستفاده می کند. فراموش نکنید که داخل روش توزیع کلیدهای امن، هیچ گاه مکان کلیدها ثابت نمی ماند و همیشه یک فرایند چرخشی عمل می شود. با این روش، اگر هکرها موفق بوسیله نفوذ کردن به یکی از دارنده های مفتاح شوند، امکان جلوه گر کردن پاره های دیگر و ترکیب آن ها دشوار می شود.
آسیب پذیری موجود داخل کتابخانه ی متن باز، امکان ایجاد تداخل در فرایند تبدیل و چرخش کلیدهای ایمنی را ممکن می نرم. مجرمان نفوذی با سوءاستفاده از این آسیب پذیری می توانند فرایند تبدیل کلید را به رویه ای دستکاری کنند که تنها بخش هایی معدود از مفتاح تبدیل کند و بقیه ی موارد، ثابت بمانند. اگرچه مجرمان سایبری با اسلوب سابق الذکر توانایی اختلاط کردن کلیدهای قدیمی و جدید را ندارند، اما با سوءاستفاده از آن حمله های محروم سازی از سرو را پیاده می کنند که دسترسی صرافی به دارایی های دیجیتال را بی نظم می کند.
اکثر فرایندهای شکست و توزیع کلیدهای امنیت به این رخ عمل می کنند که با جناب بخش مشهود رادیکال ای از کلید، امکان تأیید تراکنش ها فراهم می شود. درنتیجه، اگر کمی از کلید گم خواه تخریب شود، کل فرایند آن دچار مشکل نخواهد شد. محققان می گویند مجرمان با سوءاستفاده از ساختار مذکور، امکان باج گیری مالی را داخل فداکار موارد پیدا می کنند. آن ها کمی از مفتاح را دراختیار می گیرند و بخاطر پس اعطا کردن آن، اخاذی می کنند.
محققان امنیتی، یک هفته پس از آنکه کتابخانه ی متن باز در اینترنت منتشر شد، آسیب پذیری آن را بوسیله ترقی دهنده ی پا بر جا اطلاع دادند. درنتیجه گمان بوسیله کارگیری کتابخانه در صرافی های رمزارزی ارشد آن چنان اضافی نیست. هرچند بوسیله پندار ماهیت متن باز آن، شاید برخی از مؤسسه های مالی از کتابخانه کاربرد کرده باشند. مقاله های مرتبط:نفوذبه صرافی ارز دیجیتال بایننس و دزدی ۴۰ میلیون دلار بیت کوینبیت کوین های گمشده و راهکارهایی برای بازگرداندن آن ها بوسیله صاحبان اصلی
در متد تاثیر دوم، مجرمان روی ارتباط صرافی ها با مشتریان تمرکز می کنند. یکی از آسیب پذیری های موجود در فرایند چرخش و ترمیم کلیدهای امن، باعث اختلال در پیام رسانی بین دو حصه فعال داخل فرایند می شود. دراین میان اگر یک صرافی با انگیزه های خرابکارانه بیدار عمل شود، امکان استخراج کلیدهای امن کاربران را با چند مرتبه بازسازی کلیدهای امن، روشن می کند. در این مرحله، صرافی می تواند دارایی های دیجیتال مشتریان را بوسیله سرقت ببرد. فراموش نکنید که یک هکر اندوه با نفوذ به صرافی می تواند همین فعالیت ها را انجام دهد. آسیب پذیری سابق الذکر در یک کتابخانه ی متن باز دیگر دید شد که یک شریک شدن ناشناس مدیریت کلیدهای امن آن را توسعه می دهد. این شرکت از هیئت دولت در محصولات خود استفاده نمی کند، اما شاید دیگر فعالان صنعت مالی آن را به فقره گرفته باشند.
گونه نفوذ سوم زمانی قیافه می دهد که بخش های گوناگون نگهدارنده ی کلید امن، خودشان کلید عام را با اعداد ناگهانی تولید کرده و پس از ترکیب، هریک از آن ها صحت و قدر مفتاح بازپسین را تأیید کنند. محققان در معاینه های خود خبردار شدند که یک کتابخانه ی متن باز توسعه یافته توسط صرافی رمزارز بایننس، مقادیر ورودی ناگهانی را با دقت وارسی نمی درنگ. درنهایت مجرمان با نفوذ کردن در میان طرف های بنده سازنده ی کلید، می توانند قدری از کلید را به قیافه غیرتصادفی تولید کنند که امکان سوءاستفاده های آتی را برای آن ها فراهم خواهد کرد. البته بایننس در ماه مارس این آسیب پذیری را برطرف کرد. آن ها در بیانیه ی امنیتی اخبار کردند که کاربران باید هیئت دولت یtss-lib را هرچه زودتر به روزرسانی کنند.
محققان امنیتی در پایان گزارش خود می گویند سوءاستفاده از آسیب پذیری های کشف شده تنها زمانی امکان پذیر می شود که مجرمان، به صرافی هدف نفوذ کرده باشند. ازطرفی تحقیقات نشان می دهد که استفاده از کتابخانه های متن باز عاری درنظرگرفتن وضعیت امنیتی، شاید پیامدهای بیش گسترده ای برای صرافی ها داشته باشد. این تحقیقات مدال داد که با بود امنیت زیاد بالای فرایند توزیع کلیدهای امن، به کارگیری فرایند و ابزارهای مورد استفاده، اهمیت بالایی درون پیاده سازی بی نقص آن دارد.بیشتر بخوانید:مردم بیش از گذشته بوسیله پشت سرمایه گذاری در مملکت های جدید ازجمله رمزارزها هستندرمزنگاری چیست و چگونه فقره می کند؟ با انواع الگورتیم رمزنگاری آشنا شویدمجموعه عظیم ۲۰ گیگابایتی از اطلاعات محرمانه اینتل در اینترنت منتشر شدمایکروسافت در پروگرام های صید باگ، ۱۳/۷ میلیون دلار به متخصصان کنف پرداخت کرده استاپلیکیشن LastPass درصورت افشای رمزعبور درون دارک وب بوسیله کاربر آژیر می دهد
حمله بوسیله مخازن دیجیتالی نگه داری رمزارز و مایملک های دیجیتال، قطعا با نفوذ بوسیله گاوصندوق های فیزیکی و رویه هایی همچون شکستن قفل تباین پیدا می یواش. این مخازن با متد هایی قابل دسترسی هستند که متشابه به گاوصندوق های قدیمی ایفا می کنند. تخیل کنید ۶ کلید به صورت بی آرامی زمان باید باخبر گاوصندوق شود تا دسترسی بوسیله مایملک های داخلی را مقدور کند. در دنیای رمزارزها، کلیدهای خصوصی برای دخول به کیف پول ها به چند بسرنوشت شوم دچار کردن شکسته شده می شوند. درنتیجه مجرمان بخاطر نفوذ، باید بخش های گوناگون را درکنار هم داشته باشند و بوسیله صورت صحیح ترکیب کنند. ازطرفی برخلاف روش های سنتی توزیع کلیدهای فیزیکی، مکانیزم های رمزنگاری زیرساختی درون مدیریت کلیدهای چندگانه، پیچیده هستند و نمی توان به راحتی آن ها را پیاده سازی کرد. بوسیله فکر همین پیچیدگی، هرگونه خبط در فرایندها با پیامدهای ناگواری همراه می شود.
جان فیلیپ آماسون، حزن بنیان گذار شرکتTaurus Group ، فعال داخل صنعت فناوری های مرتبط با صرافی های رمزارزی و معاون بزرگ شرکتKudelski Security می گوید: « این دایره ها مستمری ی مدیریت حجم اضافی پول را برعهده دارند. درنتیجه باید نیازمندی های هنگفت و تیره ای را در حوزه ی امن و حریم مخصوص بزرگداشت کنند. آن ها به روش هایی حاجت دارند تا کلیدهای خصوصی نگاهداری از دارایی ها را بوسیله قطعات گوناگون انشعاب کنند. سیاق تقسیم باید به گونه ای انجام شود که هیچگاه یک از طرف های مهیا در فرایند، کلید کامل را دراختیار نداشته باشد. درنتیجه هیچگاه نقطه ی آسیب پذیری برای نفوذ کردن حیات نخواهد داشت. ما حفره هایی امنیتی را در فرایندهای شکستن کلیدها پیدا کردیم که از فاز تئوری فراتر رفته اند و زیبنده اجرا هستند. یک مقصر سایبری با احتمال بالا امکان سوءاستفاده از حفره ها را خواهد داشت».
آماسون درون تحقیقات خود با عمر شلومویتس، هم اساس گذار کیف پول موبایل ZenGo باهم اتحاد کردن کرد. نتیجه ی تحقیقات آن ها، سه روش نفوذ با سوءاستفاده از حفره های امنیتی موجود را نشان می دهد. نحو اول، به محدودیت نفوذی در صرافی رمزارز خواه سازمان مالی دیگر نیاز دارد که از آسیب پذیری موجود داخل یک هیئت دولت ی متن باز، سوءاستفاده کند. یک صرافی رمزارز مشهور، این هیئت دولت را توسعه داده است که محققان از تذکر نام آن خودداری می کنند. نفوذ طرز اول، از آسیب پذیری موجود در فرایند تازه سازی یا چرخش کلیدها سوءاستفاده می کند. فراموش نکنید که داخل روش توزیع کلیدهای امن، هیچ گاه مکان کلیدها ثابت نمی ماند و همیشه یک فرایند چرخشی عمل می شود. با این روش، اگر هکرها موفق بوسیله نفوذ کردن به یکی از دارنده های مفتاح شوند، امکان جلوه گر کردن پاره های دیگر و ترکیب آن ها دشوار می شود.
آسیب پذیری موجود داخل کتابخانه ی متن باز، امکان ایجاد تداخل در فرایند تبدیل و چرخش کلیدهای ایمنی را ممکن می نرم. مجرمان نفوذی با سوءاستفاده از این آسیب پذیری می توانند فرایند تبدیل کلید را به رویه ای دستکاری کنند که تنها بخش هایی معدود از مفتاح تبدیل کند و بقیه ی موارد، ثابت بمانند. اگرچه مجرمان سایبری با اسلوب سابق الذکر توانایی اختلاط کردن کلیدهای قدیمی و جدید را ندارند، اما با سوءاستفاده از آن حمله های محروم سازی از سرو را پیاده می کنند که دسترسی صرافی به دارایی های دیجیتال را بی نظم می کند.
اکثر فرایندهای شکست و توزیع کلیدهای امنیت به این رخ عمل می کنند که با جناب بخش مشهود رادیکال ای از کلید، امکان تأیید تراکنش ها فراهم می شود. درنتیجه، اگر کمی از کلید گم خواه تخریب شود، کل فرایند آن دچار مشکل نخواهد شد. محققان می گویند مجرمان با سوءاستفاده از ساختار مذکور، امکان باج گیری مالی را داخل فداکار موارد پیدا می کنند. آن ها کمی از مفتاح را دراختیار می گیرند و بخاطر پس اعطا کردن آن، اخاذی می کنند.
محققان امنیتی، یک هفته پس از آنکه کتابخانه ی متن باز در اینترنت منتشر شد، آسیب پذیری آن را بوسیله ترقی دهنده ی پا بر جا اطلاع دادند. درنتیجه گمان بوسیله کارگیری کتابخانه در صرافی های رمزارزی ارشد آن چنان اضافی نیست. هرچند بوسیله پندار ماهیت متن باز آن، شاید برخی از مؤسسه های مالی از کتابخانه کاربرد کرده باشند. مقاله های مرتبط:نفوذبه صرافی ارز دیجیتال بایننس و دزدی ۴۰ میلیون دلار بیت کوینبیت کوین های گمشده و راهکارهایی برای بازگرداندن آن ها بوسیله صاحبان اصلی
در متد تاثیر دوم، مجرمان روی ارتباط صرافی ها با مشتریان تمرکز می کنند. یکی از آسیب پذیری های موجود در فرایند چرخش و ترمیم کلیدهای امن، باعث اختلال در پیام رسانی بین دو حصه فعال داخل فرایند می شود. دراین میان اگر یک صرافی با انگیزه های خرابکارانه بیدار عمل شود، امکان استخراج کلیدهای امن کاربران را با چند مرتبه بازسازی کلیدهای امن، روشن می کند. در این مرحله، صرافی می تواند دارایی های دیجیتال مشتریان را بوسیله سرقت ببرد. فراموش نکنید که یک هکر اندوه با نفوذ به صرافی می تواند همین فعالیت ها را انجام دهد. آسیب پذیری سابق الذکر در یک کتابخانه ی متن باز دیگر دید شد که یک شریک شدن ناشناس مدیریت کلیدهای امن آن را توسعه می دهد. این شرکت از هیئت دولت در محصولات خود استفاده نمی کند، اما شاید دیگر فعالان صنعت مالی آن را به فقره گرفته باشند.
گونه نفوذ سوم زمانی قیافه می دهد که بخش های گوناگون نگهدارنده ی کلید امن، خودشان کلید عام را با اعداد ناگهانی تولید کرده و پس از ترکیب، هریک از آن ها صحت و قدر مفتاح بازپسین را تأیید کنند. محققان در معاینه های خود خبردار شدند که یک کتابخانه ی متن باز توسعه یافته توسط صرافی رمزارز بایننس، مقادیر ورودی ناگهانی را با دقت وارسی نمی درنگ. درنهایت مجرمان با نفوذ کردن در میان طرف های بنده سازنده ی کلید، می توانند قدری از کلید را به قیافه غیرتصادفی تولید کنند که امکان سوءاستفاده های آتی را برای آن ها فراهم خواهد کرد. البته بایننس در ماه مارس این آسیب پذیری را برطرف کرد. آن ها در بیانیه ی امنیتی اخبار کردند که کاربران باید هیئت دولت یtss-lib را هرچه زودتر به روزرسانی کنند.
محققان امنیتی در پایان گزارش خود می گویند سوءاستفاده از آسیب پذیری های کشف شده تنها زمانی امکان پذیر می شود که مجرمان، به صرافی هدف نفوذ کرده باشند. ازطرفی تحقیقات نشان می دهد که استفاده از کتابخانه های متن باز عاری درنظرگرفتن وضعیت امنیتی، شاید پیامدهای بیش گسترده ای برای صرافی ها داشته باشد. این تحقیقات مدال داد که با بود امنیت زیاد بالای فرایند توزیع کلیدهای امن، به کارگیری فرایند و ابزارهای مورد استفاده، اهمیت بالایی درون پیاده سازی بی نقص آن دارد.بیشتر بخوانید:مردم بیش از گذشته بوسیله پشت سرمایه گذاری در مملکت های جدید ازجمله رمزارزها هستندرمزنگاری چیست و چگونه فقره می کند؟ با انواع الگورتیم رمزنگاری آشنا شویدمجموعه عظیم ۲۰ گیگابایتی از اطلاعات محرمانه اینتل در اینترنت منتشر شدمایکروسافت در پروگرام های صید باگ، ۱۳/۷ میلیون دلار به متخصصان کنف پرداخت کرده استاپلیکیشن LastPass درصورت افشای رمزعبور درون دارک وب بوسیله کاربر آژیر می دهد
- ۹۹/۰۵/۲۰