Поиск
Показаны результаты для тегов 'уязвимости'.
Найдено: 34 результата
-
Генеральный директор биржи Bybit Бен Чжоу (Ben Zhou) заявил, что не стоит удивляться недавнему взлому KuCoin – криптовалютные биржи имеют уязвимости просто в силу своей природы. Чжоу подчеркнул, что биржи выступают единой точкой отказа для криптовалютной индустрии. Как любое централизованное сетевое приложение, биржи подвержены тем же проблемам, что и другие вебсайты. И безопасность становится еще более важной, ведь на биржах хранятся средства инвесторов и трейдеров. Большинство криптовалютных бирж хранят средства пользователей на горячих кошельках, но, как считает Чжоу, система холодных кошельков гораздо более безопасна. Единственная проблема такой системы – это более длительный процесс вывода больших сумм. CEO Bybit подчеркнул, что инвестирование в безопасность площадки должно быть важнейшим приоритетом любой криптовалютной биржи, особенно, если используется система горячих кошельков. Чтобы бороться с возможными взломами, необходимо лучше обнаруживать уязвимости и проводить многоуровневые испытания системы безопасности. Подробнее: https://bits.media/ceo-bybit-kriptovalyutnye-birzhi-imeyut-uyazvimosti-v-silu-svoey-prirody/
-
«Белый хакер» под псевдонимом samczsun обнаружил уязвимость в смарт-контракте Lien Finance на блокчейне Эфириума, предотвратив кражу 25 000 ETH (около $10 млн). Samczsun обнаружил уязвимость 15 сентября, занимаясь поиском багов в смарт-контрактах Эфириума. «Хакер» случайно нашел контракт протокола Lien Finance, в котором содержалось свыше 25 000 ETH. samczsun выяснил, что вывести монеты из этого смарт-контракта мог любой желающий. В нем была функция «сжигания», с помощью которой пользователи могли самостоятельно выпускать токены, не имеющие ценности, и обменивать их на эфиры, хранящиеся в смарт-контракте. Учитывая анонимность команды Lien Finance, исследователь сообщил о проблеме Александру Уэйду (Alexander Wade) - специалисту по кибербезопасности ConsenSys, работающей над развитием экосистемы Эфириума, а также связался со специалистом по безопасности Эфириума Скоттом Бигелоу (Scott Bigelow). Они начали искать решение проблемы, рассматривая несколько вариантов развития событий. Команда Lien Finance могла раскрыть информацию об уязвимости, однако в таком случае злоумышленники воспользовались бы этой возможностью. Возвращать монеты прежним держателям тоже было небезопасно, так как «боты-хищники» могли бы присвоить их, выполнив такие же операции, используя мемпул Эфириума «Ethereum’s Dark Forest». Подробнее: https://bits.media/belye-khakery-predotvratili-krazhu-25-000-eth-iz-smart-kontrakta-lien-finance/
-
- LienFinance
- белыехакеры
- (и ещё 5 )
-
Разработчик Lightning Labs Джуст Джагер (Joost Jager) описал уязвимость сети микроплатежей, которая может привести к компрометации каналов Lightning Network при небольших затратах. Джуст Джагер (Joost Jager) заявил, что в Lightning Network может быть проведена атака на платежные каналы Wumbo, которые позволяют совершать более крупные транзакции в сети и увеличивать объемы транзакций. До добавления каналов Wumbo этим летом пользователи могли создавать каналы с емкостью не более 0.1677 BTC – это ограничение было сделано в качестве меры предосторожности. Джагер заявляет, что каналы Wumbo могут быть использованы злоумышленниками, потому что канал не может содержать более 483 контрактов с блокировкой хэша и временной привязкой (HTLC), независимо от его емкости. Таким образом, мошенник может отправить себе 483 микроплатежа и контролировать HTLC, чтобы вывести канал из строя на срок до двух недель. По словам разработчика, этого можно достичь, используя максимальную длину маршрута для добавления каналов и большего количества контрактов. При этом, по подсчету Джагера, затраты на такую атаку будут небольшими – около 5.8 млн сатоши. Разработчик отметил: Подробнее: https://bits.media/razrabotchik-lightning-labs-obnaruzhil-vektor-ataki-na-kanaly-wumbo/
-
- LightningNetwork
- уязвимости
-
(и ещё 3 )
C тегом:
-
Сооснователь Jelurida Лиор Яффе утверждает, что обнаружил потенциальную уязвимость в тестовой сети Ethereum 2.0 – низкий уровень участия в стейкинге может позволить «китам» вывести сеть из строя. Сооснователь Jelurida и ведущий разработчик блокчейнов Ardor и Nxt Лиор Яффе (Lior Yaffe) обнаружил уязвимость в Ethereum 2.0. Напомним, что в настоящее время блокчейн работает в Medalla и других тестовых сетях для проверки на наличие проблем. Яффе рассмотрел ситуацию, когда уровень участия в стейкинге низкий, а некоторые «киты» незаметно контролируют много счетов. Поскольку минимальный уровень участия в стейкинге составляет 66%, то в случае, если крупный держатель криптовалюты внезапно покинет сеть, это может вызвать проблемы. «Предположим, что 10% ETH сейчас участвуют в стейкинге, а участие пользователей в сети находится на уровне 75% (примерно это мы сейчас видим в тестовой сети). В этом случае, для снижения уровня участия на 9% и остановки цепочки требуется только контроль над 0.9% ETH, находящихся в обращении. Это достижимо при участии крупного «кита» или биржи среднего размера», – сказал Яффе. Подробнее: https://bits.media/razrabotchik-obnaruzhil-uyazvimost-v-testovoy-seti-ethereum-2-0/
-
- Эфириум
- Ethereum2.0
- (и ещё 5 )
-
Разработчики раскрыли информацию об обнаруженной два года назад уязвимости в Bitcoin Core, которая позволяла злоумышленникам украсть BTC, отложить расчеты или разделить сеть на конфликтующие версии. Согласно статье, опубликованной инженером Purse Брейдоном Фуллером (Braydon Fuller) и основным разработчиком протокола Handshake Джаведом Ханом (Javed Khan), уязвимость была обнаружена в июне 2018 года. Ей был присвоен уровень серьезности 7.8 по шкале от 1 до 10, что считается «высоким» (9 или выше является «критическим» уровнем). По словам Хана, это было вызвано тем, что «удаленные узлы» не смогли устранить недействительные транзакции из своей памяти. Невозможность удалить эти транзакции могла привести к тому, что злоумышленник передаст узлу-жертве большое количество устаревших данных. Это приведет к «неконтролируемому потреблению ресурсов», и в конечном итоге станет причиной остановки работы узла. Решение второго уровня, например, Lightning Network, подвергались риску из-за уязвимости, однако риск потери средств не затрагивал полные узлы Биткоина. «Не было механизма, позволяющего удостовериться в действительности деталей ожидающей обработки транзакции. В некоторых случаях возникала вероятность заполнения удаленной памяти недействительными транзакциями», – сказал Хан. Подробнее: https://bits.media/razrabotchiki-raskryli-informatsiyu-ob-uyazvimosti-dvukhletney-davnosti-v-bitcoin-core/
-
- BitcoinCore
- разработки
-
(и ещё 3 )
C тегом:
-
По словам разработчика аппаратного кошелька BitBox02, устройства KeepKey и Trezor могут быть уязвимы к атакам с требованием выкупа в криптовалютах. Как заявил в статье на Medium разработчик компании ShiftCrypto, создающей аппаратный кошелек BitBox02, аппаратные кошельки Trezor One до v1.9.3 и Trezor Model T до v2.3.3, а также KeepKey, уязвимы для удаленной атаки с требованием выкупа при вводе парольной фразы на компьютере/телефоне. Как утверждает разработчик, ShiftCrypto оповестила о проблеме производителя Trezor SatoshiLabs 15 апреля 2020 года, а создателей Keepkey ShapeShift - 7 мая 2020 года. При этом SatoshiLabs выплатила вознаграждение за обнаружение уязвимости и 2 сентября выпустила обновления, устраняющие проблему. Однако команда KeepKey до сих пор не исправила уязвимость и, по словам разработчика, заявляет, что работает над более приоритетными задачами. Исследователь пишет, что парольные фразы - уровень безопасности, который может создавать «скрытые» кошельки, имеющиеся в KeepKey и Trezor, необходимо вводить только в соответствующий кошелек хоста (host wallet), например, Electrum, а не в аппаратный кошелек, хотя Trezor также дает возможность ввести его на устройстве. Подробнее: https://bits.media/razrabotchik-raskryl-vozmozhnost-ataki-s-trebovaniem-vykupa-na-apparatnye-koshelki-trezor-i-keepkey/
-
- безопасность
- аппаратныйкошелек
- (и ещё 4 )
-
Пользователь Electrum потерял 1 400 BTC после загрузки старой версии кошелька, работающей на вредоносных серверах. Эта уязвимость устранена в версиях 3.3.4 и выше. Как сообщает пользователь Твиттера Verretor, один из участников индустрии заявил на GitHub о краже у него 1400 BTC после установки старой версии кошелька Electrum. Согласно публикации, пострадавший пользователь утверждает: «У меня были 1 400 BTC, к которым я не притрагивался с 2017 года. Я по глупости установил старую версию Electrum. Я попытался перевести 1 BTC, но не смог это сделать. В кошельке появилось уведомление, требующее обновления программы и настроек безопасности для перевода. Я установил обновление и сразу после этого все монеты ушли на адрес мошенников». Мошенник совершил транзакцию 29 августа, заплатив комиссию чуть меньше 0.0032 BTC ($37). Генеральный директор Binance Чанпэн Чжао (Changpeng Zhao) заявил, что биржа уже внесла адрес в черный список. Подробнее: https://bits.media/polzovatel-poteryal-1-400-btc-iz-za-staroy-uyazvimosti-koshelka-electrum/
- 2 ответа
-
- биткоин
- безопасность
-
(и ещё 3 )
C тегом:
-
Партнер инвестиционной компании Paradigm Дэн Робинсон считает, что архитектура Эфириума делает его уязвимым для «фронтраннеров» – торговых ботов, копирующих потенциально прибыльные операции. В статье в своем блоге Дэн Робинсон (Dan Robinson) пишет, что арбитражные боты следят за мемпулом Эфириума, в который попадает каждая операция в блокчейне до подтверждения, в поисках потенциально прибыльных транзакций. В случае обнаружения такой операции они делают аналогичную транзакцию со значительно большей комиссией. И если транзакция обрабатывается быстрее оригинальной, то владельцы бота получают прибыль. Обычно арбитражные боты следят за транзакциями определенного типа, например, за операциями на децентрализованных биржах или обновлениями ценовых оракулов. Но в последнее время появились «фронтраннеры» – торговые боты, которые следят за любыми транзакциями и пытаются скопировать потенциально прибыльные операции. Робинсон также рассказал, что совместно с командами инженеров Эфириума по смарт-контрактам и безопасности он попытался разработать план по защите от таких ботов. Он состоял в том, чтобы скрыть связь транзакции с децентрализованной биржей Uniswap. Однако, несмотря на приложенные усилия, план не сработал и боты не только обнаружили транзакцию, но и получили прибыль. Подробнее: https://bits.media/den-robinson-efirium-uyazvim-dlya-torgovykh-botov/
-
- Эфириум
- исследования
-
(и ещё 4 )
C тегом:
-
Критическая ошибка в клиентах Parity и OpenEthereum версий 2.7 и более поздних сделала непригодными для использования 13% узлов Эфириума, подчеркнув проблему централизации клиентов сети. Впервые информация об ошибке появилась на GitHub в мае. Согласно опубликованным тогда данным, клиенты Parity и OpenEthereum версий 2.7 и более поздних содержат неизвестную критическую ошибку, которая не позволяет узлам синхронизироваться с последним блоком сети. Такие ошибки были бы нормальным явлением, если бы на их исправление не ушло так много времени и они бы не создавали бы дополнительной нагрузки на основной клиент Эфириума Geth, который поддерживает около 80% сети. Эта зависимость сети от одного клиента – известный возможный вектор атаки на блокчейн, который вынудил разработчиков отложить июльский хардфорк Berlin, чтобы другие клиенты могли увеличить свою долю в сети. Подробнее: https://bits.media/oshibka-v-klientakh-parity-i-openethereum-vyvela-iz-stroya-13-uzlov-efiriuma/
-
- Эфириум
- OpenEthereum
-
(и ещё 3 )
C тегом:
-
Компания OXT Research, стоящая за разработкой кошелька Биткоина Samourai Wallet, опубликовала отчет о двух уязвимостях, обнаруженных в функции CoinJoin конкурирующего кошелька Wasabi Wallet. Разработчики Samourai Wallet сообщили, что ранее уже находили некоторые проблемы в реализации технологии микширования CoinJoin в кошельке Wasabi Wallet. Однако, по их словам, это были не уязвимости, а всего лишь «плохие дизайнерские решения». После июльского взлома социальной сети Twitter разработчики решили детально проанализировать код Wasabi Wallet, чтобы найти способ идентифицировать или другим способом выйти на хакера. Напомним, что, как сообщила аналитическая компания Elliptic, 22% полученных после взлома аккаунтов Twitter биткоинов были перечислены на кошелек Wasabi Wallet. «После обширного тестирования и исследования мы смогли подтвердить наличие двух уязвимостей, причем существуют они с момента создания кошелька Wasabi Wallet», – пишут исследователи. Подробнее: https://bits.media/oxt-research-v-funktsii-coinjoin-koshelka-wasabi-wallet-obnaruzheny-uyazvimosti/
-
- SamouraiWallet
- исследования
- (и ещё 5 )
-
14 августа в тестовой сети Эфириума 2.0 – Medalla – произошли незапланированные форки. Команда разработчиков Prysmatic Labs нашла решение для устранения бага, нарушившего работу Medalla. Тестовая сеть Medalla была запущена 4 августа. Ее цель заключается в том, чтобы обеспечить переход на алгоритм доказательства доли (Proof-of-Stake, PoS). К тестнету присоединилось около 26 000 валидаторов, а пользователи перевели в тестовую сеть более 830 000 ETH. По данным TrustNodes, 14 августа в Medalla произошли внеплановые форки - сеть распалась на четыре цепочки. Сложности возникли из-за неполадок со сторонним сервисом CDN Cloudflare, которым пользуется клиент Prysm. Проблемы с доступом к Cloudflare продолжались четыре часа, поэтому внутреннее время узлов изменилось примерно на такой же период. Часть валидаторов начала передавать блоки, которые для других узлов еще не были выпущены. Кроме того, валидаторы не могли правильно обрабатывать блоки и получать вознаграждение. Подробнее: https://bits.media/prysmatic-labs-razrabotala-reshenie-dlya-ustraneniya-baga-s-sinkhronizatsiey-v-testovoy-seti-medalla/
-
- PrysmaticLabs
- Medalla
- (и ещё 4 )
-
Специалист по кибербезопасности, работающий под псевдонимом nusenu, обнаружил уязвимость в конфиденциальном браузере Tor. Хакеры могут украсть конфиденциальную информацию, если возьмут под контроль выходные узлы. Чтобы получить полный контроль над незашифрованным HTTP-трафиком, хакеры выборочно удаляют редиректы HTTP-HTTPS. Особое внимание злоумышленники уделяют запросам на миксеры биткоина и сайты, имеющие отношение к криптовалютам. Управляя выходными узлами, хакеры могут удалять протоколы шифрования на таких сайтах, а также просматривать данные пользователей и отслеживать их действия.Уязвимость позволяет хакерам изменять адреса Биткоина в HTTP-трафике и переадресовывать транзакции на свои кошельки. Подробнее: https://bits.media/v-brauzere-tor-obnaruzhena-uyazvimost-pozvolyayushchaya-krast-bitkoiny/ Уже есть пострадавшие по этой схеме Комментарий от нашего пользователя (технично перекинуть сюда не могу): «Хотя вот подмена адресов в передаваемых формах это уже поинтереснее. Но опять же тут больше вина не хакеров, а горе-разработчиков, которые позволяют обрабатывать HTTP трафик и передают чувствительные данные без строгой проверки»
-
- исследования
- уязвимости
-
(и ещё 4 )
C тегом:
-
Проект DeFi YAM, только позавчера собравший $76 млн на продаже токенов, сегодня объявил о закрытии из-за критической ошибки в коде. YAM Finance замечательно проиллюстрировал риски взрывного роста индустрии децентрализованных финансов. В лучших традициях «моментальных» ICO 2017 года, во вторник всего за час проект собрал более $76 млн, несмотря на предупреждения разработчиков об отсутствии аудита. На пике капитализация токенаYAM поднялась до $470 млн, а цена достигала $167. Однако сегодня токен рухнул до нуля за полчаса после объявления о закрытии проекта. Вскоре после запуска в смарт-контракте была обнаружена критическая ошибка, которая позволяла проводить непредусмотренную эмиссию токенов YAM. Это фактически лишило держателей токенов возможности участвовать в управлении проектом. Для решения проблемы было решено собрать пул ликвидности, однако попытка спасти протокол провалилась и сегодня 11:01 по московскому времени разработчик и сооснователь YAM Finance Брок Элмор (Brock Elmore) объявил о смерти проекта. После этого капитализация токена быстро обвалилась до нуля. Подробнее: https://bits.media/odnodnevka-sobravshiy-76-mln-proekt-defi-yam-zakrylsya-iz-za-baga/
-
Специалист по кибербезопасности, работающий под псевдонимом nusenu, обнаружил уязвимость в конфиденциальном браузере Tor. Хакеры могут получить шанс украсть биткоины, если возьмут под контроль выходные узлы. Браузер Tor использует технологию, повышающую анонимность пользователей в сети, скрывая их IP-адреса. Данные зашифровываются с помощью «луковой маршрутизации», осуществляемой через несколько промежуточных узлов. По данным исследователя nusenu, основную угрозу представляют операторы выходных узлов, получающие информацию о реальном назначении пользовательских запросов. Чтобы получить полный контроль над незашифрованным HTTP-трафиком, хакеры выборочно удаляют редиректы HTTP-HTTPS. Особое внимание злоумышленники уделяют запросам на миксеры биткоина и сайты, имеющие отношение к криптовалютам. Управляя выходными узлами, хакеры могут удалять протоколы шифрования на таких сайтах, а также просматривать данные пользователей и отслеживать их действия. Уязвимость позволяет хакерам изменять адреса Биткоина в HTTP-трафике и переадресовывать транзакции на свои кошельки. В этом году хакерам удалось взять под контроль 24% выходных узлов в Tor. К маю их количество достигло 380, и эта цифра значительно превышает показатели последних пяти лет. Несмотря на то, что атаки с применением способа «человек посередине» (MITM) уже не новшество, эксперт был удивлен масштабами этой атаки. Подробнее: https://bits.media/v-brauzere-tor-obnaruzhena-uyazvimost-pozvolyayushchaya-krast-bitkoiny/
- 1 ответ
-
- Tor
- уязвимости
-
(и ещё 4 )
C тегом:
-
Разработчик Liquality Мохаммед Нохбех (Mohammed Nokhbeh) обнаружил уязвимость в аппаратном кошельке Ledger, которая приводит к списанию биткоинов вместо альткоинов. Разработчики представили отчет, в котором рассказали, как действует атака. Злоумышленник создает мнимую транзакцию с любыми альткоинами, во время которой у пользователей списываются биткоины. К примеру, у трейдера может складываться впечатление, что он пересылает 0.01 LTC, но фактически с его кошелька будет отправлено 0.01 BTC. Нохбех добавил, что аппаратные кошельки Ledger поддерживают несколько криптовалют с помощью специализированных приложений отдельно для каждого актива, но активировать можно только одно приложение. Оказалось, что внешние приложения могут получать доступ к данным о других криптовалютах даже из неактивных приложений. Исследователи обнаружили, что при использовании уязвимости, если пользователь открывает приложение для LTC, он получает запрос на подтверждение транзакции с биткоином, даже если не использует этот актив. При этом в интерфейсе будут отображаться данные для совершения сделки с LTC. При подтверждении такого запроса в сети Биткоина будет совершена полноценная подписанная транзакция. По словам разработчиков Liquality, Ledger был уведомлен об этой уязвимости еще в январе прошлого года, однако так и не устранил проблему. Однако Ledger сообщил, что всегда тщательно рассматривает все замечания исследователей. По словам Ledger, разработчики Liquality могли отправить сообщение о выявленных проблемах в другие отделы, которые не занимаются устранением багов. Комментируя отчет Liquality, Ledger признал, что приложение биткоина становится доступным при работе с другими криптоактивами. Производитель кошельков объяснил это поддержкой форков биткоина и других криптовалют, созданных на базе блокчейна Биткоина и имеющих общую историю. Подробнее: https://bits.media/v-koshelke-ledger-obnaruzhena-uyazvimost-privodyashchaya-k-spisaniyu-btc-vmesto-altkoinov/
- 7 ответов
-
- Ledger
- уязвимости
-
(и ещё 4 )
C тегом:
-
Эксперты Kraken Security Labs обнаружили новые атаки, которые могут применяться к аппаратным кошелькам Ledger Nano X. Производитель кошельков уже устранил проблему. Сообщается, что кошельки Ledger Nano X могут быть атакованы злоумышленниками еще до того, как пользователь получит продукт – например, подвергнуться вмешательству со стороны торгового посредника или во время доставки. Теоретически хакеры могут контролировать компьютер, к которому будет подключен кошелек Ledger Nano X с установленной вредоносной программой для кражи криптовалют. Специалисты Kraken описали два сценария развития событий – «Bad Ledger» и «Blind Ledger». В случае с «Bad Ledger» изменяется прошивка Ledger Nano X, и кошелек превращается в устройство для ввода данных подобно клавиатуре, позволяя ему открывать браузер и просматривать сайт биржи Kraken. Второй вариант «Blind Ledger» позволяет совершать транзакции вслепую, когда дисплей кошелька отключен. Хакерская программа содержит код, с помощью которого отключается дисплей устройства при соблюдении определенных условий. Пользователь не может понять, функционирует кошелек или нет, однако он принимает команды с компьютера и может с ним взаимодействовать, включая приложение Ledger Live. Затем на компьютере появляется инструкция, согласно которой пользователь должен нажать определенное сочетание кнопок на аппаратном кошельке, чтобы подтвердить вредоносную транзакцию. Сообщение может выглядеть следующим образом: «Кошелек Ledger Nano X не отвечает. Пожалуйста, нажмите обе кнопки для перезагрузки устройства». Чтобы обезопасить себя от атак злоумышленников, специалисты Kraken Security Labs рекомендуют покупать кошельки Ledger только у официальных дистрибьюторов, всегда подтверждать транзакции на самом кошельке Ledger Nano X и проявить осторожность при отключении дисплея устройства. 9 апреля Kraken Security Labs уведомила команду Ledger о потенциальных атаках, после чего производитель кошельков обновил их прошивку, предупредив появление таких проблем. Подробнее: https://bits.media/kraken-security-labs-rasskazala-o-vozmozhnykh-atakakh-na-apparatnyy-koshelek-ledger-nano-x/
-
Как сообщил ведущий разработчик криптовалюты Ravencoin (RVN) Трон Блэк (Tron Black), в коде была обнаружена уязвимость, которая позволяла добывать по 5 000 дополнительных монет каждый блок. По словам Блэка, команда CryptoScope, разработавшая обозреватель блоков Solus Explorer, связалась с разработчиками Ravencoin и сообщила об обнаружении уязвимости. Интересно, что данная уязвимость появилась в результате «работы сообщества». Максимальное количество RVN – 21 млрд, а количество дополнительных монет составляет 1.5% от этого объема. При этом разработчики пока не знают точного количества дополнительно выпущенных RVN. «Похоже, что дополнительно добытые RVN продавали вскоре после получения, так что весь экономический ущерб уже был принят и поглощен экосистемой Ravencoin. Таким образом, криптовалюта продолжит существовать, а количество монет RVN составит 21 млрд плюс дополнительно добытые монеты», – рассказал Блэк. Подробнее: https://bits.media/uyazvimost-v-kode-ravencoin-pozvolyala-dobyvat-dopolnitelnye-monety/
-
- Ravencoin
- уязвимости
-
(и ещё 2 )
C тегом:
-
Разработчики криптовалютного кошелька ZenGo без закрытых ключей и паролей обнаружили уязвимость к атаке двойных трат BigSpender, которой подвержены кошельки Ledger Live, Bread и Edge. Уязвимость к атаке двойных трат позволяет злоумышленникам тратить одни и те же монеты два или более раз. Мошенники могут отправить транзакцию с минимальной комиссией, а затем сразу же заместить ее, увеличив комиссию. Таким образом, майнеры получают стимул сначала проверить более выгодную новую транзакцию. Затем мошенники могут перенаправить средства на другой адрес. Как отмечают разработчики, хотя уязвимость частично устранена, пользователи некоторых кошельков все еще могут стать ее жертвами. Согласно отчету ZenGo, кошельки Ledger и Bread не учитывали потенциальную отмену транзакции во время тестирования. Кроме того, они просто визуально вносили дополнительные средства на балансы пользователей, не дожидаясь подтверждения транзакций. «Основная проблема, лежащая в основе уязвимости BigSpender, заключается в том, что уязвимые кошельки не готовы к тому, что транзакция может быть отменена, и косвенно предполагают, что она будет подтверждена в конечном итоге», – пояснили исследователи. Подробнее: https://bits.media/zengo-obnaruzhila-uyazvimost-k-atake-dvoynykh-trat-v-nekotorykh-kriptovalyutnykh-koshelkakh/
-
- ZenGo
- LedgerLive
-
(и ещё 5 )
C тегом:
-
Исследователи из израильского университета утверждают, что обнаружили уязвимость в Lightning Network, которая позволяет украсть BTC при проведении транзакций. В исследовании Йона Харрис (Jona Harris) и Авив Зохар (Aviv Zohar) из Еврейского университета в Иерусалиме обнаружили, что злоумышленники могут использовать уязвимость Lightning Network, чтобы украсть BTC пользователей. Lightning Network Биткоина – платежная сеть второго уровня, которая была представлена в 2018 году. Исследователи обнаружили, что во время атаки используется механизм для пересылки платежей по нескольким каналам Lightning - контракт с блокировкой хэша и временной привязкой (HTLC). HTLC позволяют участникам направлять платежи через не требующие доверия промежуточные узлы, якобы гарантируя, что средства не будут украдены ни одним из них. Хотя эти узлы могут попытаться украсть биткоины, но у них будет мало времени для этого. Как утверждают исследователи, хакеры могут попытаться увеличить этот временной промежуток. В атаке, описанной Харрисом и Зохаром, «злоумышленник вынуждает многих жертв одновременно наводнять блокчейн претензиями на их BTC. Затем хакер может использовать созданную ими перегрузку для кражи биткоинов, которые не были востребованы до истечения срока». Подробнее: https://bits.media/v-lightning-network-obnaruzhena-vozmozhnost-ataki-na-tsepochki-platezhnykh-kanalov/
-
- биткоин
- LightningNetwork
-
(и ещё 3 )
C тегом:
-
Компания по кибербезопасности в области криптовалют OpenZeppelin сообщила об обнаружении в популярном мобильном кошельке Эфириума Argent серьезной уязвимости, которая может привести к потере средств. В статье в блоге OpenZeppelin пишет, что уязвимость позволяет атакующим получить контроль над кошельком Argent. Особенно это касается тех кошельков, пользователи которых не включили функцию «защитника». Команда разработчиков уже исправила уязвимость и связалась с пользователями, чьи кошельки уязвимы, для обновления программы. Функция «защитника» позволяет пользователю выбрать сторонние аккаунты, которым позволено выполнять определенные действия с кошельком, например, блокировать его или инициировать восстановление. До 30 марта 2020 года при создании кошелька функция не активировалась по умолчанию. Благодаря ошибке в коде злоумышленники могли атаковать кошельки с отключенной функцией «защитника», запускать процесс восстановления кошелька и получать к нему доступ. Argent сообщал пользователю о попытке восстановления кошелька. Однако если пользователь пропускал уведомление и не блокировал процесс восстановления в течение 36 часов, то злоумышленники могли получить доступ к средствам. При этом даже когда пользователь блокировал процесс, злоумышленники могли заново инициировать его, таким образом средства на кошельке оставались замороженными. Специалисты OpenZeppelin обнаружили 329 кошельков с уязвимостью к атаке, и еще 5 513 кошельков потенциально уязвимы. Подробнее: https://bits.media/v-koshelke-argent-obnaruzhena-sereznaya-uyazvimost/
-
- OpenZeppelin
- Эфириум
-
(и ещё 4 )
C тегом:
-
Команда разработчиков протокола Bancor обнаружила уязвимость в обновлении v0.6, которая привела к краже токенов у пользователей на сумму более $100 000. После обнаружения уязвимости разработчики самостоятельно воспользовались ей, чтобы вывести с подверженных уязвимости кошельков токены BNT, однако часть их успели похитить злоумышленники. На адрес, не принадлежащий Bancor, были переведены токены на сумму более $100 000. «Уважаемое сообщество, 17 июня в 12:00 GMT была обнаружена уязвимость в новой версии смарт-контракта BancorNetwork v0.6, выпущенной 16 июня. Все пользователи, торговавшие за последние 48 часов и подтверждавшие транзакции, должны отозвать все подтверждения», — сообщается в Twitter разработчиков. При этом пользователи должны отозвать все сделки за последние 48 часов, связанные с тремя адресами смарт-контракта: Подробнее: https://bits.media/polzovateli-bancor-poteryali-bolee-100-000-iz-za-uyazvimosti-v-obnovlenii/
-
- Bancor
- уязвимости
-
(и ещё 4 )
C тегом:
-
Wasabi Wallet призывает своих пользователей, владеющих аппаратными кошельками Trezor, не загружать последнюю версию кошелька до устранения проблемы с совместимостью. Согласно уведомлению Wasabi Wallet, опубликованному вчера, пользователям кошелька не стоит обновляться до последней версии, если они пользуются устройством Trezor. В противном случае можно временно потерять доступ к своим BTC. В уведомлении говорится, что если у пользователя Trezor Model T, то не стоит обновляться до версии 2.3.1., а если Trezor One – до версии 1.9.1. Это связано с тем, что в прошлую среду разработчик аппаратного кошелька Trezor - компания SatoshiLabs, рассказала своим клиентам об устраненной уязвимости в системе безопасности. По данным компании, из-за ошибки кода пользователи кошелька могли стать жертвами баснословных комиссий. SatoshiLabs устранил проблему с Trezor, но обновление подорвало работу сторонних сервисов, например, Wasabi и сервера BTCPay, пишет Джумар Макато (Jumar Macato), разработчик программного обеспечения Wasabi Wallet. Подробнее: https://bits.media/obnovlenie-proshivki-trezor-sdelalo-ego-nesovmestimym-s-coinjoin/
-
- WasabiWallet
- Trezor
- (и ещё 6 )
-
В среду, 3 июня, была выпущена новая версия Bitcoin Core 0.20.0, получившая экспериментальные функции по защите от крупномасштабных атак, которые могли бы разделить сеть Биткоина. Новая конфигурация, которая защищает одноранговую сеть Биткоина, называется Asmap. Она сопоставляет существующие подключения узлов к автономным системам (AS) – интернет-операторам, соединяющим несколько сетей и определяющих планы маршрутизации. После сопоставления конфигурация ограничивает количество подключений к одному AS. Таким образом, злоумышленники не смогут изолировать узел Биткоина. Отметим, что на практике такие атаки проведены пока не были – они требуют ресурсов, которыми обладают разве что государства. Атаки Erebus заключается в том, что с помощью AS злоумышленники отрезают узлы Биткоина от остальной сети. Таким образом можно изолировать, например, крупный майнинговый пул или криптовалютную биржу. «Подобная атака осуществима не из-за ошибок в реализации Биткоина, а из-за фундаментального топологического преимущества, когда кто-то контролирует сеть», – отметили исследователи Национального университета Сингапура, которые обнаружили уязвимость. Подробнее: https://bits.media/novaya-versiya-bitcoin-core-poluchila-funktsii-zashchity-ot-krupnomasshtabnoy-ataki-erebus/
-
- BitcoinCore
- обновления
-
(и ещё 3 )
C тегом:
-
Хакер выставил на продажу предположительно украденные им данные трех популярных криптовалютных кошельков – Trezor, Ledger и KeepKey. Операторы кошельков проводят расследование инцидента. Как сообщила специализирующаяся на кибербезопасности фирма Under The Breach, хакер, взломавший в 2016 году форум Ethereum.org, предположительно получил доступ к базам данным трех крупных криптовалютных кошельков и инвестиционной онлайн-платформы BnkToTheFuture. Компания написала в Twitter: «Хакер продает данные, полученные из криптовалютных кошельков Trezor, Ledger и KeepKey. Он утверждает, что получил к ним доступ благодаря уязвимости в сервисе Shopify. Злоумышленник также заявляет, что в его распоряжении находится база данных SQL популярной инвестиционной онлайн-платформы BnkToTheFuture». Under The Breach сопроводила запись скриншотами объявления о продаже данных, в котором хакер утверждает, что базы включают имена, адреса, номера телефонов и адреса электронной почты пользователей кошельков. Trezor сделала ответное заявление: Подробнее: https://bits.media/khaker-vystavil-na-prodazhu-bazy-dannykh-trekh-kriptovalyutnykh-koshelkov/
-
Токен tBTC на сети Эфириума, обеспеченный биткоином, запущен несколько дней назад. Разработчикам пришлось остановить выпуск токенов после обнаружения уязвимости. Глава проекта tBTC Мэтт Луонго (Matt Luongo) в Twitter сообщил, что депозиты tBTC приостановлены на 10 дней. Для этого разработчики предусмотрели в коде специальную процедуру emergencyPauseNewDeposits(). При этом разработчики помогают пользователям, уже перечислившим BTC, получить их обратно. «tBTC работал на основной сети всего два дня. Похоже, он родился преждевременно. Спокойной ночи, милый принц», — написал Луонго. К сожалению, разработчики не сообщают подробностей по обнаруженной уязвимости. Процедура приостановки депозитов действует 10 дней. Именно за этот срок создатели проекта должны исправить ошибку. После разрешения ситуации Луонго пообещал опубликовать все детали об уязвимости. Подробнее: https://bits.media/razrabotchiki-tokena-tbtc-ostanovili-emissiyu-posle-obnaruzheniya-uyazvimosti/