.jpg)
SİYAH ŞAPKA ABD — Las Vegas — 9 Ağustos Çarşamba Büyük kripto para cüzdanları tarafından kullanılan protokollerdeki güvenlik açıkları, potansiyel olarak bir saldırganın bir yatırımcının özel anahtarına erişmesine ve tüm dijital varlıklarını çalmasına izin verebilir.
Çarşamba günü Black Hat’ta Fireblocks’tan araştırmacılar, finansal olarak motive olmuş siber saldırganların, küresel olarak hizmetler tarafından blockchain işlemlerini imzalamak için kullanılan Lindell17, GG18 ve GG20 eşik imza şemalarından (TSS) nasıl yararlanabileceğini açıkladı. Bu protokoller, Zengo, Coinbase’in hizmet olarak cüzdanı ve diğerleri dahil olmak üzere popüler kitaplıklar ve cüzdan sağlayıcıları tarafından kullanılır.
O zamandan beri hem Zengo hem de Coinbase sorunu hafifletti ve ne onlar ne de araştırmacılar TSS güvenlik açıklarından yararlanan herhangi bir saldırgan tespit etmediler.
Özel Anahtarlardaki Güvenlik Açığı
En başından beri kripto para biriminin vaadi özerklikti. Siz ve yalnızca siz, kendi paranızın depolanmasını ve transferini kontrol edersiniz. Bu özerkliği sağlayan en temel mekanizma, çevrimiçi cüzdanınızla ilişkili benzersiz bir tanımlayıcı olan özel anahtardır. Asla değiştirilemeyen bir parola gibi, özel anahtarı kontrol eden cüzdanı ve tüm içeriğini kontrol eder.
Gibi Şehir Fireblocks’un güvenlik ürünleri başkanı Madar, “düşünürseniz, bu güvenlik açısından çok kırılgan bir şey. Anahtarı nerede tutuyorsunuz?”
Tek bir başarısızlık noktası riski, birden fazla tarafın herhangi bir işlemi onaylaması gereken çok taraflı hesaplamanın (MPC) benimsenmesine ilham verdi. Madar, “Blockchain teknolojisini kullanan dünyanın en büyük bankalarını düşünün” diyor. “İşlem yaptıkları tüm milyonlarca ve milyarlarca dolardan emin olmalarını istiyorsunuz. Dolayısıyla MPC, işlevsel bir işlemde nihai imzanın geçerli olabilmesi için belirli bir onay eşiğine ihtiyacınız olduğu fikridir.”
Fireblocks’un tespit ettiği güvenlik açıkları, bir saldırganın kendisini bu resme dahil etmesine ve bu tarafların kontrolünü ele geçirmesine olanak tanır.
Nasıl çalışır
Bir saldırgan, bu cüzdan imzalama protokollerinden yararlanmak için önce imzanın bir tarafını, örneğin cüzdanın kullanıcısını veya sağlayıcısını tehlikeye atar. Oradan, kullanıcının özel anahtar verilerinin parçalarını yavaş yavaş sızdıran özel hazırlanmış mesajlar gönderebilirler.
Örneğin, Lindell17 söz konusu olduğunda, mesajlar protokolün iptalleri nasıl ele aldığından faydalanabilir ve onu iptal işlemleri arasında “imkansız bir seçime” zorlayabilir; Her imzada anahtarın ek parçalarını imzalamak ve feda etmek, “araştırmacılar teknik raporlarında açıkladılar. Tekrarlanan kötü amaçlı mesajlarla, sonunda tamamı saldırganın eline geçene kadar daha fazla özel anahtar verisi sızdırılır.
Araştırmacılar, GG18 ve GG20 vakalarında, bir saldırganın bir işlemin taraflarından birini tehlikeye atması gerekmediğini belirtti. Ve bir MPC kitaplığı söz konusu olduğunda, bir saldırgan, yalnızca bir anahtar çifti oluşturma işlemi sırasında özel anahtarı kurtararak, hiçbir kötü amaçlı mesaj olmadan anahtar verilerini çıkarabilir.
Güvenliği en üst düzeye çıkarmak için özel olarak tasarlanmış bir sistemin bu kadar kapsamlı bir şekilde ortaya çıkabilmesi, ek güvenlik katmanlarına olan ihtiyacı vurgular. Madar, dijital varlıkları yöneten kuruluşlarda, “açıkçası dahili bir kripto ekibine sahip olmanız ve ne yaptıklarını bilmeleri gerekiyor” diyor. Bunun da ötesinde, “yüksek kaliteli algılama sistemlerinin önemini herkes buradan almalıdır.”
“Bir saldırgan başarılı olursa,” diye ekledi, “MPC’deki diğer tüm tarafları oyundan çıkarabilirler. Ancak o zamana kadar oyunun kuralları içinde hareket etmeleri gerekir. Ve burada yetkili taraf olmak size size Bu gerçekleşmeden önce bir yanıtı tespit etme ve yönlendirme avantajı.”