Исследователи нашли критические уязвимости в кошельках популярных криптобирж. Стоит ли переживать?

Компания Fireblocks занимается инфраструктурными решениями в сфере крипторынка и постоянно мониторит ситуацию в индустрии цифровых активов. Теперь её представители нашли уязвимости в коде нескольких самых популярных платформ для хранения монет и токенов. Аналитики Fireblock предупреждают, что найденные слабые места в защите криптокошельков могут привести к миллионам долларов убытков. При этом руководство торговых платформ уже в курсе происходящего. Рассказываем о ситуации подробнее.

Тема безопасности криптовалютных кошельков уже оказывалась в центре экспертов на этой неделе. В частности, исследователи CER решили выяснить, разработчики каких кошельков используют глобальный подход в тестировании собственных продуктов. Речь прежде всего идёт о моделировании взлома своей платформы хакерами.

Оказалось, что лишь 13 процентов разработчиков изученных платформ проводят попытки хака своих продуктов. И поскольку подавляющее большинство девелоперов не занимается подобным, оценка безопасности многих продуктов оказалась посредственной.

Аппаратный кошелёк Ledger Nano X

Впрочем, некоторые площадки всё же получили хорошие баллы. К примеру, возможности защиты MetaMask на основе браузеров Chrome, Brave, Firefox и Edge оценили в 96 баллов из 100. К тому же представители данного продукта также периодически проводят их взломы.

Где лучше хранить криптовалюты

Эксперты Fireblocks обнаружили серию уязвимостей под общим названием BitForge. Она затрагивает проекты, которые используют протоколы конфиденциальных вычислений (MPC) с кодовыми названиями GG-18, GG-20 и Lindell17.

MPC – это метод, позволяющий нескольким пользователям совместно выполнять операции с криптовалютой по типу подписания транзакций без раскрытия собственных приватных ключей. Каждый участник вносит свою информацию в протокол, который обрабатывает данные так, чтобы они оставались зашифрованными. И только после этого происходит выполнение необходимой операции.

Криптовалютный хакер

Согласно данным источников CryptoPotato, вопрос исправления уязвимостей требует немедленного внимания. Вот соответствующая цитата экспертов по этому поводу.

Уязвимости BitForge, если их не устранить, позволят злоумышленникам использовать недавно обнаруженные недостатки в протоколах GG18 и GG20 путём утечки полного приватного ключа из-за отсутствия доказательства с нулевым разглашением.

Иначе говоря, злоумышленники могут добраться до комбинаций, которые необходимы для взаимодействия с криптовалютами на определённом адресе. А поскольку речь идёт о кошельках крупных бирж, масштаб опасности тоже оказывается крупным. Например, летом 2022 года хакеры смогли добраться к деньгам некоторых пользователей кошельков Phantom, Slope и TrustWallet в сети Solana и Эфириума. Позже оказалось, что в ситуации виноваты разработчики кошелька Slope, который отправлял на сервер сид-фразы пользователей в незашифрованном виде. Соответственно, хакерам было достаточно перехватить комбинации, после чего они дождались нужного момента и украли чужие активы.

Задержанный криптовалютный мошенник

В отчёте аналитики Fireblocks упомянули нескольких популярных провайдеров криптокошельков — в том числе Coinbase, Zengo и Binance. Однако клиентам этих компаний уже не стоит беспокоиться о потенциальной потере своих средств. Fireblocks заранее предупредила их в частном порядке о необходимости устранения проблем.

Напомним, предварительное уведомление разработчиков о найденном баге до раскрытия данной информации в публичном пространстве — нормальная практика. Обычно девелоперы требуют получение подобной информации, затем они в срочном порядке выпускают исправление уязвимости и только потом рассказывают о происходящем. Таким образом они пытаются минимизировать возможные убытки и сохранить собственную репутацию. Ну а обнаруживший баг разработчик обычно получает награду или так называемое баунти.

Криптовалютные инвесторы во время буллрана

Отсутствие проблем также подтвердил директор по информационной безопасности Coinbase Джефф Лунглхофер. Вот соответствующая цитата на этот счёт.

Хотя клиенты и средства Coinbase никогда не подвергались риску, поддержание полностью доверительной криптографической модели является важным аспектом любой реализации работы MPC.

Генеральный директор Binance Чанпен Чжао сообщил, что биржа устранила уязвимость, а средства пользователей не пострадали. Вдобавок Чжао поблагодарил представителей Fireblocks за вовремя найденную уязвимость.

Твит руководителя Binance Чанпена Чжао о решённой проблеме с кошельками

Тем не менее, ответственность за сохранность криптовалют несут непосредственно их владельцы. Именно поэтому опытные инвесторы рекомендуют хранить на биржах лишь небольшой объём монет, который требуется для проведения транзакций.

Ну а для долгосрочного накопления цифровых активов лучше всего подходят аппаратные кошельки по типу знакомого нам Ledger Nano S Plus. Такие устройства хранят уникальную сид-фразу на специальном защищённом чипе, который не выходит в онлайн. Вдобавок он требует подтверждение со стороны пользователя для каждого взаимодействия с сидом, а значит провести операцию без ведома владельца девайса здесь не получится.

Как показывает нынешняя ситуация, уязвимости можно найти во многих популярных криптовалютных продуктах, а значит пользователям нужно сделать соответствующие выводы. Очевидно, прежде всего для хранения больших сумм активов безопаснее использовать аппаратные кошельки, причём несколько. То же самое актуально для бирж. Если человеку приходится хранить активы на торговых платформах — например, для стейкинга или участия в так называемых лончпадах — безопаснее распределять монеты между разными площадками. Это позволит хотя бы минимизировать убытки в случае взлома, что является не самым плохим вариантом.

Ещё больше интересного ищите в нашем крипточате. Там говорим и на другие важные темы, которые определяют настроения в мире цифровых активов и так или иначе приближают новый буллран.

ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ. ТУЗЕМУН НЕ ЗА ГОРАМИ!