«Это дефекты на базовом уровне, которые заметил бы любой компетентный аудитор», – заявил он в разговоре с Decrypt. По его словам, TronLink использует слабые методы шифрования мнемонических фраз, применяемых для восстановления доступа к кошельку. «Похоже, официальный кошелек Tron использует AES-ECB для шифрования состоящей из 12 слов мнемонической фразы», – добавил Аумассон. Он пояснил, что режим ECB не позволяет осуществлять эффективное шифрование данных. «Режим ECB воспринимает каждый блок данных по отдельности, в то время как между блоками должна существовать некая корреляция, чтобы гарантировать высокую безопасность», – заявил эксперт. Данный метод шифрования критикуется многими исследователями в сфере кибербезопасности. «ECB – это самый простой и популярный метод шифрования, но в то же время довольно слабый», – утверждает фирма NotSoSecure. Уязвимость может быть проэксплуатирована только на устройстве пользователя. Это объясняется тем, что проблема не проявляется на уровне блокчейна, доступ к которому можно получить из любого места. Успешная атака позволит хакеру вывести криптовалютные активы пользователя на свой кошелек. «Это не нишевое приложение, которым пользовались бы 15 человек, – отметил Аумассон. – Я рекомендую держателям Tron: a) удостовериться, что проблема будет устранена в следующем релизе; b) убедиться в наличии надежного пароля; c) рассмотреть альтернативное приложение-кошелек».
- Биткоин: где купить? Обзор некоторых платформ для покупки криптовалюты
- Cryptonica – лучший информационный портал о криптовалюте
- Прогноз курса Ethereum: опасения регулирующих органов по поводу будущего ETH стремительно растет
- Обмен юсдт на российские рубли
- Выбор интернет-казино с минимальным депозитом и невысокими ставками