Официальный кошелек Tron раскритиковали за слабое шифрование

«Это дефекты на базовом уровне, которые заметил бы любой компетентный аудитор», – заявил он в разговоре с Decrypt. По его словам, TronLink использует слабые методы шифрования мнемонических фраз, применяемых для восстановления доступа к кошельку. «Похоже, официальный кошелек Tron использует AES-ECB для шифрования состоящей из 12 слов мнемонической фразы», – добавил Аумассон. Он пояснил, что режим ECB не позволяет осуществлять эффективное шифрование данных. «Режим ECB воспринимает каждый блок данных по отдельности, в то время как между блоками должна существовать некая корреляция, чтобы гарантировать высокую безопасность», – заявил эксперт. Данный метод шифрования критикуется многими исследователями в сфере кибербезопасности. «ECB – это самый простой и популярный метод шифрования, но в то же время довольно слабый», – утверждает фирма NotSoSecure. Уязвимость может быть проэксплуатирована только на устройстве пользователя. Это объясняется тем, что проблема не проявляется на уровне блокчейна, доступ к которому можно получить из любого места. Успешная атака позволит хакеру вывести криптовалютные активы пользователя на свой кошелек. «Это не нишевое приложение, которым пользовались бы 15 человек, – отметил Аумассон. – Я рекомендую держателям Tron: a) удостовериться, что проблема будет устранена в следующем релизе; b) убедиться в наличии надежного пароля; c) рассмотреть альтернативное приложение-кошелек».

Интересное по теме