Уязвимости в крипте
Исследовательская группа Fireblocks по криптографии обнаружила BitForge – серию уязвимостей нулевого дня в некоторых из наиболее широко распространенных реализаций протоколов многопартийных вычислений (MPC), включая GG-18, GG-20 и Lindell17 (да, на русском здесь).
Многопользовательские вычисления остаются отраслевым стандартом безопасности кошельков, которым доверяют бесчисленные учреждения и розничные пользователи по всей отрасли. В рамках постоянных усилий по повышению безопасности MPC в области криптографии исследовательская группа Fireblocks проанализировала десятки общедоступных протоколов MPC и поставщиков кошельков. При этом команда обнаружила уязвимости нулевого дня в реализациях, используемых более чем 15 провайдерами кошельков цифровых активов, блокчейнами и проектами с открытым исходным кодом, которые позволили бы злоумышленнику с привилегированным доступом выводить средства из кошельков. В некоторых реализациях атака займет всего несколько секунд без ведома пользователя или поставщика.
А теперь то же самое, но простыми словами. Про 0-day мы когда-то давно уже писали для РБК, это (грубо говоря) такие ультимативные уязвимости. "Владение" 0-day позволяет при должном умении проводить исключительно эффективные атаки, а сами по себе они стоят миллионы долларов. И в случае с криптой все это вдвойне опасно. Потому, что во многих случаях "откатить" транзакции практически нереально, а в случае с северными корейцами нереально еще и что-то сделать с атакующей командой. "Что ты мне сделаешь, я в Пхеньяне, кекеке".
Особенно опасны 0-day в руках APT (Advanced Persistent Threat, грубо говоря, элиты от мира киберкриминала или state sponsored, про них мы тоже писали). Там в ход пойдет и социальная инженерия, фишинг, атаки на личные устройства — в общем все, что угодно. И именно пользователи криптокошельков — самая простая и понятная цель для них. Хотя при таких возможностях мы не удивимся, что скоро попытаются атаковать и биржи, и бриджи, да вообще все.
А на фоне роста числа пользователей крипты в новом "фрагментированном" мире, прошлогодние 4 лярда потерь могу показаться цветочками.
Исследовательская группа Fireblocks по криптографии обнаружила BitForge – серию уязвимостей нулевого дня в некоторых из наиболее широко распространенных реализаций протоколов многопартийных вычислений (MPC), включая GG-18, GG-20 и Lindell17 (да, на русском здесь).
Многопользовательские вычисления остаются отраслевым стандартом безопасности кошельков, которым доверяют бесчисленные учреждения и розничные пользователи по всей отрасли. В рамках постоянных усилий по повышению безопасности MPC в области криптографии исследовательская группа Fireblocks проанализировала десятки общедоступных протоколов MPC и поставщиков кошельков. При этом команда обнаружила уязвимости нулевого дня в реализациях, используемых более чем 15 провайдерами кошельков цифровых активов, блокчейнами и проектами с открытым исходным кодом, которые позволили бы злоумышленнику с привилегированным доступом выводить средства из кошельков. В некоторых реализациях атака займет всего несколько секунд без ведома пользователя или поставщика.
А теперь то же самое, но простыми словами. Про 0-day мы когда-то давно уже писали для РБК, это (грубо говоря) такие ультимативные уязвимости. "Владение" 0-day позволяет при должном умении проводить исключительно эффективные атаки, а сами по себе они стоят миллионы долларов. И в случае с криптой все это вдвойне опасно. Потому, что во многих случаях "откатить" транзакции практически нереально, а в случае с северными корейцами нереально еще и что-то сделать с атакующей командой. "Что ты мне сделаешь, я в Пхеньяне, кекеке".
Особенно опасны 0-day в руках APT (Advanced Persistent Threat, грубо говоря, элиты от мира киберкриминала или state sponsored, про них мы тоже писали). Там в ход пойдет и социальная инженерия, фишинг, атаки на личные устройства — в общем все, что угодно. И именно пользователи криптокошельков — самая простая и понятная цель для них. Хотя при таких возможностях мы не удивимся, что скоро попытаются атаковать и биржи, и бриджи, да вообще все.
А на фоне роста числа пользователей крипты в новом "фрагментированном" мире, прошлогодние 4 лярда потерь могу показаться цветочками.