| Предыдущая версия справа и слеваПредыдущая версияСледующая версия | Предыдущая версия |
| ru:world:sec [2023/07/27 05:00] – anel | ru:world:sec [2023/07/27 05:06] (текущий) – anel |
|---|
| В [[https://cointelegraph.com/news/hackers-steal-100-000-worth-of-btc-from-engineering-manager-at-crypto-custodian-bitgo|2019]] году у технического менеджера биржи BitGo было украдено $100 000 с биржи Coinbase с помощью SIM swapping: смс-код от 2FA пришел на устройство преступников и они получили доступ к его аккаунту на бирже. | Существует достаточно предложений на рынке кастодиальных услуг для криптовалют. Для защиты ключей помимо технологии мультиподписи набирает популярность применение протоколов конфиденциального вычисления. |
| • В 2023 году технического директора OpenSea обманом заставили подписать вредоносную подпись, что привело к потере 40 NFT. | |
| • В 2023 году кроссчейн-мост Allbridge потерял цифровые активы стоимостью около $570 000 в результате хакерской атаки, которая была связана с манипуляцией ценой свопа. | |
| • В 2023 году злоумышленники похитили $500 000 в ходе стартовавшего накануне аирдропа Arbitrum, подделав vanity-адреса легитимных получателей токенов. | |
| • В 2023 году произошла атака на банкомат General Bytes, в результате которой было украдено около $1.8 млн. Злоумышленник смог удаленно загрузить собственное java-приложение через мастер-сервисный интерфейс, используемый терминалами для загрузки видео, и запустить его, используя привилегии пользователя batm. | |
| |
| | **Мультиподпись** - это вариант цифровой подписи, который требует наличия нескольких секретных ключей для проведения какой-либо операции или подписания чего-либо. В случае с криптоактивами мультиподпись используется для подписания транзакаций несколькими приватными ключами, т.е. средства хранятся с использованием адреса с несколькими подписями, и доступ к ним осуществляется с помощью двух или более ключей, которыми владеют отдельные лица. |
| |
| | **Протокол конфиденциального вычисления** - это криптографический метод, который позволяет распределять один ключ между несколькими организациями или отдельными лицами. Протокол конфиденциального вычисления позволяет двум или более сторонам выполнять вычисления над своими входами, скрывая входные данные друг от друга. Таким образом, ключ никогда не оказывается цельным в одном месте или не хранится полностью на одном устройстве. Для проведения транзакций или других операций выполняются математические операции по воссозданию полноты цифровой подписи из кворума участников. В результате вычисленная подпись получается идентичной единой подписи. |
| |
| Отчет [[https://www.slowmist.com/report/2022-Blockchain-Security-and-AML-Analysis-Annual-Report(EN).pdf|Slowmist]] сообщает, что наиболее популярные методы фишинговых атак включают в себя: | ---- |
| |
| * **использование вредоносных закладок браузера для кражи токена Discord:** вставляя код JavaScript в закладки через фишинговые страницы, злоумышленник потенциально может получить доступ к Discord информации пользователя и завладеть правами учетной записи; | [[https://copper.co/|Copper.co]] предлагает кастодиальные услуги для хранения криптовалют и цифровых активов. Они используют протокол конфиденциального вычисления, чтобы обеспечить безопасность хранения криптовалютных ключей. |
| |
| * **"Blank Check" eth_sign:** при подключении кошелька на каком-либо сайте может появиться окно заявки на подпись с красным предупреждением от Metamask. Из этого окна может быть трудно определить, что именно просят подписать. Этот тип подписи позволяет мошенникам использовать закрытый ключ пользователя для подписания любой транзакции, которую они выберут. Метод eth_sign может подписывать любой хэш, т.е. как только злоумышленник получит адрес пользователя и подключится к DApp, он может создать любой запрос (например, отправку средств или вызов контракта) и попросить подписать его через the_sign; | **Copper.co** также использует технологию мультиподписи для обеспечения безопасности транзакций. Каждая транзакция подписывается несколькими участниками с использованием их собственных приватных ключей. Это повышает уровень безопасности, так как злоумышленнику нужно получить доступ к нескольким ключам, чтобы провести нежелательную транзакцию. |
| |
| * **использование похожих на клиентские адресов для отправки поддельных транзакций.** | Кроме того, **Copper.co** использует аппаратное обеспечение для хранения криптовалют, что повышает безопасность еще больше. Компания предлагает также услуги по управлению рисками и поддержке клиентов. |
| | |
| | |
| Также компания Kaspersky разработала новый инструмент - Klipper, который может распознавать мнемонические фразы из скриншотов, сделанных на устройствах с Android. | |
| |
| ---- | ---- |
| |
| [[https://blog.merklescience.com/hacktrack/hacktrack-analysis-horizon-bridge-exploit|Harmony кроссчейн мост:]] | [[https://www.finoa.io/|Finoa]] - это кастодиан, специализирующийся на хранении цифровых активов институциональных клиентов, таких как хедж-фонды, семейные офисы, венчурные капиталы и др. Они предлагают ряд различных мер безопасности для защиты цифровых активов своих клиентов. |
| Кроссчейн мост включал в себя мультиподпись типа 2 из 5, т.е. для проверки транзакций потребовалось 2 ключа из общего числа 5 ключей. Злоумышленники скомпрометировали 2 адреса, скорее всего, горячих кошельков, чтобы вывести деньги. Далее полагается, что злоумышленники скомпрометировали серверы, на которых работали эти горячие кошельки, и получили доступ к ключам, которые хранились в //“plaintext”// для подписания законных транзакций. Когда ключ хранится в //“plaintext”//, он представляет собой обычный читаемый текст и не был зашифрован. Таким образом, злоумышленники смогли получить доступ к ключу, не обязательно расшифровывая его. | |
| |
| ---- | Одним из ключевых элементов их технологии хранения является мультиподпись. **Finoa** использует мультиподпись для защиты цифровых активов своих клиентов, что позволяет им сделать транзакции только в том случае, если они будут одобрены несколькими уполномоченными лицами. Это предотвращает возможные ошибки и злоупотребления со стороны одного лица. |
| |
| Wintermute маркетплейс: | Кроме того, **Finoa** также использует различные методы хранения ключей, включая хранение на аппаратном обеспечении (HSM), распределенное хранение на нескольких устройствах и шифрование ключей. |
| |
| Хранилище Wintermute позволяет выполнять эти переводы только администраторам, и горячий кошелек Wintermute выполнял эту роль. Злоумышленник cмог вычислить секретные ключи адреса администратора хранилища и таким образом вывести средства. | **Finoa** также предлагает услуги кибербезопасности, такие как непрерывное мониторинг и обнаружение вторжений, для защиты цифровых активов своих клиентов. |
| Для этого он воспользовался уязвимостью инструмента Profanity. Инструмент Profanity позволял генерировать удобночитаемые Ethereum-адреса (vanity-адреса), содержащие слова, имена или фразы. Адрес администратора хранилища начинался с префикса «0x0000000», характерного для vanity-адресов. | |
| |
| ---- | ---- |
| |
| [[https://slowmist.medium.com/report-on-the-ronin-network-exploit-and-aml-analysis-of-stolen-funds-692b2a589a96|Ronin кросс-чейн мост]]: | [[https://www.metaco.com/|Metaco]] - это криптовалютная платформа, которая предоставляет институциональным клиентам решения для безопасного хранения и управления цифровыми активами. Один из их ключевых продуктов - это кастодиальное решение **Silo**, которое обеспечивает безопасное хранение криптовалют и цифровых активов с помощью мультиподписи. |
| | |
| **Ronin** - проект компании Sky Mavis, которая развивает блокчейн-игру Axie Infinity. Изначально приложение работало на Ethereum, но Sky Mavis разработала сайдчейн Ronin для увеличения скорости обработки внутриигровых операций. Каналом связи между ним и Ethereum был кроссчейн-мост Ronin Bridge, благодаря которому в Axie Infinity можно было переводить активы стандарта ERC-20. | |
| | |
| Сеть Ronin работала по принципу 5 из 9 подписей. | |
| |
| В ноябре 2021 г. Sky Mavis обратилась к Axie DAO за помощью с выполнением бесплатных транзакций. Из-за большого количества пользователей Axie DAO внесла Sky Mavis в белый список, что позволило Sky Mavis подписывать различные транзакции от ее имени, и этот процесс был прекращен в декабре 2021 г. Доступ к белому списку не был отозван, и как только злоумышленники получили доступ к Sky Mavis это позволило им подписать заявку на вывод средств от валидатора Axie DAO с помощью RPC-ноды. | **Silo** использует мультиподпись с несколькими подписантами, что означает, что для проведения транзакции необходимо наличие нескольких согласованных подписей. Каждый ключ хранится в разных местах и доступ к активам можно получить только в случае, если все ключи находятся вместе. |
| |
| Доступ к Sky Mavis был получен благодаря тому, что один из сотрудников команды подвергся [[https://www.theverge.com/2022/7/6/23196713/axie-infinity-ronin-blockchain-hack-phishing-linkedin-job-offer|фишинговой атаке]], в результате чего злоумышленник получил доступ к инфраструктуре компании и валидаторам Ronin. По данным [[https://www.theblock.co/post/156038/how-a-fake-job-offer-took-down-the-worlds-most-popular-crypto-game|The Block]], хакеры связались через LinkedIn от имени поддельной компании, и когда сотрудники клюнули на приманку, провели несколько раундов поддельных собеседований, а затем «чрезвычайно щедрый» поддельный компенсационный пакет. В итоге один старший инженер щелкнул PDF-файл, предположительно содержащий официальное предложение, после чего хакеры сначала взломали компьютер инженера, а затем четыре из девяти узлов, используемых для проверки финансовых транзакций в Ronin. | Кроме того, **Silo** предлагает также безопасный обмен цифровыми активами, позволяя клиентам управлять своими активами в более безопасной и прозрачной среде. Решение также включает в себя механизмы аудита, мониторинга и управления рисками для обеспечения максимальной безопасности активов клиентов. |
| |
| Сеть Ronin Sky Mavis состоит из девяти проверяющих узлов, каждый из которых требует не менее пяти подписей для идентификации депозита или вывода средств. Злоумышленники обнаружили бэкдор с помощью безгазовой RPC-ноды, где они в конечном итоге получили контроль над пятым закрытым ключом стороннего валидатора Axie DAO. | |
