Проблема заключалась в недостатке энтропии, которую можно использовать для проведения брутфорс-атак и восстановления сгенерированных приватных ключей кошельков, причем уязвимости в базовых библиотеках, используемых в открытых проектах, могут иметь каскадные риски для всей цепочки поставок.
В декабре 2023 г., "надписи" на биткойнах были добавлены в Национальную базу данных уязвимостей США (NVD) и отмечены как угроза кибербезопасности. Это было сделано для привлечения внимания к недостаткам безопасности, которые были допущены при разработке протокола Ordinals в 2022 г. Добавление в список NVD означает, что уязвимость признана важной для информирования общественности.
В декабре 2023 г. новая функция в блокчейне Ethereum Create2 стала причиной кражи $60 млн. Злоумышленники нашли способ обойти системы безопасности криптовалютных кошельков, используя функцию, которая позволяет создавать смарт-контракты в блокчейне, причем с возможностью предварительного расчета их адресов до развертывания. Функция является легитимной, но она создала уязвимости в системе безопасности Ethereum.
Основной способ эксплуатации заключается в создании новых адресов контрактов без истории подозрительных транзакций. Злоумышленники заставляют жертвы подписывать вредоносные транзакции, после чего переводят активы на предварительно рассчитанные адреса.
В декабре 2023 г. многие криптосервисы оказались под угрозой из-за взлома кода кошелька Ledger. Уязвимость была исправлена, но успела затронуть несколько популярных децентрализованных сервисов, администраторы которых вынужденно отключили пользовательский интерфейс. Оказался скомпрометированным широко используемый код сервиса авторизации через криптокошелек Ledger. Компания сообщила, что им удалось удалить вредоносный код, но уязвимость эксплуатировалась в течение двух часов и распространялась на большинство популярных децентрализованных криптосервисов.
Как видно из этого выборочного списка, эксплуатация практически любой уязвимости в криптокошельках или криптопротоколах немедленно ведет к эксплуатации финансовых рисков.
управление уязвимостями
Когда речь идет о контроле уязвимостей при эксплуатации криптовалютных кошельков, рекомендации всегда тривиальны, но от этого они не становятся менее важными.
1. Использование надежных кошельков. Выбор надежного и проверенного криптовалютного кошелька с хорошей репутацией снижает риск возникновения уязвимостей и кибератак.