Безопасность

Coinbase Wallet уязвим перед атаками смарт-контрактов

Кошелек от биржи Coinbase оказался уязвим перед скрытыми атаками смарт-контрактов даже несмотря на систему по защите от них

Криптовалютный кошелек Coinbase Wallet, а также другие децентрализованные приложения, уязвимы к скрытым атаками смарт-контрактов. Об этом на официальном сайте сообщили аналитики ZenGo Wallet. Как утверждают исследователи, многие криптоприложения оказались уязвимы к скрытым вредоносным функциям смарт-контрактов. Даже реализованные системы защиты не помогают обнаружить несанкционированные действия со стороны протоколов, отмечают в ZenGo Wallet.

По словам исследователей, злоумышленники научились «обманывать» криптокошельки, эмулируя легитимную деятельность во время проверки смарт-контракта системой защиты приложения. Убедившись в надежности протокола, жертва проводит реальную операцию с криптовалютой. На этом этапе смарт-контракт замечает, что операция не проверяется системой защиты и меняет значения для кражи активов из кошелька.

Помимо Coinbase Wallet, к так называемой «атаке красной таблетки» уязвимы и другие приложения вроде Rabby Wallet, Blowfish, PocketUniverse и Fire Extension. В ZenGo Wallet утверждают, что уведомили представителей проектов о выявленной уязвимости. Масштаб «атаки красной таблетки» остается неясен. О том, какой выбрать кошелек для хранения криптовалют — читайте в специальном материале редакции.

О похожей системе защиты для своего браузерного расширения под Safari ранее говорили и в Ledger. Сообщалось, что браузерное расширение Ledger Extension будет имитировать проведение транзакции, чтобы показать, как подключенный протокол намерен взаимодействовать с криптовалютным кошельком. Однако неясно, учли ли в Ledger сценарий вышеописанных атак против эмуляторов для смарт-контрактов.

  • Ранее аналитики IT-фирмы Halborn обнаружили критические уязвимости почти у трех сотен блокчейн-сетей, включая Litecoin. Уязвимость под кодовым названием Rab13s связана с одноранговыми переводами между криптовалютными кошельками.
  • Выяснилось, что злоумышленники могут отключать ноды (валидаторов/майнеров) от сети всего лишь с помощью одной транзакции с вредоносным кодом. Отключив достаточное количество нод, хакер может провернуть атаку 51%. Помимо зараженных транзакций, хакеры могут отключить ноду при помощи RPC-сообщений.
  • Впрочем, для проведения такой атаки в ноде должны быть прописаны обширные права доступа, что сразу сужает масштаб атаки.

   

Источник

Click to rate this post!
[Total: 0 Average: 0]
Показать больше

Добавить комментарий