На прошлой неделе состоялась конференция по кибербезопасности Black Hat, в ходе которой исследователи рассказали об уязвимостях защиты криптовалютных активов при помощи мультиподписей. Согласно Wired, такие уязвимости по-прежнему присутствуют в инфраструктуре некоторых бирж криптовалют, но они уже работают над их устранением.
«Эти организации управляют большими объемами денег, поэтому они опираются на достаточно высокие требования к безопасности и приватности, – заявил сооснователь компании по разработке технологических решений для криптобирж Taurus Group и вице-президент Kudelski Security Жан-Филипп Аумассон. – Им необходим метод для разбития приватных ключей криптовалют на несколько компонентов, чтобы ни один из участников не владел полным ключом и не было единой точки отказа. Тем не менее, нам удалось найти уязвимости в организации таких схем, и это не теоретическая угроза. Они действительно могли бы быть использованы злоумышленниками».
В рамках исследования Аумассон руководствовался наблюдениями сооснователя компании по разработке мобильного криптокошелька ZenGo Омера Шломовица и подтвердил их обоснованность. Возможные атаки он разделил на три категории.
Атака #1: Недостающий элемент
В первом случае злоумышленникам потребуется инсайдер внутри биржи или другого финансового учреждения, который поможет им воспользоваться уязвимостью в библиотеке с открытым кодом. Библиотека была разработана известной биржей криптовалют, название которой не уточняется.
Атака основывается на низкой защите механизма обновления или ротации ключей. В распределенных схемах нежелательно, чтобы секретный ключ или его компоненты оставались постоянными, потому что со временем злоумышленник постепенно может скомпрометировать каждую часть и собрать целый ключ. В уязвимой библиотеке механизм обновления позволял одному из держателей ключа запустить процесс ротации, а затем манипулировать им таким образом, чтобы некоторые компоненты ключа изменились, в то время как другие остались прежними. Хотя это не позволяло ему сопоставить старые элементы ключа с новыми, так он мог предотвратить доступ биржи к ее собственным активам.
В большинстве схем с мультиподписью для авторизации транзакций требуется определенное число элементов целого ключа. Таким образом компании могут сохранить доступ к кошелькам, даже если некоторые элементы будут утеряны. В ходе описанной атаки злоумышленник может остаться владельцем единственного недостающего элемента для получения доступа к кошельку и с его помощью шантажировать биржу.
Исследователи сообщили об уязвимости разработчику библиотеки всего через неделю после ее запуска, поэтому вероятность ее установки какой-либо из бирж невелика. В то же время, это библиотека с открытым кодом, поэтому она могла разойтись среди различных финансовых учреждений.
Атака #2: Биржа против клиентов
Во втором сценарии злоумышленник может воспользоваться взаимодействием биржи с клиентами. Это еще одна проблема в процессе ротации, где система не осуществляет полную валидацию сообщений, которыми стороны обмениваются между собой. Из-за этого биржа с враждебными намерениями может медленно собирать приватные ключи пользователей в ходе множества циклов их обновления, а затем использовать для кражи активов. Такая операция может быть проделана злоумышленником извне, если он получит доступ к системам биржи.
Уязвимость также берет свое начало из библиотеки с открытым кодом. Она была разработана неназванной компанией по управлению ключами. Сама компания не использует уязвимую библиотеку в своих продуктах, но другие фирмы могли ее установить.
Атака #3: Неслучайная случайность
Третья атака начинается на этапе распределения ключей среди авторизованных участников. В процессе каждый участник должен сгенерировать пару случайных чисел, которые впоследствии будут задействованы в доказательствах с нулевым разглашением. Уязвимость содержится в библиотеке с открытым кодом биржи Binance – как выяснилось, в нее не была встроена проверка на случайность чисел. Это позволяло злоумышленнику отправлять специальным образом организованные сообщения, которые затем использовались бы для определения всех значений. Результатом такой операции стало бы раскрытие элементов ключей всех других участников.
«Эта уязвимость имеет мгновенные губительные последствия, – заявляет Шломовиц. – Для осуществления атаки необходимо составить специальное сообщение, отправить его во время генерации ключа и дождаться первой подписи. Этой информации будет достаточно, чтобы узнать все остальные ключи».
Binance устранила уязвимость в марте, отметив, что она присутствовала только на этапе первичной генерации ключа. В настоящее время она не несет угроз, если только биржи не используют ключи, которые могли создать при участии злоумышленников до ее устранения. В марте Binance призвала всех пользователей библиотеки установить ее исправленную версию и перевыпустить ключи.
Шломовиц и Аумассон признают, что описанные атаки сложны в исполнении и требуют соблюдения определенных условий, например наличия своего человека на бирже. Тем не менее, потенциальный ущерб от таких атак может быть огромным для отдельной платформы и ее пользователей, а надлежащая реализация механизмов защиты вызывает вполне ожидаемые трудности.
«Для этого нужно много времени, много навыков. Буквально все делают ошибки, потому что перенести замысел с бумаги в реальную функционирующую систему, используемую для хранения денежных средств, действительно тяжело», – добавил Шломовиц.
