دیجیزا/ محققان امنیتی می‌گویند کتابخانه‌های متن‌باز مورداستفاده مؤسسه‌های مالی و خصوصا صرافی‌‌های رمزارزی، حفره‌های امنیتی خطرناک و جدی دارند که شاید مورد سوءاستفاده هکرها قرار بگیرند.
   
امروزه رمزارزها به مفاهیمی رایج در دنیای فناوری تبدیل شده‌اند. تعداد زیادی از کاربران امروزی، از ابزارهای گوناگون از اپلیکیشن تا پلتفرم آنلاین یا ابزارهای سخت‌افزاری برای نگه‌داری دارایی رمزینه خود استفاده می‌کنند. در‌این‌میان، صرافی‌های رمزارزی که وظیفه‌ی تبادل ارزها را برعهده دارند و حجم عظیمی از آن‌ها را مدیریت می‌کنند، نیازمند منابع و مخازنی بسیار امن برای نگه‌داری هستند که شبیه به گاوصندوق‌های بزرگ بانکی به‌نظر می‌رسند. محققان امنیتی در کنفرانس اخیر Black Hat، آسیب‌پذیری‌های احتمالی را در مخازن ذخیره‌ی رمزارز گزارش کردند که برخی از آن‌ها‌، صرافی‌های بزرگ را تحت تأثیر قرار داده‌اند. اگرچه برخی از چالش‌های پیش‌آمده برای صرافی‌های رمزارزی، حل شده‌اند، اما هنوز حفره‌های امنیتی ظرفیت بالایی برای سوءاستفاده توسط هکرها دارند.

حمله به مخازن دیجیتالی نگه‌داری رمزارز و دارایی‌های دیجیتال، قطعا با نفوذ به گاوصندوق‌‌های فیزیکی و روش‌هایی همچون شکستن قفل تفاوت پیدا می‌کند. این مخازن با روش‌هایی قابل دسترسی هستند که شبیه به گاوصندوق‌های قدیمی عمل می‌کنند. تصور کنید ۶ کلید به‌صورت هم‌زمان باید وارد گاوصندوق شود تا دسترسی به دارایی‌های داخلی را ممکن کند. در دنیای رمزارزها، کلیدهای خصوصی برای ورود به کیف پول‌ها به چند بخش شکسته می‌شوند. درنتیجه مجرمان برای نفوذ، باید بخش‌های گوناگون را درکنار هم داشته باشند و به‌صورت صحیح ترکیب کنند. ازطرفی برخلاف روش‌‌های سنتی توزیع کلیدهای فیزیکی، مکانیزم‌های رمزنگاری زیرساختی در مدیریت کلیدهای چندگانه، پیچیده هستند و نمی‌توان به‌راحتی آن‌ها را پیاده‌سازی کرد. به‌خاطر همین پیچیدگی، هرگونه اشتباه در فرایندها با پیامدهای ناگواری همراه می‌شود.

جان فیلیپ آماسون، هم‌بنیان‌گذار شرکت Taurus Group، فعال در صنعت فناوری‌های مرتبط با صرافی‌های رمزارزی و معاون ارشد شرکت Kudelski Security می‌گوید: «این سازمان‌ها وظیفه‌ی مدیریت حجم زیادی پول را برعهده دارند. درنتیجه باید نیازمندی‌های متعدد و پیچیده‌ای را در حوزه‌ی امنیت و حریم خصوصی رعایت کنند. آن‌ها به روش‌هایی نیاز دارند تا کلیدهای خصوصی حفاظت از دارایی‌ها را به قطعات گوناگون تقسیم کنند. روش تقسیم باید به‌گونه‌ای انجام شود که هیچ‌یک از طرف‌های حاضر در فرایند، کلید کامل را دراختیار نداشته باشد. درنتیجه هیچ نقطه‌ی آسیب‌پذیری برای نفوذ وجود نخواهد داشت. ما حفره‌هایی امنیتی را در فرایندهای شکستن کلیدها پیدا کردیم که از فاز تئوری فراتر رفته‌اند و قابل اجرا هستند. یک مجرم سایبری با احتمال بالا امکان سوءاستفاده از حفره‌ها را خواهد داشت».

آماسون در تحقیقات خود با عمر شلومویتس، هم‌بنیان‌گذار کیف پول موبایل ZenGo همکاری کرد. نتیجه‌ی تحقیقات آن‌ها، سه روش نفوذ با سوءاستفاده از حفره‌های امنیتی موجود را نشان می‌دهد. روش اول، به فردی نفوذی در صرافی رمزارز یا سازمان مالی دیگر نیاز دارد که از آسیب‌پذیری موجود در یک کتابخانه‌ی متن‌باز، سوءاستفاده کند. یک صرافی رمزارز مشهور، این کتابخانه را توسعه داده است که محققان از ذکر نام آن خودداری می‌کنند. نفوذ روش اول، از آسیب‌پذیری موجود در فرایند تازه‌سازی یا چرخش کلیدها سوءاستفاده می‌کند. فراموش نکنید که در روش توزیع کلیدهای امن، هیچ‌گاه مکان کلیدها ثابت نمی‌ماند و همیشه یک فرایند چرخشی اجرا می‌شود. با این روش، اگر هکرها موفق به نفوذ به یکی از دارنده‌های کلید شوند، امکان پیدا کردن بخش‌های دیگر و ترکیب آن‌ها دشوار می‌شود.

آسیب‌پذیری موجود در کتابخانه‌ی متن‌باز، امکان ایجاد تداخل در فرایند تغییر و چرخش کلیدهای امن را ممکن می‌کند. مجرمان نفوذی با سوءاستفاده از این آسیب‌پذیری می‌توانند فرایند تغییر کلید را به‌گونه‌ای دستکاری کنند که تنها بخش‌هایی جزئی از کلید تغییر کند و بقیه‌ی موارد، ثابت بمانند. اگرچه مجرمان سایبری با روش مذکور توانایی ترکیب کردن کلیدهای قدیمی و جدید را ندارند، اما با سوءاستفاده از آن حمله‌های محروم‌سازی از سرویس را پیاده می‌کنند که دسترسی صرافی به دارایی‌های دیجیتال را مختل می‌کند.

اکثر فرایندهای شکست و توزیع کلیدهای امن به این صورت عمل می‌کنند که با حضور بخش مشخص عمده‌ای از کلید، امکان تأیید تراکنش‌ها فراهم می‌شود. درنتیجه، اگر بخشی از کلید گم یا تخریب شود، کل فرایند آن دچار مشکل نخواهد شد. محققان می‌گویند مجرمان با سوءاستفاده از ساختار مذکور، امکان باج‌گیری مالی را در برخی موارد پیدا می‌کنند. آن‌ها بخشی از کلید را دراختیار می‌گیرند و برای پس دادن آن، اخاذی می‌کنند.

محققان امنیتی، یک هفته پس از آنکه کتابخانه‌ی متن‌باز در اینترنت منتشر شد، آسیب‌پذیری آن را به توسعه‌دهنده‌ی اصلی اطلاع دادند. درنتیجه احتمال به‌کارگیری کتابخانه در صرافی‌های رمزارزی بزرگ آن‌چنان زیادی نیست. هرچند به‌خاطر ماهیت متن‌باز آن، شاید برخی از مؤسسه‌های مالی از کتابخانه استفاده کرده باشند.

در روش نفوذ دوم، مجرمان روی ارتباط صرافی‌ها با مشتریان تمرکز می‌کنند. یکی از آسیب‌پذیری‌های موجود در فرایند چرخش و نوسازی کلیدهای امن، باعث اختلال در پیام‌رسانی بین دو بخش فعال در فرایند می‌شود. دراین‌میان اگر یک صرافی با انگیزه‌های خرابکارانه وارد عمل شود، امکان استخراج کلیدهای امن کاربران را با چند مرتبه بازسازی کلیدهای امن، پیدا می‌کند. در این مرحله، صرافی می‌تواند دارایی‌های دیجیتال مشتریان را به سرقت ببرد. فراموش نکنید که یک هکر هم با نفوذ به صرافی می‌تواند همین فعالیت‌ها را انجام دهد. آسیب‌پذیری مذکور در یک کتابخانه‌ی متن‌باز دیگر رویت شد که یک شرکت ناشناس مدیریت کلیدهای امن آن را توسعه می‌دهد. این شرکت از کتابخانه در محصولات خود استفاده نمی‌کند، اما شاید دیگر فعالان صنعت مالی آن را به کار گرفته باشند.

روش نفوذ سوم زمانی رخ می‌دهد که بخش‌های گوناگون نگهدارنده‌ی کلید امن، خودشان کلید اختصاصی را با اعداد تصادفی تولید کرده و پس از ترکیب، هریک از آن‌ها صحت و اعتبار کلید نهایی را تأیید کنند. محققان در بررسی‌های خود متوجه شدند که یک کتابخانه‌ی متن‌باز توسعه‌یافته توسط صرافی رمزارز بایننس، مقادیر ورودی تصادفی را با دقت بررسی نمی‌کند. درنهایت مجرمان با نفوذ در میان طرف‌های درگیر سازنده‌ی کلید، می‌توانند بخشی از کلید را به‌صورت غیرتصادفی تولید کنند که امکان سوءاستفاده‌های آتی را برای آن‌ها فراهم خواهد کرد. البته بایننس در ماه مارس این آسیب‌پذیری را برطرف کرد. آن‌ها در بیانیه‌ی امنیتی اعلام کردند که کاربران باید کتابخانه‌ی tss-lib را هرچه زودتر به‌روزرسانی کنند.

محققان امنیتی در پایان گزارش خود می‌گویند سوءاستفاده از آسیب‌پذیری‌های کشف‌شده تنها زمانی ممکن می‌شود که مجرمان، به صرافی هدف نفوذ کرده باشند. ازطرفی تحقیقات نشان می‌دهد که استفاده از کتابخانه‌‌های متن‌باز بدون درنظرگرفتن شرایط امنیتی، شاید پیامدهای بسیار گسترده‌ای برای صرافی‌ها داشته باشد. این تحقیقات نشان داد که با وجود امنیت بسیار بالای فرایند توزیع کلیدهای امن، به‌کارگیری فرایند و ابزارهای مورد استفاده، اهمیت بالایی در پیاده‌سازی بی‌نقص آن دارد.