کشف بیش از ۴۰ باگ در پلتفرمهای ارزهای دیجیتال طی تنها ۳۰ روز
بنا بر گزارش نشریهی The Next Web در تاریخ ۱۴ مارس (۲۳ اسفند)، هکرهای کلاه سفید، طی ۳۰ روز گذشته، موفق به کشف بیش از ۴۰ مورد اشکال نرمافزاری در بلاک چین و پلتفرمهای ارزهای دیجیتال شدند.
طبق تحقیقات انجامشده توسط این نشریه، در بازهی زمانی ۱۳ فوریه (۲۴ بهمن) تا ۱۳ مارس (۲۲ اسفند)، در مجموع، ۴۳ مورد آسیبپذیری در ۱۳ شرکت مرتبط با ارزهای دیجیتال و بلاک چین گزارش شد.
در حوزهی بلاک چین، یک پلتفرم شرطبندی آنلاین بازیهای ورزشی با ۱۲ مورد اشکال نرمافزاری، بیشترین تعداد آسیبپذیری را به خودش اختصاص داد. بعد از آن، شرکت خدمات پرداختی اُمیس (Omise)، توسعهدهندهی ارز دیجیتال اُمیسگو (OmiseGo) در رتبهی دوم جای گرفت.
ارز دیجیتال ایاس (EOS) با ۵ مورد آسیبپذیری، در رتبهی سوم قرار دارد. تندرمینت (Tendermint)، الگوریتم اجماع (Consensus algorithm) و پروتکل شبکهی همتا به همتا (P2P)، با ۴ مورد اشکال نرمافزاری، در ردهی چهارم قرار گرفت.
پس از آن نیز، آگِر (Augur)، پروتکل پیشبینی بازار غیرمتمرکز و تزوس (Tezos)، پلتفرم قراردادهای هوشمند، با ۳ مورد اشکال نرمافزاری، هر دو در رتبهی پنجم قرار گرفتند.
ارز دیجیتال مبتنی بر حفظ حریم خصوصی مونرو (Monero)، ارز دیجیتال آیکون (ICON) و کیف پول MyEtherWallet هرکدام با داشتن ۲ مورد اشکال نرمافزاری، در ردهی پایینتر جای گرفتند. از صرافی بزرگ کوین بیس و مرورگر مبتنی بر بلاک چین بریو (Brave) نیز، یک مورد آسیبپذیری گزارش شد.
همچنین، هکرها در مجموع، ۲۳,۶۷۵ دلار برای این تلاشهای صورتگرفته دریافت کردند و تندرمینت با پرداخت ۸۵۰۰ دلار، بیشترین میزان پاداش را به این هکرها اعطا کرد. پس از آن، ایاس با ۵۵۰۰ دلار و پلتفرم شرطبندی آنلاین با ۱۳۷۵ دلار، بیشترین پاداش را پرداخت کردند.
نشریهی The Next Web اذعان داشت که پاداشهای کم، بیانگر کم اهمیت بودن اشکالهای کشفشده است. در مقابل، دهها هزار دلار از این پاداشهای اعطاشده، از سوی ایاس به هکرهایی که موفق به کشف آسیبپذیریهای بحرانی در پلتفرم آن شدند، تعلق گرفت.
این هفته، شرکت لجر، سازندهی کیف پول سختافزاری لجر، آسیبپذیریهای موجود در دستگاههای رقیب اصلی خود، یعنی ترزور (Trezor) را در معرض نمایش قرار داد.
طبق گفتههای لجر، با انجام همانندسازی با بدافزار، سپس بستن دوباره جعبه دستگاه و چسباندن برچسب اطمینان روی آن که گویا به راحتی نیز کنده میشود، میتوان در دستگاههای ترزور در پشتی (backdoor) ایجاد کرد.
ترزور، متعاقباً به این ادعاها پاسخ داد و اظهار داشت که هیچکدام از ضعفهای گزارششده از سوی لجر، برای کیف پولهای سختافزاری اشکال بحرانی محسوب نمیشوند. طبق گفتههای ترزور، هیچکدام از این کیف پولهای سختافزاری را نمیتوان از راه دور مورد سو استفاده قرار داد زیرا برای انجام حملات گفتهشده، به دسترسی فیزیکی به دستگاه، تجهیزات مخصوص، زمان و تخصص فنی نیاز است.
تشکر