Spis treści
Jean-Philippe Aumasson, dyrektor ds. Bezpieczeństwa w Taurus, firmie zajmującej się infrastrukturą aktywów cyfrowych, twierdzi, że portfel TronLink jest podatny na ataki.
„Są to wady na podstawowym poziomie, które zauważyłby każdy kompetentny audytor” – powiedział Aumasson .
Według niego TronLink używa słabych metod szyfrowania fraz mnemonicznych używanych do przywracania dostępu do portfela. „Wygląda na to, że oficjalny portfel Tron używa AES-ECB do szyfrowania 12-wyrazowej mnemonicznej frazy” – dodał Aumasson.
Wyjaśnił, że tryb EBC nie pozwala na skuteczne szyfrowanie danych. „Tryb EBC traktuje każdy blok danych oddzielnie, podczas gdy między blokami musi istnieć pewna korelacja, aby zapewnić wysoki poziom bezpieczeństwa” – powiedział ekspert.
Ta metoda szyfrowania została skrytykowana przez wielu badaczy cyberbezpieczeństwa. „EBC to najprostsza i najpopularniejsza metoda szyfrowania, ale jest też dość słaba” – mówi NotSoSecure.
Lukę można wykorzystać tylko na urządzeniu użytkownika. Dzieje się tak, ponieważ problem nie objawia się na poziomie blockchain, do którego można uzyskać dostęp z dowolnego miejsca.
„To nie jest niszowa aplikacja, z której korzystałoby 15 osób” – powiedział Aumasson. – Polecam posiadaczom Tron: a) upewnić się, że problem został rozwiązany w następnej wersji; b) upewnij się, że masz silne hasło; c) rozważ alternatywny portfel”.
źródło: https://decrypt.co/43258/tronlink-wallet-suffers-from-poor-encryption-says-researcher
Comments (No)