Директор по безопасности компании Taurus, специализирующейся на обеспечении инфраструктуры для цифровых активов, Жан-Филипп Аумассон утверждает, что кошелек TronLink для блокчейна Tron имеет уязвимости.
«Это дефекты на базовом уровне, которые заметил бы любой компетентный аудитор», – заявил он в разговоре с Decrypt.
По его словам, TronLink использует слабые методы шифрования мнемонических фраз, применяемых для восстановления доступа к кошельку. «Похоже, официальный кошелек Tron использует AES-ECB для шифрования состоящей из 12 слов мнемонической фразы», – добавил Аумассон.
Он пояснил, что режим ECB не позволяет осуществлять эффективное шифрование данных. «Режим ECB воспринимает каждый блок данных по отдельности, в то время как между блоками должна существовать некая корреляция, чтобы гарантировать высокую безопасность», – заявил эксперт.
Данный метод шифрования критикуется многими исследователями в сфере кибербезопасности. «ECB – это самый простой и популярный метод шифрования, но в то же время довольно слабый», – утверждает фирма NotSoSecure.
Уязвимость может быть проэксплуатирована только на устройстве пользователя. Это объясняется тем, что проблема не проявляется на уровне блокчейна, доступ к которому можно получить из любого места. Успешная атака позволит хакеру вывести криптовалютные активы на свой кошелек.
«Это не нишевое приложение, которым пользовались бы 15 человек, – отметил Аумассон. – Я рекомендую держателям Tron: a) удостовериться, что проблема будет устранена в следующем релизе; b) убедиться в наличии надежного пароля; c) рассмотреть альтернативное приложение-кошелек».
