Официальный кошелек Tron имеет дефекты на базовом уровне

Директор по безопасности компании Taurus, специализирующейся на обеспечении инфраструктуры для цифровых активов, Жан-Филипп Аумассон утверждает, что кошелек TronLink для блокчейна Tron имеет уязвимости.

«Это дефекты на базовом уровне, которые заметил бы любой компетентный аудитор», – заявил он в разговоре с Decrypt.

По его словам, TronLink использует слабые методы шифрования мнемонических фраз, применяемых для восстановления доступа к кошельку.

«Похоже, официальный кошелек Tron использует AES-ECB для шифрования состоящей из 12 слов мнемонической фразы», – добавил Аумассон.

Он пояснил, что режим ECB не позволяет осуществлять эффективное шифрование данных.

«Режим ECB воспринимает каждый блок данных по отдельности, в то время как между блоками должна существовать некая корреляция, чтобы гарантировать высокую безопасность», – заявил эксперт.

Данный метод шифрования критикуется многими исследователями в сфере кибербезопасности.

«ECB – это самый простой и популярный метод шифрования, но в то же время довольно слабый», – утверждает фирма NotSoSecure.

Уязвимость может быть проэксплуатирована только на устройстве пользователя. Это объясняется тем, что проблема не проявляется на уровне блокчейна, доступ к которому можно получить из любого места. Успешная атака позволит хакеру вывести криптовалютные активы на свой кошелек.

«Это не нишевое приложение, которым пользовались бы 15 человек, – отметил Аумассон. – Я рекомендую держателям Tron: a) удостовериться, что проблема будет устранена в следующем релизе; b) убедиться в наличии надежного пароля; c) рассмотреть альтернативное приложение-кошелек».

Источник: cryptocurrency.tech