کشف بیش از ۴۰ باگ در پلتفرم‌های ارزهای دیجیتال طی تنها ۳۰ روز

بنا بر گزارش نشریه‌ی The Next Web در تاریخ ۱۴ مارس (۲۳ اسفند)، هکرهای کلاه سفید، طی ۳۰ روز گذشته، موفق به کشف بیش از ۴۰ مورد اشکال نرم‌افزاری در بلاک چین و پلتفرم‌های ارزهای دیجیتال شدند.

طبق تحقیقات انجام‌شده توسط این نشریه، در بازه‌ی زمانی ۱۳ فوریه (۲۴ بهمن) تا ۱۳ مارس (۲۲ اسفند)، در مجموع، ۴۳ مورد آسیب‌پذیری در ۱۳ شرکت مرتبط با ارزهای دیجیتال و بلاک چین گزارش شد.

در حوزه‌ی بلاک چین، یک پلتفرم‌ شرط‌بندی آنلاین بازی‌های ورزشی با ۱۲ مورد اشکال نرم‌افزاری، بیش‌ترین تعداد آسیب‌پذیری را به خودش اختصاص داد. بعد از آن، شرکت خدمات پرداختی اُمیس (Omise)، توسعه‌دهنده‌ی ارز دیجیتال اُمیس‌گو (OmiseGo) در رتبه‌ی دوم جای گرفت.

ارز دیجیتال ایاس (EOS) با ۵ مورد آسیب‌پذیری، در رتبه‌ی سوم قرار دارد. تندرمینت (Tendermint)، الگوریتم اجماع (Consensus algorithm) و پروتکل شبکه‌ی همتا به همتا (P2P)، با ۴ مورد اشکال نرم‌افزاری، در رده‌ی چهارم قرار گرفت.

پس از آن نیز، آگِر (Augur)، پروتکل پیش‌بینی بازار غیرمتمرکز و تزوس (Tezos)، پلتفرم قراردادهای هوشمند، با ۳ مورد اشکال نرم‌افزاری، هر دو در رتبه‌ی پنجم قرار گرفتند.

ارز دیجیتال مبتنی بر حفظ حریم خصوصی مونرو (Monero)، ارز دیجیتال آیکون (ICON) و کیف پول MyEtherWallet هرکدام با داشتن ۲ مورد اشکال نرم‌افزاری، در رده‌ی پایین‌تر جای گرفتند. از صرافی بزرگ کوین بیس و مرورگر مبتنی بر بلاک چین بریو (Brave) نیز، یک مورد آسیب‌پذیری گزارش شد.

همچنین، هکرها در مجموع، ۲۳,۶۷۵ دلار برای این تلاش‌های صورت‌گرفته دریافت کردند و تندرمینت با پرداخت ۸۵۰۰ دلار، بیش‌ترین میزان پاداش را به این هکرها اعطا کرد. پس از آن، ایاس با ۵۵۰۰ دلار و پلتفرم‌ شرط‌بندی آنلاین با ۱۳۷۵ دلار، بیش‌ترین پاداش را پرداخت کردند.

نشریه‌ی The Next Web اذعان داشت که پاداش‌های کم، بیانگر کم اهمیت بودن اشکال‌های کشف‌شده است. در مقابل، ده‌ها هزار دلار از این پاداش‌های اعطاشده، از سوی ایاس به هکرهایی که موفق به کشف آسیب‌پذیری‌های بحرانی در پلتفرم آن شدند، تعلق گرفت.

این هفته، شرکت لجر، سازنده‌ی کیف پول سخت‌افزاری لجر، آسیب‌پذیری‌های موجود در دستگاه‌های رقیب اصلی خود، یعنی ترزور (Trezor) را در معرض نمایش قرار داد.

طبق گفته‌های لجر، با انجام همانندسازی با بدافزار، سپس بستن دوباره جعبه دستگاه و چسباندن برچسب اطمینان روی آن که گویا به راحتی نیز کنده می‌شود، می‌توان در دستگاه‌های ترزور در پشتی (backdoor) ایجاد کرد.

ترزور، متعاقباً به این ادعاها پاسخ داد و اظهار داشت که هیچ‌کدام از ضعف‌های گزارش‌شده از سوی لجر، برای کیف پول‌های سخت‌افزاری اشکال بحرانی محسوب نمی‌شوند. طبق گفته‌های ترزور، هیچ‌کدام از این کیف پول‌های سخت‌افزاری را نمی‌توان از راه دور مورد سو استفاده قرار داد زیرا برای انجام حملات گفته‌شده، به دسترسی فیزیکی به دستگاه، تجهیزات مخصوص، زمان و تخصص فنی نیاز است.

منبع: cointelegraph