Журнал "Information Security/ Информационная безопасность" #1, 2024

протокола Ordinals в 2022 г. Добавление в список NVD означает, что уязвимость признана важной для информирования общественности. В декабре 2023 г. новая функция в блокчейне Ethereum Create2 стала при- чиной кражи $60 млн. Злоумышленни- ки нашли способ обойти системы без- опасности криптовалютных кошельков, используя функцию, которая позволяет создавать смарт-контракты в блокчей- не, причем с возможностью предвари- тельного расчета их адресов до раз- вертывания. Функция является леги- тимной, но она создала уязвимости в системе безопасности Ethereum. Основной способ эксплуатации заклю- чается в создании новых адресов конт- рактов без истории подозрительных транзакций. Злоумышленники застав- ляют жертвы подписывать вредонос- ные транзакции, после чего переводят активы на предварительно рассчитан- ные адреса. В декабре 2023 г. многие криптосер- висы оказались под угрозой из-за взло- ма кода кошелька Ledger. Уязвимость была исправлена, но успела затронуть несколько популярных децентрализо- ванных сервисов, администраторы кото- рых вынужденно отключили пользова- тельский интерфейс. Оказался ском- прометированным широко используемый код сервиса авторизации через крипто- кошелек Ledger. Компания сообщила, что им удалось удалить вредоносный код, но уязвимость эксплуатировалась в течение двух часов и распространялась на большинство популярных децентра- лизованных криптосервисов. Как видно из этого выборочного спис- ка, эксплуатация практически любой уязвимости в криптокошельках или криптопротоколах немедленно ведет к эксплуатации финансовых рисков. Управление уязвимостями Когда речь идет о контроле уязвимо- стей при эксплуатации криптовалютных кошельков, рекомендации всегда три- виальны, но от этого они не становятся менее важными. 1. Использование надежных кошель- ков. Выбор надежного и проверенного криптовалютного кошелька с хорошей репутацией снижает риск возникновения уязвимостей и кибератак. 2. Обновление системы и программ- ного обеспечения. Регулярные обновле- ния кошельков и всех связанных с ними программных компонентов помогают устранять известные уязвимости и обес- печивают безопасность системы. 3. Многофакторная аутентификация. Включение функции многофакторной аутентификации обеспечивает дополни- тельный уровень защиты от несанкцио- нированного доступа к кошельку. 4. Резервное копирование и безопас- ное хранение ключей. Регулярное соз- дание резервных копий ключей доступа к кошельку и их безопасное хранение в надежном месте поможет избежать поте- ри средств в случае утери или повреж- дения исходного кошелька. 5. Обучение. Проведение обучающих мероприятий по безопасности крипто- валютных кошельков поможет пользо- вателям понять основные угрозы и при- нять меры по их минимизации. Другими словами, чтобы минимизи- ровать угрозы, рекомендуется исполь- зовать надежные и проверенные крип- товалютные кошельки, следовать пра- вилам кибергигиены и передовому опыту в сфере безопасности, таким как исполь- зование сложных паролей, установка двухфакторной аутентификации, резерв- ное копирование закрытого ключа и резервной фразы, их хранение в надеж- ном месте. Необходимо также проявлять бдительность и повышенное внимание при работе с криптовалютными опера- циями и подозрительными запросами. Есть улучшения и в сфере стандарти- зации: в качестве примера можно при- вести механизм BIP (Bitcoin Improvement Proposal), используемый для предложе- ния изменений в протокол биткоина. Предложения в рамках BIP разрабаты- ваются членами сообщества, включая разработчиков, исследователей и поль- зователей, и предназначены для обсуж- дения и координации изменений в сети. Обратим внимание на предложение BIP-0039 (обычно называемое просто BIP39) – это стандарт, определяющий метод генерации мнемонических фраз для создания и восстановления кошель- ков биткоин и других криптовалют. Мнемоническая фраза (Seed Phrase) представляет собой набор слов, который можно легко запомнить и использовать для восстановления частного ключа кошелька. Этот стандарт был предложен для упрощения процесса резервного копирования и восстановления кошель- ков, а также для повышения безопасно- сти, предоставляя пользователю удоб- ный способ резервного копирования и хранения секретной информации. Мнемонические фразы по BIP39 осо- бенно полезны для создания и исполь- зования кошельков с использованием множества криптовалют, так как они обычно поддерживаются большинством кошельков и платформ. Замечания в заключение Необходимо развивать взаимодей- ствие и взаимную поддержку внутри сообщества по вопросам безопасности и устранения уязвимостей для повыше- ния уровня безопасности криптоплат- форм и криптосервисов. Важным аспектом применения блок- чейн-технологий стал запущенный в Рос- сии цифровой рубль. К счастью, для него практически все, что было известно к моменту запуска, было учтено. Но остается важным вопрос операционной безопасности и повышения осведом- ленности граждан. Об этом требуется особая забота. Все чаще злоумышленники исполь- зуют фишинговые транзакции, фишин- говые аирдропы (NFT), вредоносные смарт-контракты на сайтах для после- дующего опустошения криптовалютных кошельков. Это стало возможным ввиду доступности инструментов широкому кругу злоумышленников. И конечно же, уже сегодня необходимо готовиться к грядущей квантовой угрозе, путем разработки квантовоустойчивых протоколов и технологий. В перспективе года-двух злоумышленникам могут стать доступны квантовые алгоритмы перебо- ра ключей. l • 65 КРИПТОГРАФИЯ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Изображение: playground.com