هکرهای کلاه سفید متوجه شده اند که دو صرافی ارز دیجیتال ، یک میلیون کلید خصوصی به ارزش ۱۸ میلیون دلار سرمایه مشتریان را به صورت آنلاین در دسترس قرار داده اند.
تا این اواخر، بیش از ۱۸ میلیون دلار سرمایه کاربران در خطر قرار داشت، زیرا دو صرافی ارز دیجیتال به طور غیرعمد و اشتباهی، هزاران کلید خصوصی و اطلاعات شخصی کاربران را در دسترس قرار داده بودند.
طبق تحقیقات انجام شده توسط خبرگزاری CyberNews، یکی از این دو صرافی مورد نظر، یک صرافی سوییس به اسم لایک (Lykke) بوده است که بیش از ۱۶.۵ میلیون دلار در کیف پول های آنلاین در دیتابیس عمومی در اختیار داشت.
تحلیلگران با بررسی این دیتابیس متوجه شدند که کلیدهای API صرافی لایک، دسترسی نامحدود به لایه سازوکار داخلی صرافی را امکان پذیر میسازند. تحلیلگران سپس با این موضوع مواجه شدند تقریبا ۸۰,۰۰۰ کلید خصوصی بدون محافظت و ناایمن میباشند. کلیدهای شبکه اصلی لایک نیز نشان دادند که دسترسی به کوین های استیک شده توسط این صرافی به ارزش ۲۵,۰۰۰ دلار امکان پذیر بوده است. این موضوع بدان معنا است که تحلیلگران میتوانستند با میلیون ها دلار سرمایه کاربران فرار کنند و ردی از خود به جای نگذارند.
لایک تنها صرافی ارز دیجیتال نبود که مورد بررسی قرار گرفته است.
صرافی دیگری که از دیتابیس عمومی رمزگذاری نشده استفاده کرده است، یک بازار چینی به اسم هابدکس (Hubdex) است. این صرافی غیرمتمرکز نه تنها کلیدهای API، بلکه اطلاعات کامل کاربران و احراز هویت آنها را نیز در دسترس قرار داده است.
در آخر، تحلیلگران بیش از یک میلیون کلید خصوصی را به دست آوردند که دسترسی بدون محدودیت به سرمایه مشتریان را امکان پذیر میساخت.
طبق این گزارش، تنها صرافی لایک به این هکرها پاسخ دادند و تایید کردند دیتابیس غیرایمن برای آنها است و سریعا به اصلاح این آسیب پذیری پرداختند. تحلیلگران علیرغم آنکه نتوانستند با هابدکس ارتباط برقرار کنند اما گزارش دادند که آسیب پذیری این صرافی برطرف شده است.
عبارت “اگر کلیدهای خصوصی را در اختیار نداشته باشید، بیت کوین در اختیار ندارید” کاملا در این موضوع صادق بود.
بارها این نکته را تکرار کرده ایم که کوین های خود را در صرافی ها نگهداری نکنید زیرا صرافی ها امنیت کافی برای حفظ کوین های شما را ندارند و حتی صرافی های بزرگی مانند بایننس قابل هک کردن می باشند.
