Ano ang Kahulugan ng Meltdown at Spectre Flaws para sa Crypto

Ang kamakailang nag-leak na mga kahinaan sa computer na Meltdown at Spectre ay nag-aalok ng isa pang paalala kung gaano kahirap ang digital age na KEEP ligtas ang pribadong impormasyon – maging ang mga pribadong key ng Cryptocurrency .

Inihayag noong Miyerkules, ang malawakang mga kahinaan sa hardware ay sabay-sabay na nakakaapekto sa Intel, ARM at AMD computer chips, na nagpapagana sa karamihan ng mga computer, mobile device at server sa mundo, na ginagawang posible na magnakaw ng pribadong data gaya ng mga password, impormasyon sa pananalapi o halos anumang bagay na nakaimbak sa anumang device na gumagamit ng ONE sa mga chips na ito.

Kung saan ito ay mahalaga para sa partikular na Cryptocurrency , maaaring gamitin ng mga hacker ang partikular na vector ng pag-atake upang kurutin ang mga pribadong key na nagpapahintulot sa mga user na kontrolin ang kanilang mga bitcoin sa blockchain.

Mga sikat na Mechanics tinawag ito isang "kasuklam-suklam" na bug, na sinasabing "mahirap i-zero in sa pinaka nakakabagabag na bahagi ng kapintasan na ito," habang ang isang pahina ng impormasyon na isinulat ng mga mananaliksik sa seguridad ay nagsasabi na ikaw ay "tiyak" na apektado ng bug.

At kahit na walang katibayan na ang anumang mga password ay nakompromiso, sinabi ng mga eksperto na T nakakagulat kung ang mga hacker o ang NSA ay pinagsamantalahan ang pag-atake.

Kung sinusunod mo na ang pinakamahuhusay na kagawian para sa pag-iimbak ng Cryptocurrency , malamang na okay ka. Ngunit kung hindi, o kung mas bagong user ka, sinasabi ng mga eksperto na mahalagang KEEP ang mga pribadong key sa isang ligtas na device.

"Mas mahusay na ligtas kaysa sa paumanhin," sabi ng developer ng Bitcoin CORE na si Bryan Bishop sa CoinDesk, idinagdag:

"Ang isang attacker na may kaalaman tungkol sa isang sapat na malakas na kahinaan ay maaaring theoretically pilitin ang iyong CPU upang ipakita ang Secret na data tulad ng mga pribadong key na ginagamit upang kontrolin ang iyong Bitcoin."

Mga vector ng pag-atake

Mahalagang tandaan na ang payo na mag-imbak ng mga pribadong key sa isang secure na device ay hindi bago. (Matagal nang nagbabala ang mga developer ng Crypto laban sa pag-iimbak ng mga pribadong key sa mga laptop o iba pang device na nakikipag-ugnayan sa internet.)

Ngunit ang mga dahilan kung bakit maaaring hindi halata para sa mga mas bagong user. Kahit na ang Bitcoin at iba pang cryptocurrencies ay mga secure na protocol, dapat silang makipag-ugnayan sa bukas na internet at mga regular na computer. Sa madaling salita, ang pag-iimbak ng mga pribadong key na malapit sa internet ay maaaring maglantad sa mga user sa mga hack at pagnanakaw.

At ang mga bagong kahinaan ng CPU ay nagpapalala sa sitwasyon, dahil ang isang hanay ng mga aksyon ay maaaring humantong sa error at kompromiso.

"Kung totoo ang problema sa protektadong memorya, maaaring ma-access ng browser plugin o kahit isang website ang iyong mga pribadong key," sabi ng kontribyutor ng Bitcoin CORE si Jonas Schnelli.

Ang buong detalye ng isyu ay T pa pampubliko, kaya hindi malinaw kung ano ang mga tumpak na vector ng pag-atake. Gayunpaman, ang iba ay nagmungkahi ng isang katulad na epekto ay maaaring malamang.

"Upang matamaan ng pag-atakeng ito, ang kailangan mo lang gawin ay mag-click ng LINK nang hindi sinasadya at baka mapunta ka sa isang website na naghahatid ng masamang ad na may malware code na nagnanakaw ng iyong data," dagdag ni Bishop.

At habang ang mga sitwasyong ito ay maaaring mukhang malayo, karamihan sa malware ngayon ay nabiktima ng mga katulad na kahinaan na hindi pa nata-tagpi. Imposibleng malaman kung sino at kailan talaga sila tatama.

Available na ngayon ang mga pag-aayos ng operating system na dapat gamitin ng mga user para i-patch up ang kanilang mga Windows, Mac, at Linux device. Ngunit, para sa mga gumagamit ng Cryptocurrency , ang mas magandang opsyon ay hindi mag-imbak ng mga pribadong key sa isang device na nakakonekta sa internet, isang rekomendasyong karaniwan bago ang partikular na kahinaan na ito.

Ang ONE opsyon ay ang pag-imbak ng mga pribadong key sa isang tinatawag na "hardware wallet," gaya ng Ledger o Trezor. Maaaring hindi gaanong madaling gamitin ang maliliit na device, ngunit mas secure ang mga ito dahil hindi ito nakakonekta sa internet.

Si Pavol Rusnak, CTO ng SatoshiLabs, ang kumpanya sa likod ng Trezor, ay umabot hanggang sa makipagtalo "Ang paggamit ng isang [hardware] wallet ay mas mahalaga ngayon kaysa dati!" Habang ang developer ng Ethereum na si Lefteris Karapetsas quipped, "Pinagpustahan ko ang Spectre at Meltdown ang pinakamagandang bagay na maaaring mangyari para sa mga negosyo ng cold wallet Cryptocurrency ."

Magpalitan ng mga kayamanan

Higit pa sa mga solong consumer device, ang mas malaki, mas nakakabahalang target ay ang mga palitan ng Cryptocurrency at mga negosyo, na nag-iimbak ng mga pribadong key ng Cryptocurrency para sa milyun-milyong user nang sabay-sabay.

Ang ilang mga palitan ng Cryptocurrency ay gumagamit ng mga serbisyo sa cloud hosting gaya ng Amazon Web Services at Google Cloud upang patakbuhin ang kanilang mga website, sa halip na paikutin ang kanilang sariling mga server.

Habang ginagawa ng mga platform na ito ang mga website na mas madaling pamahalaan, sila ay partikular na mahina sa mga pag-atakeng ito. Ang isang hacker ay maaaring theoretically paikutin ang isang server gamit ang parehong hardware bilang isang Cryptocurrency startup na nagpapatakbo ng mga operasyon sa naturang cloud platform at biglang magkaroon ng access sa lahat ng kanilang data.

Sa mundo ng Crypto , maaaring gamitin ng isang hacker ang attack vector na ito para magnakaw ng mga pribadong key.

Sa ONE banda, marami sa pinakasikat na cloud platform ang mabilis na nag-unroll ng mga pag-aayos. Sa kabilang banda, ang mga mananaliksik ay nag-aalala na ang malalim na pinag-ugatan na mga kahinaan ay maaaring magbunga ng hindi naayos na mga variant, na may posibleng matagal na epekto na darating.

Bitcoin sa dilim larawan sa pamamagitan ng Shutterstock