Το Fireblocks αποκαλύπτει τρωτά σημεία που επηρεάζουν 15 σημαντικούς παρόχους πορτοφολιών κρυπτογράφησης

Το σύνολο των τρωτών σημείων, που ονομάστηκε "BitForge", θα επέτρεπε σε έναν εισβολέα να ανακτήσει ένα ιδιωτικό κλειδί από μία μόνο συσκευή.

Μια ομάδα ερευνητών στην εταιρεία υποδομής κρυπτογράφησης Fireblocks αποκάλυψε μια σειρά από τρωτά σημεία που λένε ότι επηρεάζουν ορισμένους από τους πιο ευρέως διαδεδομένους παρόχους τεχνολογίας πολυμερούς υπολογισμού (MPC).

1/ Η ερευνητική ομάδα του Fireblocks αποκάλυψε το BitForge, ένα σύνολο ευπαθειών σε μερικά από τα πιο ευρέως διαδεδομένα πρωτόκολλα MPC, τα οποία επιτρέπουν σε έναν εισβολέα να ανακτήσει ένα ιδιωτικό κλειδί από μία μόνο συσκευή. Διαβάστε παρακάτω → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO

— Fireblocks (@FireblocksHQ) Αύγουστος 9, 2023

Οι ερευνητές αναφέρθηκαν στην ανακάλυψη ως "BitForge", περιγράφοντας το σύνολο των τρωτών σημείων zero-day ως κάτι που θα επέτρεπε σε έναν εκμεταλλευτή να εκμεταλλευτεί τα ιδιωτικά κλειδιά ενός χρήστη λόγω της έλλειψης απόδειξης μηδενικής γνώσης στα πρωτόκολλα MPC GG-18 και GG-20.

Εν τω μεταξύ, η ευπάθεια που επηρεάζει το πρωτόκολλο Lindell 17 ήταν αποτέλεσμα της απομάκρυνσης των παρόχων πορτοφολιών από τις προδιαγραφές που ορίζονται στο ακαδημαϊκό έγγραφο, το οποίο δημιούργησε μια κερκόπορτα για τους εισβολείς ώστε να εκθέσουν μέρος του ιδιωτικού κλειδιού όταν αποτύχει η υπογραφή.

«Η ευπάθεια επιτρέπει την πλήρη εξόρυξη ιδιωτικού κλειδιού, επιτρέποντας στους εισβολείς να κλέψουν όλα τα χρήματα από το κρυπτογραφικό πορτοφόλι». Σημειώνεται οι ερευνητές του Fireblocks.

Ο όρος "zero-day" αναφέρεται σε ευπάθειες που δεν είχαν ανακαλυφθεί προηγουμένως, τις οποίες οι προγραμματιστές έχουν ουσιαστικά μηδέν ημέρες για να διορθώσουν.

Αυτά τα τρωτά σημεία επηρεάζουν περισσότερους από 15 παρόχους πορτοφολιών ψηφιακών περιουσιακών στοιχείων, blockchains και άλλα έργα που βασίζονται σε αυτά τα πρωτόκολλα MPC, συμπεριλαμβανομένων των Coinbase, ZenGo και Binance. Αυτές οι εταιρείες έχουν έκτοτε επιλύσει τα ζητήματα που σχετίζονται με το BitForge αφού το Fireblocks τους παρουσίασε τα τεκμηριωμένα ευρήματά του.

«Αυτό ακριβώς μοιάζει με την προληπτική συνεργασία ασφάλειας. Το ζήτημα αντιμετωπίστηκε αμέσως και δεν επηρεάστηκαν τα χρήματα των χρηστών», δήλωσε ο Tal Be'ery, επικεφαλής τεχνολογίας στο ZenGo.

Το Coinbase επίσης αναγνώρισε Η αποκάλυψη της Fireblocks, σημειώνοντας ότι ενώ το καταναλωτικό προϊόν Coinbase Wallet δεν επηρεάστηκε από το ζήτημα, οι προηγούμενες εκδόσεις της λύσης Wallet as a Service χρησιμοποιούσαν ορισμένες από τις εν λόγω βιβλιοθήκες.

2/ Η Coinbase κυκλοφόρησε αμέσως ενημερωμένες βιβλιοθήκες τον Μάιο για να βελτιώσει τον χειρισμό σφαλμάτων, παρά την έλλειψη εκμεταλλευσιμότητας. Αυτό είναι μέρος της δέσμευσής μας να βελτιώνουμε συνεχώς και να διατηρούμε τα υψηλότερα πρότυπα ασφάλειας.

— Coinbase Cloud 🛡️ (@CoinbaseCloud) Αύγουστος 9, 2023