Fireblocks avalikustab haavatavused, mis mõjutavad 15 peamist krüptorahakoti pakkujat

Haavatavuste komplekt, mille nimi on "BitForge", võimaldaks ründajal hankida privaatvõti ühest seadmest.

Krüptotaristu ettevõtte Fireblocks teadlaste meeskond on avalikustanud haavatavused, mis nende sõnul mõjutavad mõnda kõige laialdasemalt kasutatavat mitme osapoole arvutustehnoloogia (MPC) tehnoloogia pakkujat.

1/ Fireblocksi uurimisrühm on avastanud BitForge'i, haavatavuste komplekti mõnes enimkasutatud MPC-protokollis, mis võimaldab ründajal tuua privaatvõtme ühest seadmest. Loe edasi → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO

- Fireblocks (@FireblocksHQ) August 9, 2023

Teadlased nimetasid avastust BitForge'iks, kirjeldades nullpäeva turvaaukude komplekti kui midagi, mis oleks võimaldanud ekspluateerijal kasutaja privaatvõtmeid eksfiltreerida, kuna MPC protokollides GG-18 ja null-teadmiste tõend puudub. GG-20.

Samal ajal oli Lindell 17 protokolli mõjutav haavatavus tingitud sellest, et rahakoti pakkujad eemaldusid akadeemilises dokumendis esitatud spetsifikatsioonidest, mis lõi ründajatele tagaukse, et allkirjastamise ebaõnnestumise korral osa privaatvõtmest paljastada.

"Haavatavus võimaldab privaatvõtme täielikku ekstraheerimist, võimaldades ründajatel varastada kogu raha krüptorahakotist." märkida Fireblocksi uurijad.

Mõiste "nullpäev" viitab varem avastamata haavatavustele, mille parandamiseks on arendajatel sisuliselt null päeva.

Need haavatavused mõjutavad enam kui 15 digitaalsete varade rahakoti pakkujat, plokiahelaid ja muid projekte, mis toetuvad neile MPC protokollidele, sealhulgas Coinbase, ZenGo ja Binance. Pärast seda, kui Fireblocks esitas neile oma dokumenteeritud leiud, on need ettevõtted BitForge'iga seotud probleemid lahendanud.

"Täpselt selline näeb välja ennetav turvakoostöö. Probleemiga tegeleti kiiresti ja see ei mõjutanud kasutajate vahendeid, ”ütles ZenGo tehnoloogiajuht Tal Be'ery.

Coinbase ka tunnustatud Fireblocksi avalikustamine, märkides, et kuigi tema Coinbase Walleti tarbekaupa probleem ei mõjutanud, kasutasid selle Walleti kui teenuse varasemad versioonid mõnda kõnealust teeki.

2/ Coinbase andis maikuus kohe välja uuendatud teegid, et parandada veakäsitlust, hoolimata kasutatavuse puudumisest. See on osa meie kohustusest pidevalt täiustada ja säilitada kõrgeimaid turvastandardeid.

— Coinbase Cloud 🛡️ (@CoinbaseCloud) August 9, 2023