فایربلاکز آسیب پذیری هایی را فاش می کند که بر 15 ارائه دهنده بزرگ کیف پول های رمزنگاری تأثیر گذاشته است.

مجموعه آسیب‌پذیری‌ها که «BitForge» نامیده می‌شود، به مهاجم اجازه می‌دهد یک کلید خصوصی را از یک دستگاه بازیابی کند.

تیمی از محققان در شرکت زیرساخت‌های رمزنگاری Fireblocks مجموعه‌ای از آسیب‌پذیری‌ها را فاش کرده‌اند که می‌گویند برخی از ارائه‌دهندگان فناوری محاسبات چند جانبه (MPC) را تحت تأثیر قرار می‌دهند.

1/ تیم تحقیقاتی Fireblocks BitForge را کشف کرده است، مجموعه‌ای از آسیب‌پذیری‌ها در برخی از رایج‌ترین پروتکل‌های MPC که به مهاجم اجازه می‌دهد یک کلید خصوصی را از یک دستگاه بازیابی کند. ادامه مطلب → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO

— Fireblocks (@FireblocksHQ) اوت 9، 2023

محققان این کشف را "BitForge" نامیدند و مجموعه ای از آسیب پذیری های روز صفر را به عنوان چیزی توصیف کردند که به یک سوء استفاده کننده امکان می داد تا از کلیدهای خصوصی کاربر به دلیل وجود مدرک دانش صفر در پروتکل های MPC GG-18 و GG-20 استفاده کند. GG-XNUMX.

در همین حال، آسیب پذیری تأثیرگذار بر پروتکل Lindell 17 نتیجه دور شدن ارائه دهندگان کیف پول از مشخصات مندرج در مقاله آکادمیک بود که دریچه پشتی برای مهاجمان ایجاد کرد تا در صورت عدم موفقیت امضا، بخشی از کلید خصوصی را فاش کنند.

این آسیب‌پذیری امکان استخراج کامل کلید خصوصی را فراهم می‌کند و به مهاجمان این امکان را می‌دهد تا تمام وجوه را از کیف پول کریپتو بدزدند. اشاره کرد محققان Fireblocks

اصطلاح «روز صفر» به آسیب‌پذیری‌های کشف‌نشده قبلی اشاره دارد که توسعه‌دهندگان اساساً صفر روز برای رفع آن‌ها فرصت دارند.

این آسیب‌پذیری‌ها بر بیش از 15 ارائه‌دهنده کیف پول دارایی دیجیتال، بلاک چین و سایر پروژه‌هایی که به این پروتکل‌های MPC متکی هستند، از جمله Coinbase، ZenGo و Binance تأثیر می‌گذارد. این شرکت‌ها پس از ارائه یافته‌های مستند شده توسط Fireblocks، مشکلات مربوط به BitForge را حل کرده‌اند.

این دقیقاً همان چیزی است که همکاری امنیتی پیشگیرانه به نظر می رسد. تال بیری، مدیر ارشد فناوری ZenGo گفت: این مشکل به سرعت مورد بررسی قرار گرفت و هیچ سرمایه‌ای از کاربر تحت تأثیر قرار نگرفت.

Coinbase نیز تصدیق شده افشای Fireblocks، با اشاره به اینکه اگرچه محصول مصرفی Coinbase Wallet تحت تأثیر این مشکل قرار نگرفت، نسخه‌های قبلی راه‌حل Wallet به عنوان سرویس از برخی از کتابخانه‌های مورد بحث استفاده می‌کردند.

2/ Coinbase بلافاصله کتابخانه های به روز شده را در ماه می منتشر کرد تا مدیریت خطاها را بهبود بخشد، علیرغم عدم قابلیت بهره برداری. این بخشی از تعهد ما برای بهبود مستمر و حفظ بالاترین استانداردهای امنیتی است.

— Coinbase Cloud 🛡️ (@CoinbaseCloud) اوت 9، 2023