Fireblocks paljastaa haavoittuvuuksia, jotka vaikuttavat 15 tärkeimpään salauslompakon tarjoajaan

Haavoittuvuuksien joukko, nimeltään "BitForge", antaisi hyökkääjän noutaa yksityisen avaimen yhdestä laitteesta.

Salausinfrastruktuuriyrityksen Fireblocksin tutkijaryhmä on paljastanut joukon haavoittuvuuksia, joiden he sanovat vaikuttavan joihinkin yleisimmin käytettyihin MPC-teknologian tarjoajiin.

1/ Fireblocks-tutkimusryhmä on paljastanut BitForgen, joukon haavoittuvuuksia joissakin yleisimmin käytetyistä MPC-protokollista, jonka avulla hyökkääjä voi noutaa yksityisen avaimen yhdestä laitteesta. Lue lisää → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO

- Fireblocks (@FireblocksHQ) Elokuu 9, 2023

Tutkijat kutsuivat löytöä nimellä "BitForge" ja kuvasivat nollapäiväisten haavoittuvuuksien joukkoa joksikin, jonka avulla hyväksikäyttäjä olisi voinut tunkeutua käyttäjän yksityisiin avaimiin, koska MPC-protokollassa GG-18 ja GG-20.

Samaan aikaan Lindell 17 -protokollaan vaikuttava haavoittuvuus johtui siitä, että lompakon tarjoajat siirtyivät pois akateemisessa paperissa esitetyistä määrityksistä, mikä loi hyökkääjille takaoven paljastaa osan yksityisestä avaimesta, kun allekirjoitus epäonnistuu.

"Haavoittuvuus mahdollistaa täyden yksityisen avaimen purkamisen, jolloin hyökkääjät voivat varastaa kaikki varat kryptolompakosta." huomattava Fireblocks-tutkijat.

Termi "nollapäivä" viittaa aiemmin havaitsemattomiin haavoittuvuuksiin, jotka kehittäjillä on käytännössä nolla päivää aikaa korjata.

Nämä haavoittuvuudet vaikuttavat yli 15 digitaalisen omaisuuden lompakon tarjoajaan, lohkoketjuihin ja muihin projekteihin, jotka perustuvat näihin MPC-protokolliin, mukaan lukien Coinbase, ZenGo ja Binance. Nämä yritykset ovat sittemmin ratkaisseet BitForgeen liittyvät ongelmat sen jälkeen, kun Fireblocks esitti heille dokumentoidut havainnot.

”Juuri tältä ennakoiva tietoturvayhteistyö näyttää. Ongelmaan puututtiin nopeasti, eikä se vaikuttanut käyttäjien varoihin", sanoi Tal Be'ery, ZenGon teknologiajohtaja.

Coinbase myös tunnustettu Fireblocks ilmoitti, että vaikka ongelma ei vaikuttanut sen Coinbase Wallet -kuluttajatuotteeseen, sen Wallet as a Service -ratkaisun aiemmissa versioissa käytettiin joitain kyseisiä kirjastoja.

2/ Coinbase julkaisi välittömästi päivitetyt kirjastot toukokuussa parantaakseen virheiden käsittelyä hyödynnettävyyden puutteesta huolimatta. Tämä on osa sitoutumistamme jatkuvasti parantaa ja ylläpitää korkeimpia turvallisuusstandardeja.

- Coinbase Cloud 🛡️ (@CoinbaseCloud) Elokuu 9, 2023