L'ensemble de vulnérabilités, baptisé "BitForge", permettrait à un attaquant de récupérer une clé privée à partir d'un seul appareil.
Photo par charlesdeluvio sur Unsplash
Publié le 9er août 2023 à 11 h 47 HNE.
Une équipe de chercheurs de la société d'infrastructure cryptographique Fireblocks a révélé un ensemble de vulnérabilités qui, selon eux, affectent certains des fournisseurs de technologie de calcul multipartite (MPC) les plus largement adoptés.
1/ L'équipe de recherche Fireblocks a découvert BitForge, un ensemble de vulnérabilités dans certains des protocoles MPC les plus largement adoptés, qui permettent à un attaquant de récupérer une clé privée à partir d'un seul appareil. Lire la suite → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO
- Pare-feu (@FireblocksHQ) 9 août 2023
Les chercheurs ont qualifié la découverte de "BitForge", décrivant l'ensemble des vulnérabilités du jour zéro comme quelque chose qui aurait permis à un exploiteur d'exfiltrer les clés privées d'un utilisateur en raison d'une preuve de connaissance nulle manquante dans les protocoles MPC GG-18 et GG-20.
Pendant ce temps, la vulnérabilité affectant le protocole Lindell 17 résultait du fait que les fournisseurs de portefeuilles s'éloignaient des spécifications énoncées dans l'article académique, ce qui créait une porte dérobée permettant aux attaquants d'exposer une partie de la clé privée en cas d'échec de la signature.
"La vulnérabilité permet l'extraction complète de la clé privée, permettant aux attaquants de voler tous les fonds du portefeuille crypto", noté les chercheurs de Fireblocks.
Le terme "zero-day" fait référence à des vulnérabilités non découvertes auparavant, que les développeurs ont essentiellement zéro jour pour corriger.
Ces vulnérabilités affectent plus de 15 fournisseurs de portefeuilles d'actifs numériques, des chaînes de blocs et d'autres projets qui s'appuient sur ces protocoles MPC, notamment Coinbase, ZenGo et Binance. Ces entreprises ont depuis résolu les problèmes liés à BitForge après que Fireblocks leur ait présenté ses conclusions documentées.
« C'est exactement à quoi ressemble une collaboration proactive en matière de sécurité. Le problème a été rapidement résolu et aucun fonds d'utilisateur n'a été affecté », a déclaré Tal Be'ery, directeur de la technologie chez ZenGo.
Coinbase aussi reconnu Divulgation de Fireblocks, notant que bien que son produit grand public Coinbase Wallet n'ait pas été affecté par le problème, les versions précédentes de sa solution Wallet as a Service utilisaient certaines des bibliothèques en question.
2/ Coinbase a immédiatement publié des bibliothèques mises à jour en mai pour améliorer la gestion des erreurs, malgré le manque d'exploitabilité. Cela fait partie de notre engagement à améliorer et à maintenir en permanence les normes de sécurité les plus élevées.
– Coinbase Cloud 🛡️ (@CoinbaseCloud) 9 août 2023
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
- La source: https://unchainedcrypto.com/fireblocks-discloses-vulnerabilities-impacting-15-major-crypto-wallet-providers/
- :possède
- :est
- :ne pas
- 10
- 11
- 15%
- 17
- 2023
- 31
- 32
- 500
- 9
- a
- académique
- adopté
- affecter
- affectant
- Après
- Tous
- permettre
- Permettre
- an
- ainsi que le
- AS
- atout
- At
- Août
- et
- détourné
- binance
- blockchains
- by
- chef
- Chief Technology Officer
- le cloud
- coinbase
- Portefeuille Coinbase
- collaboration
- engagement
- calcul
- consommateur
- continuellement
- créée
- Crypto
- Infrastructure cryptographique
- Portefeuille crypto
- jours
- Malgré
- mobiles
- dispositif
- numérique
- Actif numérique
- Divulgue
- divulgation
- découverte
- doublé
- deux
- activé
- permet
- erreur
- essentiellement
- exactement
- échoue
- résultats
- BLOCS FEU
- Ferme
- entreprises
- Fixer
- Pour
- De
- plein
- fonds
- Maniabilité
- Vous avez
- le plus élevé
- HTTPS
- immédiatement
- impact
- impactant
- améliorer
- in
- Y compris
- Infrastructure
- aide
- vous aider à faire face aux problèmes qui vous perturbent
- SES
- ACTIVITES
- clés
- Peindre
- bibliothèques
- comme
- LOOKS
- maintenir
- majeur
- largeur maximale
- Mai..
- manquant
- PLUS
- (en fait, presque toutes)
- en mouvement
- MPC
- pluripartite
- aucune
- notant
- of
- Financier
- on
- Autre
- nos
- ande
- Papier
- partie
- se rapportant
- photo
- Platon
- Intelligence des données Platon
- PlatonDonnées
- posté
- présenté
- précédent
- précédemment
- Privé
- Clé privée
- Clés privées
- Cybersécurité
- Produit
- projets
- preuve
- protocole
- protocoles
- fournisseurs
- question
- Lire
- visée
- se réfère
- libéré
- compter
- un article
- chercheurs
- résolu
- résultat
- Saïd
- dire
- sécurité
- service
- set
- signature
- depuis
- unique
- sur mesure
- quelques
- quelque chose
- caractéristiques
- Normes
- équipe
- Technologie
- terme
- que
- qui
- La
- Les
- Ces
- l'ont
- this
- à
- oui
- découvert
- non découvert
- Unsplash
- a actualisé
- d'utiliser
- Utilisateur
- fonds de l'utilisateur
- versions
- vulnérabilités
- vulnérabilité
- Wallet
- était
- ont été
- Quoi
- quand
- qui
- tout en
- largement
- comprenant
- pourra
- zéphyrnet
- zéro
- vulnérabilités zero-day
- connaissance zéro
- preuve de connaissance zéro
