A Fireblocks felfedi a 15 fő kriptográfiai pénztárca-szolgáltatót érintő sebezhetőséget

A „BitForge” névre keresztelt sebezhetőségi készlet lehetővé teszi a támadó számára, hogy egyetlen eszközről lekérjen egy privát kulcsot.

A Fireblocks kriptográfiai infrastruktúrával foglalkozó cég kutatócsoportja felfedte a sebezhetőséget, amelyek állításuk szerint a legszélesebb körben elfogadott többpárti számítástechnikai (MPC) technológiai szolgáltatókat érintik.

1/ A Fireblocks kutatócsoport feltárta a BitForge-ot, amely a legszélesebb körben elterjedt MPC-protokollok sérülékenysége, amely lehetővé teszi a támadók számára, hogy egyetlen eszközről lekérjenek privát kulcsot. Olvass tovább → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO

— Fireblocks (@FireblocksHQ) 9. augusztus 2023.

A kutatók a felfedezést „BitForge-ként” emlegették, és a nulladik napi sebezhetőséget úgy írták le, mint ami lehetővé tette volna a kihasználó számára, hogy kiszűrje a felhasználó privát kulcsait, mivel hiányzik a nulla tudásszint bizonyítéka a GG-18 és MPC protokollokban. GG-20.

Eközben a Lindell 17 protokollt érintő sebezhetőség annak az eredménye, hogy a pénztárca-szolgáltatók eltávolodtak az akadémiai közleményben lefektetett specifikációktól, ami hátsó ajtót teremtett a támadók számára, hogy felfedjék a privát kulcs egy részét, ha az aláírás sikertelen.

"A sérülékenység lehetővé teszi a privát kulcsok teljes kinyerését, lehetővé téve a támadók számára, hogy ellopják az összes pénzt a kriptográfiai pénztárcából." neves a Fireblocks kutatók.

A „nulladik nap” kifejezés a korábban fel nem fedezett sebezhetőségekre utal, amelyeket a fejlesztőknek lényegében nulla napjuk van kijavítani.

Ezek a sérülékenységek több mint 15 digitális eszköztárca-szolgáltatót, blokkláncot és egyéb olyan projektet érintenek, amelyek ezekre az MPC-protokollokra támaszkodnak, beleértve a Coinbase-t, a ZenGo-t és a Binance-t. Ezek a cégek azóta megoldották a BitForge-val kapcsolatos problémákat, miután a Fireblocks bemutatta nekik dokumentált megállapításait.

„Pontosan így néz ki a proaktív biztonsági együttműködés. A problémát azonnal orvosolták, és a felhasználói forrásokat nem érintette” – mondta Tal Be'ery, a ZenGo technológiai igazgatója.

Coinbase is elismerte A Fireblocks nyilvánosságra hozta, hogy bár a Coinbase Wallet fogyasztói terméket nem érintette a probléma, a Wallet as a Service megoldás korábbi verziói a kérdéses könyvtárak egy részét használták.

2/ A Coinbase azonnal kiadta a frissített könyvtárakat májusban, hogy javítsa a hibakezelést, a kihasználhatóság hiánya ellenére. Ez része azon elkötelezettségünknek, hogy folyamatosan fejlesztjük és fenntartjuk a legmagasabb szintű biztonságot.

— Coinbase Cloud 🛡️ (@CoinbaseCloud) 9. augusztus 2023.