Fireblocks חושף פגיעויות המשפיעות על 15 ספקי ארנק קריפטו עיקריים

מערכת הפגיעות, המכונה "BitForge", תאפשר לתוקף לאחזר מפתח פרטי ממכשיר בודד.

צוות חוקרים בחברת תשתית ההצפנה Fireblocks חשף קבוצה של נקודות תורפה שלדבריהם משפיעות על חלק מספקי הטכנולוגיה הרב-צדדית (MPC) המאומצים ביותר.

1/ צוות המחקר של Fireblocks חשף את BitForge, קבוצה של פגיעויות בכמה מפרוטוקולי MPC המאומצים ביותר, המאפשרים לתוקף לאחזר מפתח פרטי ממכשיר יחיד. המשך לקרוא → https://t.co/xo2r9zgCvj pic.twitter.com/7q1nEeVBwO

- Fireblocks (@FireblocksHQ) אוגוסט

החוקרים התייחסו לגילוי כ"BitForge", ותיארו את מערך הפגיעויות של יום אפס כמשהו שהיה מאפשר לנצלן לחלץ מפתחות פרטיים של משתמש עקב הוכחה חסרה של אפס ידע בפרוטוקולי MPC GG-18 ו GG-20.

בינתיים, הפגיעות שהשפיעה על פרוטוקול Lindell 17 נבעה מכך שספקי ארנקים התרחקו מהמפרטים שנקבעו במאמר האקדמי, מה שיצר דלת אחורית לתוקפים לחשוף חלק מהמפתח הפרטי כאשר החתימה נכשלת.

"הפגיעות מאפשרת מיצוי מפתח פרטי מלא, ומאפשרת לתוקפים לגנוב את כל הכספים מארנק הקריפטו." ציין חוקרי Fireblocks.

המונח "יום אפס" מתייחס לפרצות שטרם התגלו, שלמפתחים יש למעשה אפס ימים לתקן.

נקודות תורפה אלו משפיעות על יותר מ-15 ספקי ארנקי נכסים דיגיטליים, בלוקצ'יין ופרויקטים אחרים המסתמכים על פרוטוקולי MPC אלה, כולל Coinbase, ZenGo ו-Binance. חברות אלה פתרו מאז את הבעיות הנוגעות ל-BitForge לאחר ש-Fireblocks הציגה להן את הממצאים המתועדים שלה.

"כך בדיוק נראה שיתוף פעולה אבטחה פרואקטיבי. הנושא טופל באופן מיידי, ולא הושפעו כספי המשתמשים", אמר טל בארי, סמנכ"ל הטכנולוגיה ב-ZenGo.

Coinbase גם הודה החשיפה של Fireblocks, וציינה כי בעוד שהמוצר הצרכני של ארנק Coinbase שלה לא הושפע מהבעיה, גרסאות קודמות של פתרון הארנק כשירות שלה השתמשו בחלק מהספריות המדוברות.

2/ Coinbase שחררה מיד ספריות מעודכנות במאי כדי לשפר את הטיפול בשגיאות, למרות חוסר הניצול. זה חלק מהמחויבות שלנו לשפר ולשמור ללא הרף על הסטנדרטים הגבוהים ביותר של אבטחה.

— Coinbase Cloud 🛡️ (@CoinbaseCloud) אוגוסט